Главная страница
Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Управление доступом
Управление доступом (Access Management) - процесс, отвечающий за допуск пользователей к использованию услуг, данных или других активов. Управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом.
Управление доступом предоставляет ценность бизнесу благодаря тому, что:
- каждый сотрудник имеет уровень доступа, необходимый для выполнения своих обязанностей;
- контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации;
- уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги;
- аудит использования услуг и отслеживание некорректной работы с ними;
- быстрое лишение прав при возникновении необходимости;
- может понадобиться для обеспечения соответствия требованиям регуляторов.
Рассмотрим последовательность деятельностей для предоставления доступа.
- запрос доступа (или его ограничение) может быть осуществлен через следующие механизмы:
- стандартный запрос от Отдела кадров (HR). Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т.п.;
- Запрос на изменение (RFC);
- Запрос на обслуживание переданный рассмотренным выше процессом Управления запросами на обслуживание;
- в процессе выполнения авторизованного сценария или опции (например, скачивание приложения с центрального сервера).
- Верификация запроса на получение доступа включает в себя проверку двух категорий:
- пользователь, запрашивающий доступ, действительно тот, за кого себя выдает;
- пользователь, запрашивающий доступ, имеет право его получить;
Первый пункт проверяется обычно с помощью предоставления имени и пароля - они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т.п.
Идентификатор (Identity) - уникальное наименование, используемое для идентификации пользователя, человека или роли. Идентификатор используется для предоставления прав пользователю, человеку или роли. Примерами идентификации могут быть имя пользователя Иванов Иван или Роль " Менеджер Изменений".
Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например:
- уведомление от Отдела кадров о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг;
- уведомление от Отдела кадров о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам;
- подтверждение от соответствующего процессу менеджера;
- предоставление запроса на обслуживание (с обоснованием) через сервис-деск;
- предоставление запроса на изменение через процесс Управления изменениями;
- политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы.
Для новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ.
- Предоставление доступа. Управление доступом не принимает решений относительно того, кто и куда будет иметь доступ. Процесс только реализует политики и правила, определенные на этапах Проектирования или Построения стратегии. После верификации пользователя, Управление доступом предоставит ему доступ для использования запрошенной услуги. В большинстве случаев непосредственное предоставление доступа требует действий со стороны каждой команды, поддерживающей услугу. Поэтому при проектировании услуг лучше предусмотреть автоматизацию процесса предоставления доступа.
- Мониторинг статуса идентичности
Пользователи, работающие в организации, и их роли могут меняться. Примерами изменения могут быть:
- изменение обязанностей - в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам;
- повышение или понижение в должности - в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями;
- перевод - в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными;
- отставка или смерть - в этом случае все доступы должны быть немедленно аннулированы;
- выход на пенсию - в этом случае доступы либо аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене;
- дисциплинарное ограничение - временное ограничение доступа пользователя из-за какой-то провинности;
- увольнение - в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности.
- Мониторинг доступа
Управление доступом ответственно не только за непосредственное предоставление доступа, но и за контроль его использования. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений (IDS).
- Отзыв или ограничение прав
Наряду с предоставлением доступа, Управление доступом ответственно за его аннулирование или ограничение.
Аннулирование доступа происходит в таких случаях как смерть, увольнение, сокращение, кардинальное изменение обязанностей и т.п. В ряде случаев полностью лишать сотрудника доступов не требуется, но есть необходимость в их ограничении. Например, при понижении сотрудника в должности.
|