Centrálny manažment identít vrátane podpory a rozvoja

Vláda Slovenskej republiky vo svojom programovom vyhlásení vlády pre Operačný program Integrovaná infraštruktúra 2014-2020 ďalej len „OPII) v oblasti Informačnej spoločnosti určila ako jednu zo svojich priorít posilnenie aplikácií IKT v rámci elektronickej štátnej správy. Cieľom priority v tejto oblasti je podporiť inštitúciu pri realizácií opatrení v oblasti informačnej a kybernetickej bezpečnosti, ktoré sú nevyhnutné pre zvýšenie úrovne riadenia informačnej bezpečnosti ďalej len „IB“  a kybernetickej bezpečnosti ďalej len „KyB“  a ochrany a bezpečnosti údajov a informačno- komunikačnými technológiami ďalej len „IKT“ prostredia inštitúcií pred externými aj internými hrozbami. Tieto aktivity predstavujú nevyhnutný a nutný základ pre riadenie IB a KyB pre ďalší rozvoj a implementáciu dodatočných bezpečnostných opatrení. Cieľom projektu „Centrálny manažment identít vrátane podpory a rozvoja“ v Národnom centre zdravotníckych informácií je poskytnutie podpory pre oblasti governence informačnej a kybernetickej bezpečnosti a bezpečnostnú dokumentáciu a tak isto aj riadenie aktív, hrozieb a rizík inštitúcie pred externými aj internými hrozbami. Pôsobnosť NCZI ustanovuje § 12 zákona č. 153/2013 Z.z.. Predložený projekt má za úlohu skvalitniť existujúcu informačno-komunikačnú infraštruktúru v oblasti bezpečnosti. Informačný systém Identity and access management bude zabezpečovať v prostredí NCZI riadenie prístupov a práv používateľov informačných systémov. Z hľadiska kritickosti biznis služby riadenia prístupov bude táto služba ovplyvňovať bezpečnosť údajov spracovávaných v prostredí NCZI a bezpečnú prevádzku všetkých IS a podporných systémov napojených na túto službu. Služba bude zabezpečovať autentifikáciu používateľov a autorizáciu prístupov k aktívam NCZI. Informačný systém Identity and access management ďalej len „IS IAM“ bude zabezpečovať službu riadenia prístupu všetkých zamestnancov NCZI. Modul IAM zabezpečuje overovanie v prostredí organizácie identity používateľa a odovzdáva identifikačné údaje ostatným zapojeným systémom, ktoré vstupujú do jeho IS. Výhoda – benefit použitia jediného prihlásenia spočíva  v tom, že používateľ môže prechádzať celým prostredím informačného systému na poskytovanie služieb bez nutnosti znova zadávať svoje identifikačné údaje. Po prvom prihlásení, žiaden ďalší systém nevyžaduje jeho dodatočnú alebo opätovnú identifikáciu. Modul IAM je postavený na logike „jediného“ prihlásenia sa. Na základe pridelených prístupov, sú mu umožnené oprávnenia.

V module IAM sú implementované všetky potrebné autentifikačné spôsoby. Modul IAM zabezpečuje všetky komplexné funkcie v oblasti riadenia životného cyklu identít a autentifikácie. Vzhľadom k tomu, že aj kritické IS NCZI budú využívať túto službu, IS IAM, ktorý túto službu zabezpečuje, bude klasifikovaný ako kritický z pohľadu dôvernosti, dostupnosti a integrity dát, ako aj z pohľadu biznis služieb NCZI. Cieľovou skupinou pre správu identít v systéme sú zamestnanci NCZI, dodávatelia, obchodní partneri NCZI, štátne organizácie a občania SR využívajúci služby NCZI. Prijímateľom projektu je NCZI, ktoré je v zriaďovateľskej pôsobnosti MZ SR. V súlade s Operačným programom Integrovaná infraštruktúra 2014-2020 vo výzve č. OPII-2021/7/16-DOP sa NCZI uchádza o predloženie Žiadosti o poskytnutie nenávratného finančného príspevku so zameraním na „ Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. 

Systém Centrálny manažment identít vrátane podpory a rozvoja spĺňa nasledovné požiadavky:

• je lokálne integrovateľný do existujúceho IT prostredia NCZI ( t.j. pre všetky prevádzkované platformy, systémy a aplikácie),
• podporuje import zamestnaneckých údajov a organizačnej štruktúry s modulom Aseco SPIN Health/ Kros Olymp,
• podporuje integráciu s MS Active Directory a dochádzkovým systémom Aktion Next,
• umožňuje automatické vytváranie a vypínanie identít podľa ich stavu v module Asseco SPIN Health/Kros Olymp,
• umožňuje automatické prideľovanie základných oprávnení pre všetkých aktívnych používateľov a tiež ich pozastavenie/odobratie po ukončení zamestnaneckého pomeru,
• umožňuje automatické notifikácie priameho nadriadeného pri vzniku novej identity podriadeného zamestnanca a doručenie jeho iniciálneho hesla,
• umožňuje doplnenie informácií ako mail, telefón, pracovné zaradenie pre každú identitu,
• podporuje SSO a 2FA,
• podporuje evidenciu súhlasov GDPR,
• umožňuje automatické notifikácie IT oddelenia (distribučná skupina) o vzniku novej identity na overenie prípadne doplnenie požadovaných oprávnení,
• umožňuje automatické pridelenia oprávnení (provisioning/deprovisioning) odvodeného od úrovne zaradenia do organizačnej štruktúry (napr. group membership „HR“ pre všetkých zamestnancov HR oddelenia použitý na zdieľanie HR dokumentov),
• umožňuje efektívnu a jednoduchú tvorbu procesných schvaľovaní (workflow schvaľovania) na základe definovaných požiadaviek prístupu v súlade s organizačnou štruktúrou a následným automatizovaným priradením/odobratím práv a privilégií entite.
• umožňuje tvorbu reportov a dashboardov,
• umožňuje časové povolenie prístupu identity k zdrojom,
• umožňuje podporu okamžitého zakázania identity ( hodinová výpoveď) a dočasné povolenie identity a dočasné povolenie identity (neskoré predlženie pomeru v Asseco SPIN1 / Kros Olymp),
• umožňuje podporovať zakladania dodatočných užívateľov priamo do systému IDM a AD,
• umožnuje a zamedzuje vytvoreniu duplicitných identít,
• umožňuje zmeny hesla cez IDM aj cez AD a automatickú synchronizáciu medzi nimi.

Projekt prostredníctvom nového systému, musí mať k dispozícii samoobslužný portál pre používateľskú správu hesiel:

• musí byť lokalizovaný minimálne do slovenského jazyka,
• musí zaznamenávať históriu vykonaných udalostí používateľom,
• musí používateľovi ponúkať mechanizmus na obnovenie zabudnutého hesla, aj formou kontrolných otázok, zaslania overenia na registrovaný email, alebo zariadenie,
• musí používateľovi ponúkať mechanizmus na vyžiadanie dodatočných oprávnení z katalógu rolí,
• musí poskytovať možnosť hlásenia chýb a problémov,

• musí poskytovať možnosť zadávať žiadosti o softvérové licencie,
• musí poskytovať funkcie samoobslužnej správy, ktoré umožňujú používateľom a povereným správcom vytvárať, aktualizovať a odstraňovať informácie o účte uložené v profile používateľa, ako sú atribúty identity, používateľské meno a heslo, preferencie používateľa a nastavenia ochrany osobných údajov,
• musí poskytovať používateľský generátor hesiel,
• musí ponúkať automatické a plnohodnotné auditovanie, monitorovanie, zaznamenávanie činností, reportovanie a notifikácie pokrývajúce aktivity správcov a používateľov v celom systéme minimálne v  rozsahu podľa platnej legislatívy SR,
• musí poskytovať informácie vo forme zostáv a reportov pre poskytnutie informácii na analýzu mapovania prístupov používateľov k zdrojom, pokročilú analýzu a klasifikáciu rizík, analýza partnerských skupín, detekcia anomálií, monitorovanie privilegovaného prístupu, proaktívnu analytika entít a prístupov, a podrobnú analýzu oddelenia povinností (SoD),
• musí poskytovať možnosť virtuálnych adresárových technológií a metaadresárov pre ukladanie informácií o identitách a zdrojov,
• musí poskytovať možnosť využitia 2FA pre mobilne zariadenia,
• musí ponúkať možnosť federácie identít aj pre štandardné cloudové služby,
• musí poskytovať autorizačné služby s metódou riadenia a pridelenia oprávnení  minimálne RBAC, DAC, MAC,
• musí ponúkať proaktívnu kontrolu dodržiavania nastavených bezpečnostných a prevádzkových pravidiel,
• musí byť schopný zohľadniť kroky životného cyklu identít a organizačnej štruktúry (nástup, výstup, zmena útvaru, zmena pracovnej pozície, vznik/zmena/zrušenie útvaru),
• musí ponúkať možnosť SMTP a SMS notifikácií v procese životného cyklu zamestnancov a v procese manuálnej správy,
• musí ponúkať možnosť integrácie na SIEM,
• musí ponúkať možnosť re-certifikácie (pravidelného auditu) prístupových oprávnení,
• musí ponúkať možnosť zamedzenia priradenia konfliktných oprávnení (kontrola SOD medzi rolami v žiadosti / voči už priradeným roliam užívateľa),
• musí ponúkať vysokú dostupnosť,
• musí vedieť poskytnúť multitenant model poskytovania služieb autentifikácie, autorizácie,
• musí poskytovať manažment minimálne 1000 identít s možnosťou škálovateľnosti v počte miliónov identít,
• musí zabezpečiť dostatočný výkon pre spracovanie overení identít a poskytnutých oprávnení v definovanom rozsahu,
• musí poskytovať možnosť integrácia so SW alebo HW správcom kľúčov a certifikátov.

Systém na riešenie centrálneho manažmentu identít podporuje rôzne úrovne schvaľovania dodatočných oprávnení ( bez schvaľovania, schvaľovanie nadriadeným, schvaľovanie nadriadeným a správcom aplikácie/IT oddelením, schvaľovanie biznis vlastníkom systému a manažérom kybernetickej bezpečnosti. Ponúka automatické a plnohodnotné auditovanie, monitorovanie, reportovanie a notifikácie pokrývajúce aktivity správcov a používateľov v celom systéme. V systéme existuje proaktívna kontrola dodržiavania nastavených pravidiel, zohľadňuje kroky životného cyklu identít a organizačnej štruktúry. Umožňuje možnosť SMTP a SMS notifikácie v procese životného cyklu zamestnancov a v procese manuálnej správy. Systém má možnosť integrácie na SIEM (Security Information and Event Management), umožňuje možnosť re-certifikácie prístupových oprávnení. Ponúka vysokú dostupnosť.