Управление доступом

Управление доступом (Access Management) - процесс, отвечающий за допуск пользователей к использованию услуг, данных или других активов. Управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы[1]. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом.

Управление доступом предоставляет ценность бизнесу благодаря тому, что:

  • • каждый сотрудник имеет уровень доступа, необходимый для выполнения своих обязанностей;
  • • контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации;
  • • уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги;
  • • аудит использования услуг и отслеживание некорректной работы с ними;
  • • быстрое лишение прав при возникновении необходимости;
  • • может понадобиться для обеспечения соответствия требованиям регуляторов.

Рассмотрим последовательность деятельностей для предоставления доступа.

1. запрос доступа (или его ограничение) может быть осуществлен через следующие механизмы:

о стандартный запрос от Отдела кадров (HR). Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т.п.;

о Запрос на изменение (RFC);

° Запрос на обслуживание переданный рассмотренным выше процессом Управления запросами на обслуживание;

° в процессе выполнения авторизованного сценария или опции (например, скачивание приложения с центрального сервера).

2. Верификация запроса на получение доступа включает в себя проверку двух категорий:

о пользователь, запрашивающий доступ, действительно тот, за кого себя выдает;

о пользователь, запрашивающий доступ, имеет право его получить;

Первый пункт проверяется обычно с помощью предоставления имени и пароля - они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т.п.

Идентификатор (Identity) - уникальное наименование, используемое для идентификации пользователя, человека или роли. Идентификатор используется для предоставления прав пользователю, человеку или роли. Примерами идентификации могут быть имя пользователя Иванов Иван или Роль "Менеджер Изменений" [1].

Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например:

о уведомление от Отдела кадров о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг;

о уведомление от Отдела кадров о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам;

о подтверждение от соответствующего процессу менеджера;

° предоставление запроса на обслуживание (с обоснованием) через сервис-деск;

° предоставление запроса на изменение через процесс Управления изменениями;

о политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы.

Для новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ.

  • 3. Предоставление доступа. Управление доступом не принимает решений относительно того, кто и куда будет иметь доступ. Процесс только реализует политики и правила, определенные на этапах Проектирования или Построения стратегии. После верификации пользователя, Управление доступом предоставит ему доступ для использования запрошенной услуги. В большинстве случаев непосредственное предоставление доступа требует действий со стороны каждой команды, поддерживающей услугу Поэтому при проектировании услуг лучше предусмотреть автоматизацию процесса предоставления доступа.
  • 4. Мониторинг статуса идентичности

Пользователи, работающие в организации, и их роли могут меняться. Примерами изменения могут быть:

о изменение обязанностей - в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам;

° повышение или понижение в должности - в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями;

о перевод - в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными;

о отставка или смерть - в этом случае все доступы должны быть немедленно аннулированы;

° выход на пенсию - в этом случае доступы либо

Д.А. Скрипник ITIL. ГГ Service Management по стандартам V3.1

аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене;

° дисциплинарное ограничение - временное ограничение доступа пользователя из-за какой-то провинности;

о увольнение - в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности.

5. Мониторинг доступа

Управление доступом ответственно не только за непосредственное предоставление доступа, но и за контроль его использования. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений (IDS).

6. Отзыв или ограничение прав

Наряду с предоставлением доступа, Управление доступом ответственно за его аннулирование или ограничение.

Аннулирование доступа происходит в таких случаях как смерть, увольнение, сокращение, кардинальное изменение обязанностей и т.п. В ряде случаев полностью лишать сотруцника доступов не требуется, но есть необходимость в их ограничении. Например, при понижении сотруцника в должности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >