У папярэдніх артыкулах мы ўжо разглядалі, што такое IdM, як зразумець, ці патрэбна вашай арганізацыі падобная сістэма, якія задачы яна вырашае і як абгрунтаваць бюджэт укаранення перад кіраўніцтвам. Сёння мы пагаворым аб важных этапах, якія павінна прайсці сама арганізацыя, каб дасягнуць належнага ўзроўню сталасці перад укараненнем сістэмы IdM. Бо IdM заклікана аўтаматызаваць працэсы, а аўтаматызаваць хаос немагчыма.
Да таго моманту, як кампанія дарасце да памераў буйнога прадпрыемства і назапасіць у сябе масу розных бізнес-сістэм, яна звычайна не задумваецца аб кіраванні доступам. Таму працэсы атрымання правоў і кантролю паўнамоцтваў у ёй не структураваны і дрэнна паддаюцца аналізу. Супрацоўнікі афармляюць заяўкі на доступ, хто як захоча, працэс узгаднення таксама не фармалізаваны, а часам яго проста няма. Немагчыма хутка разабрацца, якія доступы ёсць у супрацоўніка, хто іх узгадніў і на якой падставе.
Улічваючы, што працэс аўтаматызацыі доступу закранае два асноўныя бакі – кадравыя дадзеныя і дадзеныя інфармацыйных сістэм, інтэграцыю з якімі трэба будзе правесці, разгледзім крокі, неабходныя для таго, каб укараненне IdM прайшло гладка і не выклікала абурэнне:
- Аналіз кадравых працэсаў і аптымізацыя суправаджэння БД супрацоўнікаў у кадравых сістэмах.
- Аналіз даных аб карыстальніках і правах, а таксама актуалізацыя спосабаў кіравання доступам у мэтавых сістэмах, якія плануецца падключыць да IdM.
- Арганізацыйныя мерапрыемствы і ўцягванне персанала ў працэс падрыхтоўкі да ўкаранення IdM.
Кадравыя дадзеныя
Крыніца кадравых дадзеных у арганізацыі можа быць адна, а можа быць і некалькі. Напрыклад, арганізацыя можа мець дастаткова шырокую філіяльную сетку, і ў кожным філіяле можа выкарыстоўвацца свая кадравая база.
Найперш неабходна зразумець, якія асноўныя дадзеныя пра супрацоўнікаў захоўваюцца ў сістэме кадравага ўліку, якія падзеі фіксуюцца, і ацаніць іх паўнату і структуру.
Часта бывае так, што не ўсе кадравыя падзеі адзначаюцца ў кадравай крыніцы (а яшчэ часцей яны адзначаюцца несвоечасова і не зусім карэктна). Вось некалькі тыповых прыкладаў:
- не фіксуюцца водпускі, іх катэгорыі і тэрміны (чарговыя або працяглыя);
- не фіксуецца частковая занятасць: напрыклад, знаходзячыся ў працяглым водпуску па догляду за дзіцем, супрацоўнік можа адначасова працаваць на няпоўнай стаўцы;
- фактычны статус кандыдата або работніка ўжо змяніўся (прыём/пераклад/звальненне), а загад аб гэтай падзеі выходзіць з затрымкай;
- супрацоўніка пераводзяць на новую штатную пазіцыю праз звальненне, пры гэтым у кадравай сістэме не фіксуецца інфармацыя аб тым, што гэта тэхнічнае звальненне.
Таксама варта асобную ўвагу надаць адзнацы якасці дадзеных, бо любыя памылкі і недакладнасці, атрыманыя з даверанай крыніцы, якім з'яўляюцца сістэмы кадравага ўліку, могуць у далейшым дорага абыходзіцца і выклікаць мноства праблем пры ўкараненні IdM. Напрыклад, супрацоўнікі кадравых службаў нярэдка заводзяць пасады работнікаў у кадравую сістэму ў розным фармаце: загалоўныя і малыя літары, скарачэнні, розная колькасць прабелаў і да таго падобнае. У выніку адна і тая ж пасада можа быць зафіксавана ў кадравай сістэме ў наступных варыяцыях:
- старэйшы менеджэр
- старэйшы менеджэр
- ст.менеджэр
- ст. менеджэр…
Нярэдка даводзіцца сутыкацца і з адрозненнямі ў напісанні ПІБ:
- Шмялёва Наталля Генадзеўна,
- Шмелева Наталля ГенадзьЕўна…
Для далейшай аўтаматызацыі такі ералаш непрымальны, тым больш калі гэтыя атрыбуты з'яўляюцца ключавой прыкметай ідэнтыфікацыі, гэта значыць дадзеныя аб супрацоўніку і яго паўнамоцтвах у сістэмах супастаўляюцца менавіта па Прозвішча, імя.
Акрамя таго, не варта забываць аб магчымай наяўнасці ў кампаніі аднафамільцаў і поўных цёзак. Калі ў арганізацыі тысяча супрацоўнікаў, такіх супадзенняў можа быць няшмат, а калі 50 тысяч, то гэта можа стаць крытычным перашкодай для карэктнай працы IdM-сістэмы.
Абагульняючы ўсё вышэйпададзенае, які робіцца выснова: фармат уводу дадзеных у кадравую базу арганізацыі павінен быць стандартызаваны. Параметры ўводу ПІБ, пасад і падраздзяленняў павінны быць дакладна вызначаны. Аптымальны варыянт - калі кадравы работнік не забівае дадзеныя ўручную, а выбірае іх з загадзя створанага даведніка структуры падраздзяленняў і пасад з дапамогай функцыі "select", наяўнай у кадравай базе.
Каб пазбегнуць далейшых памылак у сінхранізацыі і не займацца ручным выпраўленнем разыходжанняў у справаздачах, найбольш пераважным спосабам ідэнтыфікацыі супрацоўнікаў з'яўляецца ўвядзенне ID для кожнага работніка арганізацыі. Такі ідэнтыфікатар будзе прысвойвацца кожнаму новаму работніку і фігураваць як у кадравай сістэме, так і ў інфармацыйных сістэмах арганізацыі як абавязковы атрыбут уліковага запісу. Не важна, ці складаецца ён з лічбаў або літар, - галоўнае, каб для кожнага работніка ён быў унікальны (напрыклад, многія выкарыстоўваюць табельны нумар супрацоўніка). У далейшым увядзенне гэтага атрыбута сур'ёзна аблегчыць звязванне дадзеных аб супрацоўніку ў кадравай крыніцы з яго ўліковымі запісамі і паўнамоцтвамі ў інфармацыйных сістэмах.
Такім чынам, усе крокі і механізмы кадравага ўліку трэба будзе прааналізаваць і навесці ў іх парадак. Цалкам магчыма, што нейкія працэсы давядзецца змяніць або дапрацаваць. Гэта стомная і карпатлівая праца, але яна неабходна, інакш адсутнасць выразных і структураваных дадзеных аб кадравых падзеях прывядзе да памылак пры іх аўтаматычнай апрацоўцы. У горшым жа выпадку неструктураваныя працэсы ўвогуле немагчыма будзе аўтаматызаваць.
Мэтавыя сістэмы
На наступным этапе трэба разабрацца, якую колькасць інфармацыйных сістэм мы жадаем інтэграваць у структуру IdM, якія дадзеныя аб карыстачах і іх правах захоўваюцца ў гэтых сістэмах і як імі кіраваць.
У шматлікіх арганізацыях існуе меркаванне, што вось мы ўсталюем IdM, наладзім канектары да мэтавых сістэм, і па ўзмаху чароўнай палачкі ўсё запрацуе, без дадатковых намаганняў з нашага боку. Так, нажаль, не бывае. У кампаніях ландшафт інфармацыйных сістэм развіваецца і павялічваецца паступова. У кожнай з сістэм можа быць арганізаваны розны падыход да прадастаўлення правоў доступу, гэта значыць настроены розныя інтэрфейсы па кіраванні доступам. Дзесьці кіраванне адбываецца праз API (application programming interface), дзесьці праз базу дадзеных з дапамогай захоўваемых працэдур, дзесьці інтэрфейсы ўзаемадзеяння могуць увогуле адсутнічаць. Варта быць гатовымі да таго, што давядзецца перагледзець многія існуючыя працэсы па кіраванні ўліковымі запісамі і правамі ў сістэмах арганізацыі: змяніць фармат дадзеных, загадзя дапрацаваць інтэрфейсы ўзаемадзеяння і вылучыць рэсурсы на гэтыя працы.
Ролевая мадэль
З паняццем ролевай мадэлі вы сутыкнецеся, мусіць, яшчэ на этапе выбару пастаўшчыка IdM-рашэнні, бо гэта адно з ключавых паняццяў у сферы кіравання правамі доступу. У гэтай мадэлі падаванне доступу да дадзеных вырабляецца праз ролю. Роля - гэта сукупнасць доступаў, мінімальна неабходных для таго, каб супрацоўнік на пэўнай пасадзе мог выконваць свае функцыянальныя абавязкі.
Ролевае кіраванне доступам мае шэраг бясспрэчных пераваг:
- простая і эфектыўнасць прызначэння аднолькавых правоў вялікай колькасці супрацоўнікаў;
- аператыўнае змяненне доступу супрацоўнікаў, якія маюць аднолькавы набор правоў;
- выключэнне надмернасці правоў і размежаванне несумяшчальных паўнамоцтваў для карыстальнікаў.
Ролевая матрыца спачатку выбудоўваецца асобна ў кожнай з сістэм арганізацыі, а затым маштабуецца на ўвесь ІТ-ландшафт, дзе з роляў кожнай сістэмы фармуюцца глабальныя бізнэс-ролі. Напрыклад, Бізнес-роля "Бухгалтар" будзе ўключаць у сябе некалькі асобных роляў па кожнай з інфармацыйных сістэм, якія выкарыстоўваюцца ў бухгалтэрыі прадпрыемства.
