IdM Rijksoverheid RBAC bij het Ministerie van Financiën Martin Krouwer

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 2 Vernieuwing van de (Rijks)overheid ‘De omslag’

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 3 Visie en richting

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 4 Architectuur (Nora / Marij)

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 5 Wat betekent het hoge ambitieniveau in het primaire proces nu intern?

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 6 Identitymanagement onder architectuur

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 7 Programma IdM

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 8 Plan, Do, Check, Act

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 9 Plateau 2 - Step 5 - RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 10 Role Based Access Role Based Access Control Uit Wikipedia, de vrije encyclopedie (Doorverwezen vanaf RBAC)RBAC Ga naar: navigatie, zoekennavigatiezoeken Role Based Access Control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze de toegang tot informatiesystemen kan worden ingericht. Inhoud [verbergen] 1 Methode 2 Standaarden 3 Alternatieve toegangscontrole methodieken 4 Bekende RBAC hulpmiddelen 5 Zie ook 6 Externe links [bewerk] Methodebewerk Kenmerk van RBAC is dat individuen niet rechtstreeks worden geautoriseerd in informatiesystemen, maar dat ze uitsluitend rechten krijgen op basis van een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Ook de permissies op objecten/functies in informatiesystemen kunnen worden gegroepeerd in rollen.geautoriseerd Door het koppelen van de rol van de gebruiker in de organisatie aan een rol in een informatiesysteem, is het eenvoudig om de effectieve rechten van een gebruiker te bepalen. Het daadwerkelijk toekennen van rechten en permissies aan een gebruiker en het verstrekken van gerelateerde objecten (tokens en dergelijke) heet provisioning.provisioning

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 11 RBAC – Het basisconcept Manage- ment- assistent Personeels- management adviseur HRM Medewerker financiën FBS AD DIV Beleids- mede- werker Plan verga dering

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 12 Enkele mogelijke toewijzingscriteria Conform organogram: Werkt bij Ministerie / Raad (Rijksoverheid) Werkt bij afdeling …. Conform functiestructuur: Heeft een bepaalde soort functie Doet een bepaald soort werk (rol) Conform projectstructuur: Is lid van een bepaald project Is lid van een bepaald samenwerkingsverband Conform een locatie Conform een procesketen

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 13 Mogelijkheden categoriën SAP 1.Medewerkerscategoriën 2.Medewerkerssubgroep 3.Functiecategorie 4.Formatieplaatsomschrijving

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 14 Medewerkerscategoriën CategorieAantal Regulier personeel1933 NRP met verloning27 NRP zonder verloning22

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 15 Medewerkerssubgroep SUBGROEP AANTAL Inhuur externe adviseur 11 Inhuur ICT services 2 Inhuur n.o.t.k. dien 2 Medew. Min. van Fin Politieke leiding 2 SG/DG 1 Stagiaire 25 Trainee m.a.v. 34 Trainee z.a.a. 2 Uitzendkracht3

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 16 Functiecategorie (RIJKS)TRAINEES10 BELEIDSMEDEWERKER852 BELEIDSONDERSTEUNENDE MEDEWERKER127 BELEIDSVOORBEREIDENDE MEDEWERKER165 BOFEB3 BUITENGEWOON VERLOF ZONDER BEZOLDIGING9 BUITENGEWOONVERLOF MET BEZOLDIGING1 COORDINATOR47 DECLARANT4 END (EXPERTS NATIONAUX DETACHES)6 FINANCIEEL TRAINEE19 IF (BINNEN KD)3 IF INGELEEND (BUITEN KD)4 IF UITGELEEND MET VERREKENING16 IF UITGELEEND ZONDER VERREKENING6 INGEHUURDE EXTERNE6 LEIDINGGEVENDE171 LID MT M05 MEDERWERKER AUDITONDERSTEUNING1 MEDEWERKER ONDERSTEUNING469 MEDEWERKER ONDERSTEUNING STAF/MANAGEMENT5 MEDEWERKER PROJECTEN119 PROJEKTMANAGER2 SENIOR BELEIDSMEDEWERKER1 STAGIAIRE26 UITZENDKRACHT4

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 17 Formatieplaatsomschrijving (SR) FUNCTIONEEL BEHEERDER2 (SR) HARDWARE BEHEERDER1 (SR) HARDWARE BEHEERDER / VC1 (SR) HARDWAREBEHEERDER1 (SR) NETWERKBEHEERDER5 (SR) NETWERKBEHEERDER / VC1 (SR) SYSTEEMBEHEERDER6 1E LIJNS MDW/MDW EXT COMMUNICATIE2 1E LIJNS MEDEWERKER2 1E LIJNS MEDEWERKER / EVALUATOR3 2E LIJNS MDW/MDW WET EN REGELGEVING2 2E LIJNS MEDEWERKER17 2E LIJNS MEDEWERKER / COORDINATOR1 2 2E SECRETARESSE MINISTER1 ACCOUNTMANAGER4 ADJUNCT DIRECTEUR4 ADJUNCT INSPECTEUR29 ADMIN MEDEWERKER BINNENDIENST11 ADMINISTRATIEF MEDEWERKER7 ADVISEUR14 ADVISEUR ALGEMEEN1 ADVISEUR COMMUNICATIE1 ADVISEUR FUNCTIONEEL BEHEER1 ADVISEUR FUNCTIONEEL BEHEER/VC1 ADVISEUR ICT1 ADVISEUR OZ BINNENDIENST3 ADVISEUR/PROJECTLEIDER2 ADVOCAAT1 AFDELINGSHOOFD10 AFDELINGSHOOFD BBE1 AFDELINGSHOOFD BBK1 AFDELINGSHOOFD BBL1 AFDELINGSHOOFD RHB1 AFDELINGSSECRETARESSE14 AGENT1 ALGEMEEN ADMINSTRATIEF MEDEWERKER14 ALGEMEEN DIRECTEUR1 ALGEMENE RESERVE1 AMBTELIJKE ONDERSTEUNING DOR1 APPLICATIEBEH / MDW FUNCTIONEEL BEH2 APPLICATIEBEHEER SAP1 APPLICATIEBEHEERDER9 APPLICATIEBEHEERDER SAP2 ARCHITECT TIS1 ASSISTENT INKOPER2 AUDITMANAGER47 AUDITMEDEWERKER55 AUDITONDERSTEUNER A2 AUDITONDERSTEUNER B2 AUDITOR61 BASIS CONSULTANT SAP2 BEHEERDER PARK SORGHVLIET1 BELEIDSADVISEUR35 BELEIDSMEDEWERKER162 BELEIDSMEDEWERKER BELEIDSMEDEWERKER BELEIDSONDERSTEUNEND MDW1 BELEIDSONDERSTEUNEND MEDEWERKER7 BESTUURLIJK ADV MEDEWERKER4 BIJZONDER VERLOF1 BINNENDIENSTMEDEWERKER I29 BINNENDIENSTMEDEWERKER II28 BINNENDIENSTMEDEWERKER ZANDZAKEN1 BOFEB2 BOFEB STAGIAIRE1 BOFEB-STAG1 BUITENGEWOON VERLOF6 BUITENGEWOON VERLOF ZB2 CHANGE EN SEC MANAGER1 CHAUFFEUR11 CLUSTERCOORDINATOR3 CLUSTERMANAGER23 COMBIFUNCTIE SG & TG1 COMMUNICATIEADVISEUR6 COMMUNICATIE-ADVISEUR1 CONTRACTBEHEERDER1 CONTROLLER1 COORD BEL ADV/TVS PLV HFD1 COORD BELEIDSADV/PLV HFD1 COORD BELEIDSMDW/SECR EMANCIPATIE1 COORDINATOR12 COORDINATOR / SPECIALIST1 COORDINATOR BELEIDSONDERSTEUNING1 COORDINATOR CONCERNADMINISTRATIE1 COORDINATOR INFRASTRUCTUUR1 COORDINATOR INTERNE CONTROLE1 COORDINATOR ONBEH NALATENSCHAPPEN1 COORDINATOR SECRETARIAAT3 COORDINATOR/SPECIALIST10 COORDINEREND ACCOUNTMANAGER1 COORDINEREND ADVISEUR3 COORDINEREND BELEIDSADV /PLV HFD2 COORDINEREND BELEIDSADVISEUR3 COORDINEREND BELEIDSMEDEWERKER38 COORDINEREND INSPECTEUR11 COORDINEREND PROJECTLEIDER2 COORDINEREND SECRETARESSE1 D&I ADVISEUR3 DATABASE ADMINISTRATOR2

