Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Управление доступом






Управление доступом (Access Management) - процесс, отвечающий за допуск пользователей к использованию услуг, данных или других активов. Управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом.

Управление доступом предоставляет ценность бизнесу благодаря тому, что:

  • каждый сотрудник имеет уровень доступа, необходимый для выполнения своих обязанностей;
  • контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации;
  • уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги;
  • аудит использования услуг и отслеживание некорректной работы с ними;
  • быстрое лишение прав при возникновении необходимости;
  • может понадобиться для обеспечения соответствия требованиям регуляторов.

Рассмотрим последовательность деятельностей для предоставления доступа.

  1. запрос доступа (или его ограничение) может быть осуществлен через следующие механизмы:
    • стандартный запрос от Отдела кадров (HR). Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т.п.;
    • Запрос на изменение (RFC);
    • Запрос на обслуживание переданный рассмотренным выше процессом Управления запросами на обслуживание;
    • в процессе выполнения авторизованного сценария или опции (например, скачивание приложения с центрального сервера).
  2. Верификация запроса на получение доступа включает в себя проверку двух категорий:
    • пользователь, запрашивающий доступ, действительно тот, за кого себя выдает;
    • пользователь, запрашивающий доступ, имеет право его получить;

Первый пункт проверяется обычно с помощью предоставления имени и пароля - они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т.п.

Идентификатор (Identity) - уникальное наименование, используемое для идентификации пользователя, человека или роли. Идентификатор используется для предоставления прав пользователю, человеку или роли. Примерами идентификации могут быть имя пользователя Иванов Иван или Роль " Менеджер Изменений".

Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например:

    • уведомление от Отдела кадров о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг;
    • уведомление от Отдела кадров о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам;
    • подтверждение от соответствующего процессу менеджера;
    • предоставление запроса на обслуживание (с обоснованием) через сервис-деск;
    • предоставление запроса на изменение через процесс Управления изменениями;
    • политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы.

Для новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ.

  1. Предоставление доступа. Управление доступом не принимает решений относительно того, кто и куда будет иметь доступ. Процесс только реализует политики и правила, определенные на этапах Проектирования или Построения стратегии. После верификации пользователя, Управление доступом предоставит ему доступ для использования запрошенной услуги. В большинстве случаев непосредственное предоставление доступа требует действий со стороны каждой команды, поддерживающей услугу. Поэтому при проектировании услуг лучше предусмотреть автоматизацию процесса предоставления доступа.
  2. Мониторинг статуса идентичности

Пользователи, работающие в организации, и их роли могут меняться. Примерами изменения могут быть:

    • изменение обязанностей - в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам;
    • повышение или понижение в должности - в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями;
    • перевод - в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными;
    • отставка или смерть - в этом случае все доступы должны быть немедленно аннулированы;
    • выход на пенсию - в этом случае доступы либо аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене;
    • дисциплинарное ограничение - временное ограничение доступа пользователя из-за какой-то провинности;
    • увольнение - в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности.
  1. Мониторинг доступа

Управление доступом ответственно не только за непосредственное предоставление доступа, но и за контроль его использования. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений (IDS).

  1. Отзыв или ограничение прав

Наряду с предоставлением доступа, Управление доступом ответственно за его аннулирование или ограничение.

Аннулирование доступа происходит в таких случаях как смерть, увольнение, сокращение, кардинальное изменение обязанностей и т.п. В ряде случаев полностью лишать сотрудника доступов не требуется, но есть необходимость в их ограничении. Например, при понижении сотрудника в должности.


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.006 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал