Aufrufe
vor 3 Jahren

02 | 2015 public

  • Text
  • Verwaltung
  • Factory
  • Konsolidierung
  • Anforderungen
  • Einsatz
  • Frameworks
  • Anwendung
  • Systeme
  • Software
  • Unternehmen
Schwerpunkt: Konsolidierung der IT-DLZ

tung der Rollen erfolgt

tung der Rollen erfolgt bevorzugt auf der Ebene der fachlichen Rollen, die Umsetzung auf der Ebene der technischen Rollen. Einige IAM-Systeme bieten auch parametrisierbare Rollen oder ergänzen das Rollenmodell durch attributbasierte Berechtigungen (ABAC – Attribute Based Access Control). Bei geeigneter Abstraktion lässt sich mittels eines überschaubaren Satzes an fachlichen Rollen ein Großteil der Berechtigungsvergabe abbilden. Der Rest kann durch Rollen niedrigerer Abstraktionsebene realisiert werden. In der Praxis hat sich eine Beschränkung der Rollenhierarchie auf drei Abstraktionsebenen bewährt. KONSISTENZ DURCH EIN ZENTRALES REGELWERK Auf Basis des Rollenmodells gilt es, die für die Rechtevergabe relevanten Vorgaben des ISMS in Form von Regeln umzusetzen. Im öffentlichen Sektor entspricht der Aufbau dem BSI-Grundschutz und dem damit verbundenen Grundschutzkatalog. Die Regeln basieren auf zwei Prinzipien: Das Prinzip der minimalen Rechte (least privilege) nach dem Need-to-know-Grundsatz soll sicherstellen, dass Benutzer nur genau die Rechte besitzen, die sie für die Erfüllung ihrer beruflichen Aufgaben (Arbeitsplatz und Tätigkeitsbeschreibung) benötigen. Das heißt, es soll verhindert werden, dass Benutzer mehr Rechte besitzen, als sie für ihre Arbeit benötigen. Letzteres ist ein fachlicher Aspekt, den das Regelwerk des IAM-Systems nicht bewerten kann. Es kann jedoch die Kritikalität der Berechtigungen eines Benutzers auswerten und so transparent machen, ob ein Benutzer über besonders viele oder besonders kritische Rechte verfügt. Dazu wird jeder Rolle ein Risikowert zugeordnet und aus allen an einen Benutzer vergebenen Rollen ein kumulierter Risikowert berechnet. Das Prinzip der Funktionstrennung (segregation of duties) soll verhindern, dass Benutzer besonders kritische Kombinationen von Berechtigungen erhalten. Gängig ist zum Beispiel das Verbot von gleichzeitig verfügbaren administrativen und fachlichen Berechtigungen in derselben Anwendung. Das Regelwerk kann solche gegenseitigen Ausschlüsse von zwei oder mehr Rollen direkt abbilden oder sie mit einem Risikowert belegen und analog zu den Rollenzuweisungen in den Gesamtrisikowert eines Benutzers miteinbeziehen. Einmal etabliert, kann das Regelwerk verwendet werden, um bestehende Regelverstöße oder hohe Risiken präventiv zu erkennen und entsprechend gegenzusteuern, zum Beispiel, indem die Vergabe beantragter Rechte abgelehnt wird oder Ausnahmegenehmigungen eingeholt und regelmäßig erneuert werden. KONTROLLE DURCHSETZEN Mit dem Rollenmodell und dem darauf basierenden Regelwerk ist der fachliche Grundstein gelegt. Nun gilt es, dieses Regelwerk auch durchzusetzen. Dazu werden zunächst die Berechtigungen auf den anzusteuernden Zielsystemen eingelesen und auf die Rollen des zentralen IAM-Modells abgebildet. Über das Berichtswesen (Reporting) können nun Regelverstöße oder auffällige Risikostrukturen erkannt und aufgelöst werden. Das kann durch Anpassung der Berechtigungen, aber auch durch das Einholen von Ausnahmegenehmigungen für bestimmte Regelverstöße erfolgen. Ist dieser Schritt abgeschlossen, ist das Rollenmodell im IAM-System mit den Berechtigungsstrukturen in den anzusteuernden IT-Systemen konsistent und konform zum Regelsystem. Änderungen an den Berechtigungen werden von da an ausschließlich auf dem zentralen Rollenmodell durchgeführt. Erst danach werden die daraus resultierenden Rechte in den anzusteuernden IT-Systemen umgesetzt. Das IAM-System wird damit zum führenden System der Rechtevergabe für alle anzusteuernden IT-Systeme. Der gesamte Prozess wird dabei so weit wie möglich automatisiert. Im einfachsten Fall kann die Vergabe einer Berechtigung vollautomatisch erfolgen. In der Regel sind zusätzlich manuelle Schritte erforderlich, sei es bei der Abwicklung des Antragsverfahrens oder bei der Umsetzung der Berechtigungen auf den anzusteuernden IT-Systemen. In dem Fall steuert das IAM-System den Workflow und hält die Bearbeitungshistorie nach. Bei der Anbindung von Systemen an ein neu aufzusetzendes IAM empfiehlt es sich, schrittweise vorzugehen: • Im ersten Schritt werden die besonders wichtigen IT-Systeme in der Behörde und im Personalsystem angebunden. So kann den größten Risiken bei einer noch überschaubaren Anzahl anzusteuernder Systeme entgegengewirkt werden. • In weiteren Schritten werden sukzessive weniger wichtige Systeme angebunden und weitere Funktionalitäten (siehe Kasten „Weitere Funktionen eines IAM-Systems“) ergänzt. FLEXIBILITÄT DURCH MODULARE ARCHITEKTUR Als umfassendes System zur Steuerung von Benutzerkonten und Berechtigungen beinhaltet ein IAM-System eine Reihe von 48 | .public 02-15 | Informationstechnologie

