Управление доступом

Управление доступом (Access Management) - процесс, отвечающий за допуск пользователей к использованию услуг, данных или других активов. Управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом.

Управление доступом предоставляет ценность бизнесу благодаря тому, что:

• каждый сотрудник имеет уровень доступа, необходимый для выполнения своих обязанностей;
• контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации;
• уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги;
• аудит использования услуг и отслеживание некорректной работы с ними;
• быстрое лишение прав при возникновении необходимости;
• может понадобиться для обеспечения соответствия требованиям регуляторов.

Рассмотрим последовательность деятельностей для предоставления доступа.

1. запрос доступа (или его ограничение) может быть осуществлен через следующие механизмы:
• стандартный запрос от Отдела кадров (HR). Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т.п.;
• Запрос на изменение (RFC);
• Запрос на обслуживание переданный рассмотренным выше процессом Управления запросами на обслуживание;
• в процессе выполнения авторизованного сценария или опции (например, скачивание приложения с центрального сервера).
2. Верификация запроса на получение доступа включает в себя проверку двух категорий:
• пользователь, запрашивающий доступ, действительно тот, за кого себя выдает;
• пользователь, запрашивающий доступ, имеет право его получить;

Первый пункт проверяется обычно с помощью предоставления имени и пароля - они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т.п.

Идентификатор (Identity) - уникальное наименование, используемое для идентификации пользователя, человека или роли. Идентификатор используется для предоставления прав пользователю, человеку или роли. Примерами идентификации могут быть имя пользователя Иванов Иван или Роль " Менеджер Изменений".

Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например:

• уведомление от Отдела кадров о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг;
• уведомление от Отдела кадров о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам;
• подтверждение от соответствующего процессу менеджера;
• предоставление запроса на обслуживание (с обоснованием) через сервис-деск;
• предоставление запроса на изменение через процесс Управления изменениями;
• политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы.

Для новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ.

1. Предоставление доступа. Управление доступом не принимает решений относительно того, кто и куда будет иметь доступ. Процесс только реализует политики и правила, определенные на этапах Проектирования или Построения стратегии. После верификации пользователя, Управление доступом предоставит ему доступ для использования запрошенной услуги. В большинстве случаев непосредственное предоставление доступа требует действий со стороны каждой команды, поддерживающей услугу. Поэтому при проектировании услуг лучше предусмотреть автоматизацию процесса предоставления доступа.
2. Мониторинг статуса идентичности

Пользователи, работающие в организации, и их роли могут меняться. Примерами изменения могут быть:

• изменение обязанностей - в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам;
• повышение или понижение в должности - в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями;
• перевод - в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными;
• отставка или смерть - в этом случае все доступы должны быть немедленно аннулированы;
• выход на пенсию - в этом случае доступы либо аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене;
• дисциплинарное ограничение - временное ограничение доступа пользователя из-за какой-то провинности;
• увольнение - в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности.
1. Мониторинг доступа

Управление доступом ответственно не только за непосредственное предоставление доступа, но и за контроль его использования. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений (IDS).

1. Отзыв или ограничение прав

Наряду с предоставлением доступа, Управление доступом ответственно за его аннулирование или ограничение.

Аннулирование доступа происходит в таких случаях как смерть, увольнение, сокращение, кардинальное изменение обязанностей и т.п. В ряде случаев полностью лишать сотрудника доступов не требуется, но есть необходимость в их ограничении. Например, при понижении сотрудника в должности.