PI themamiddag Role Based Access Control

Maat: px

Weergave met pagina beginnen:

Download "PI themamiddag Role Based Access Control"

Stijn Martens
9 jaren geleden
Aantal bezoeken:

1 PI themamiddag Role Based Access Control 14:00 De kern van RBAC 14:30 PGGM (bhold suite) 15:00 ABN AMRO (Control-SA) pauze Den Norske Bank (SAM Jupiter) Enquêteresultaten en Conclusie Afsluiting met borrel - Peter Mienes (KPMG IRM) - Piet Kalverda en Ruud Rademaker - Jaro van der Veen -Per Watz - Peter Mienes

2 De kern van RBAC Peter Mienes, KPMG IRM I N F O R M A T I O N R I S K M A N A G E M E N T 18 februari 2004

3 This document is proprietary to KPMG and is not to be distributed. 3 Agenda RBAC model Role mining engineering Case RBAC artikel De (on)beheersbaarheid van toegangsbeveiliging te downloaden van > INFO CENTER > PUBLICATIES > 2003

4 RBAC model I N F O R M A T I O N R I S K M A N A G E M E N T

5 User administrator I N F O R M A T I O N R I S K M A N A G E M E N T This document is proprietary to KPMG and is not to be distributed. 5 Terminologie User Logon Portal / SSO A NT A C A CRM C C A C Unix Password management Authenticatie data A C A C SAP OS/390 User management tool Autorisatie data Autorisatie management tool (bv.rbac) Autorisatie administrator

6 This document is proprietary to KPMG and is not to be distributed. 6 Groepenmodel Gebruiker Groep Object Meest toegepaste model Groeperen van gebruikers (rolgebaseerde groepen) Rudimentaire RBAC implementatie Gebruiker is gerelateerd aan beperkt aantal groepen Groepen op access list van veel objecten Vaak: afdeling-gerelateerde groepen Platform-specifiek Technische dingen Groeperen van objecten (taakgebaseerde groepen) Gebruiker is gerelateerd aan veel groepen Groepen op access list van beperkt aantal objecten

7 This document is proprietary to KPMG and is not to be distributed. 7 RBAC model Gebruiker Rol Taak Object Model met veel voordelen Objectautorisatiebeheer: objecteigenaar is goed in staat om terechtheid te beoordelen van de koppeling van de taakgebaseerde groep aan het object Rolbeheer: manager en security administrator/ objecteigenaar zijn goed in staat om terechtheid te beoordelen van de koppeling van de rol aan de taakgebaseerde groep Gebruikersbeheer: HRM kan eenvoudig rol(len) koppelen aan gebruikers Functiescheiding Maximale transparantie, minimale complexiteit

8 This document is proprietary to KPMG and is not to be distributed. 8 Eenvoud van audit Gebruiker Rolgebaseerde groep Rol relaties beoordelen Object Gebruiker Teamleider Inspecteur Aanslag regelaar 5 1 Aanslag raadplegen 1 20 Object 5+20 relaties beoordelen

9 This document is proprietary to KPMG and is not to be distributed. 9 Projectie van entiteiten Gebruiker Rol Taak Gebruiker Taakgebaseer de groep Object

10 Stress bij operationeel management No! I Can t be bothered with a new concept. I N F O R M A T I O N R I S K M A N A G E M E N T This document is proprietary to KPMG and is not to be distributed. 10

11 Role mining engineering I N F O R M A T I O N R I S K M A N A G E M E N T

12 This document is proprietary to KPMG and is not to be distributed. 12 Role engineering (1) Top-down (groene weide) Organisatiestructuur Beveiligingsbeleid Taakbeschrijvingen Procesbeschrijvingen Vaststellen acceptabel detailniveau voor voor rollen Opstellen rol-autorisatie matrix

13 This document is proprietary to KPMG and is not to be distributed. 13 Role engineering (2) Bottom-up (role mining) Interviews met met managers Bestaande autorisaties op op doelsystemen Gebruiker-rol matrix Opstellen rol-autorisatie matrix

14 Role engineering (3) Hybride (bottom-up and top-down) Interviews met managers Interviews met managers Bestaande autorisaties op Bestaande autorisaties op doelsystemen doelsystemen Gebruiker-rol Gebruiker-rol matrix matrix Organisatiestructuur Organisatiestructuur Beveiligingsbeleid Beveiligingsbeleid Taakbeschrijvingen Taakbeschrijvingen Procesbeschrijvingen Procesbeschrijvingen Opstellen rol-autorisatie matrix Opstellen rol-autorisatie matrix Opstellen rol-autorisatie matrix Opstellen rol-autorisatie matrix Vaststellen acceptabel Vaststellen acceptabel detailniveau voor rollen detailniveau voor rollen Fijnregeling roldefinities en en vereiste autorisaties Gebruiker-rol matrix matrix Rol-autorisatie matrix matrix I N F O R M A T I O N R I S K M A N A G E M E N T This document is proprietary to KPMG and is not to be distributed. 14

15 Case I N F O R M A T I O N R I S K M A N A G E M E N T

16 This document is proprietary to KPMG and is not to be distributed. 16 Organisatie-eenheid OE 1 Secr. OE 1 OE 1.1 OE 1.2 OE OE 1.1.2

17 This document is proprietary to KPMG and is not to be distributed. 17

18 This document is proprietary to KPMG and is not to be distributed. 18 Role engineering is handwerk Documentatie Platformbeheerder Autorisatiebeheerder Applicatiebeheerder Databasebeheerder Lijnmanager

19 This document is proprietary to KPMG and is not to be distributed. 19 Peter Mienes

Vergelijkbare documenten

Logische Toegangs Beveiliging

Logische Toegangs Beveiliging Bij PGGM volgens RBAC met bhold Piet Kalverda / Ruud Rademaker 18 februari 2003 Agenda PGGM Logische toegangs Beveiliging Implementatie Normen en beleid Organisatie en procedures