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 18 Strategie I Praktijk Visie MvF

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 19 Strategie II

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 20 Applicatielandschap Ministerie van Financiën

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 21 Pilot RBAC - Doelstellingen Opbouw kennis en inzicht Beoordeling methodiek en werkbaarheid Technische beoordeling product Bhold en inpasbaarheid

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 22 Omvang Toepassingen Het beheren van distributielijsten en security(rechten)- groepen voor Exchange en Fileshares (NTFS) (mappen) via Active Directory (AD). Aantal gebruikers 2383 gebruikers in 200 organisatie-eenheden binnen het kern-department van Ministerie van Financiën Aantal technische rechtengroepen 600 Security(rechten)-groepen en 400 distributielijsten Aantal logische rollen na inrichting 8 Business rollen (Ontworpen rollen op logisch niveau, begrijpelijk voor de gebruikersorganisatie op basis waarvan in de systemen technisch de rechten toegekend worden)

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 23 Vertrekpunten Beperkt inzicht Op dit moment is niet duidelijk wie welke rechten heeft binnen het kerndepartement van het Ministerie van Financiën. Het is voor de verantwoordelijke (lijn)manager niet inzichtelijk. Daardoor valt die verantwoordelijkheid ook niet echt te dragen. Proces niet efficiënt Het toekennen van rechten aan een interne gebruiker duurt te lang. In veel gevallen worden er op aanvraag rechten toegekend. De wens is om dat waar mogelijk proactief en automatisch te doen. Regelgeving niet duidelijk Geen duidelijk regelgeving “waarom bepaalde personen bepaalde rechten krijgen” en wie die rechten mogen toewijzen. Onbeheersbaar Handmatig proces. Onduidelijkheden in toewijzing, inzichtelijkheid en uitvoering. Gevolg is een sterk vervuilde registratie en ontevredenheid bij zowel de gebruikers- als beheersorganisatie. Niet controleerbaar Het is redelijkerwijs niet mogelijk om een audit uit te voeren.

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 24 Doelapplicaties (eindgebruikersview)

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 25  Instroom van een nieuwe medewerker  Doorstroom van een bestaande medewerker.  Uitstroom van een bestaande medewerker.

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 26 Duidelijk inrichting verantwoordelijkheid / bevoegdheid voor de manager: Management zelfbediening Lijnmanagers kunnen zelf rechten toekennen. Intern delegeren Lijnmanagers kunnen delegeren aan beheerder(s) (uit het eigen organisatieonderdeel). Extern delegeren De Eenheid ICT kan op aangeven van de manager of een gedelegeerde via BHOLD rechten uitgeven aan gebruikers.

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 27 Ieder model is mooier dan de werkelijkheid, behalve….?

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 28 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 29 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 30 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 31 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 32 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 33 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 34 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 35 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 36 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 37 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 38 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 39 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 40 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 41 Ketenproces RBAC

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 42 Beheerder in AD

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 43 Functioneel beheer BHOLD

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 44 Beheerder rechten medewerkers organisatie onderdeel ( c.q. onderdelen )

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 45 Gedefinieerde rollen (al vertaald naar de organisatorische eenheid ICT-diensten)

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 46 Eigenschappen van de gebruiker

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 47 Permissies van de gebruiker Martin Krouwer

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 48 (Handmatig) toevoegen / blokkeren van een rol

RBAC bij het Ministerie van Financiën Identity Management Rijksoverheid 49 Tijd voor ? OF