Antragsverfahren Reporting Rezertifizierung Rollen-Modellierung Access Governance Standard Provisioning Manuelle Verarbeitung Plattform Provisioning Zielsysteme Abbildung 2: Typische Architektur eines IAM-Systems Funktionalitäten, die zuvor durch dedizierte Systeme abgebildet wurden: • Das Antragsverfahren (Ticketsystem) steuert die Antragsworkflows, die letztlich die Vergabe von Berechtigungen legitimieren. • Das Provisionierungssystem steuert die Vergabe von Berechtigungen in einem oder mehreren Zielsystemen. • Verzeichnisdienste verwalten die Berechtigungsdaten jeweils für eine technische Plattform. Die meisten der am Markt verfügbaren IAM-Systeme einschlägiger Hersteller, wie z. B. Oracle, NetIQ oder Sailpoint, bringen diese Funktionen bereits mit. Häufig sind diese unterschiedlich gut ausgebaut. In der Regel sind IAM-Systeme aus einem der oben aufgeführten dedizierten Systeme hervorgegangen und in ihrer angestammten Domäne besonders stark. Andere Funktionalitäten sind oft zugekauft oder nur rudimentär umgesetzt. Daher sollte bei der Einführung eines neuen IAM-Systems geprüft werden, welche bestehenden Funktionen bewährt sind und erhalten bleiben sollen. Diese können dann mit dem ausgewählten IAM-System integriert werden. Den Kern in der typischen Architektur eines IAM-Systems bildet das zentrale Modell (vgl. Abbildung 2). Die Komponenten zur Prozesse eines IAM-Systems IAM-Systeme unterstützen die folgenden fachlichen Prozesse: • Operative Prozesse: - Zuteilung von Berechtigungen - Abbildung der Genehmigungsworkflows bei der Berechtigungsvergabe auf Basis des Regelwerks - Umsetzung der zugeteilten Rollen auf den Zielsystemen - Eventuell Entzug der Berechtigungen • Analytische Prozesse: - Analyse und Bewertung der Berechtigungsstrukturen - Kennzahlen zum Gesamtzustand der Berechtigungsvergabe - Risikoanalyse • Modellierungsprozesse: - Definition von Rollen und Regeln • (Re-)Zertifizierungsprozesse: - Überprüfung fachlicher Berechtigungen Alle diese Prozesse arbeiten auf einem gemeinsamen Rollenmodell und einem gemeinsamen Prozess und Regelwerk. Informationstechnologie | .public 02-15 | 49

msg

01 | 2018 public
02 | 2017 public
01 | 2017 public
02 | 2016 public
01 | 2016 public
02 | 2015 public
01 | 2015 public
01 | 2014 public
01 | 2014 msg systems study
01 | 2015 msg systems Studienband
Future Utility 2030
Lünendonk® Trendstudie
Digitale Transformation | DE
Digital Transformation | EN
DE | inscom 2014 Report
EN | inscom 2014 Report

msgGillardon

02 | 2018 NEWS
03 | 2016 NEWS
02 | 2016 NEWS
01 | 2016 NEWS
03 | 2015 NEWS
02 | 2015 NEWS
01 | 2015 NEWS
02 | 2014 NEWS
01 | 2014 NEWS
02 | 2013 NEWS
01 | 2012 NEWS
02 | 2011 NEWS
01 | 2010 NEWS
MaRisk
01 | 2017 banking insight
01 | 2015 banking insight
01 | 2014 banking insight
01 | 2013 banking insight
01 | 2012 banking insight
02 | 2011 banking insight
01 | 2011 banking insight
01 | 2010 banking insight
2018 | Seminarkatalog | Finanzen

Über msg



msg ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 6.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Banking, Food, Insurance, Life Science & Healthcare, Public Sector, Telecommunications, Travel & Logistics sowie Utilities und hat in über 35 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben.

Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit den Gesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt. msg nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 7 ein.


© 2018 by msg systems ag - powered by yumpu Datenschutz | Impressum