У апошні час лічыцца "best practice" яшчэ на этапе распрацоўкі прыкладанняў, баз дадзеных і аперацыйных сістэм ствараць ролевую мадэль. У той жа час нярэдкія і сітуацыі, калі ў сістэме ролі не настроены ці іх проста няма. У такім выпадку адміністратар гэтай сістэмы павінен унесці дадзеныя ўліковага запісу ў некалькі розных файлаў, бібліятэк і каталогаў, якія прадстаўляюць неабходныя дазволы. Выкарыстанне ж загадзя вызначаных роляў дазваляе даваць прывілеі на правядзенне цэлага комплексу аперацый у сістэме са складанымі састаўнымі дадзенымі.
Ролі ў інфармацыйнай сістэме, як правіла, размяркоўваюцца для пасад і падраздзяленняў па штатнай структуры, але могуць быць створаны і для пэўных бізнес-працэсаў. Напрыклад, у фінансавай арганізацыі некалькі супрацоўнікаў аддзела разлікаў займаюць аднолькавую пасаду - аператар. Але ўсярэдзіне аддзела ёсць яшчэ і размеркаванне на асобныя працэсы, па розных выглядах аперацый (вонкавыя ці ўнутраныя, у рознай валюце, з рознымі сегментамі арганізацыі). Для таго, каб кожнаму з бізнэс-кірункаў аднаго аддзела падаць доступ у інфармацыйнай сістэме па патрэбнай спецыфіцы, неабходна ўлучыць правы ў асобныя функцыянальныя ролі. Гэта дасць магчымасць прадаставіць мінімальна дастатковы набор паўнамоцтваў, які не ўключае залішніх правоў, для кожнага з напрамкаў дзейнасці.
Акрамя таго, для вялікіх сістэм з сотнямі роляў, тысячамі карыстачоў і мільёнамі дазволаў добрай практыкай з'яўляецца выкарыстанне іерархіі роляў і ўспадкоўванні прывілеяў. Напрыклад, бацькоўская роля Адміністратар будзе ўспадкоўваць прывілеі даччыных роляў: Карыстальніка і Чытача, так як Адміністратар можа рабіць усё тое ж, што Карыстальнік і Чытач, плюс будзе мець дадатковыя адміністратарскія правы. З выкарыстаннем іерархіі няма неабходнасці паўторна ўказваць аднолькавыя правы ў некалькіх ролях аднаго модуля або сістэмы.
На першым этапе можна стварыць ролі ў тых сістэмах, дзе магчымая колькасць камбінацый правоў не вельмі вялікая і, як следства, нескладана кіраваць малой колькасцю роляў. Гэта могуць быць тыпавыя правы, неабходныя ўсім супрацоўнікам кампаніі, у агульнадаступныя сістэмы, такія як каталог Active Directory (AD), паштовыя сістэмы, Service Manager і падобныя. Затым, створаныя ролевыя матрыцы па інфармацыйных сістэмах можна будзе ўключыць у агульную ролевую мадэль, аб'ядноўваючы іх у Бізнес-ролі.
Выкарыстоўваючы такі падыход, у далейшым пры ўкараненні IdM-сістэмы будзе нескладана аўтаматызаваць увесь працэс прадастаўлення правоў доступу на аснове створаных роляў першага этапа.
NB Не варта спрабаваць адразу ўключыць у інтэграцыю як мага больш сістэм. Сістэмы з больш складанай архітэктурай і структурай кіравання правамі доступу на першым этапе лепш падлучаць да IdM у паўаўтаматычным рэжыме. Гэта значыць рэалізаваць на падставе кадравых падзей толькі аўтаматычнае фармаванне заяўкі на доступ, якая паступіць на выкананне адміністратару, і ён наладзіць правы ўручную.
Пасля паспяховага праходжання першага этапа можна распаўсюдзіць функцыянал сістэмы на новыя пашыраныя бізнес-працэсы, ажыццявіць поўную аўтаматызацыю і маштабаванне з падключэннем дадатковых інфармацыйных сістэм.
Іншымі словамі, каб падрыхтавацца да ўкаранення IdM, трэба ацаніць гатовасць інфармацыйных сістэм да новага працэсу і загадзя дапрацаваць вонкавыя інтэрфейсы ўзаемадзеяння па кіраванні ўліковымі запісамі і правамі карыстачоў, калі ў сістэме такія інтэрфейсы адсутнічаюць. Таксама трэба прапрацаваць пытанне паэтапнага стварэння роляў у інфармацыйных сістэмах для комплекснага кіравання доступам.
Арганізацыйныя мерапрыемствы
Ня варта скідаць з рахункаў і арганізацыйныя моманты. У некаторых выпадках яны могуць гуляць вырашальную ролю, таму што ад эфектыўнага ўзаемадзеяння паміж падраздзяленнямі часта залежыць вынік усяго праекта. Для гэтага мы звычайна раім стварыць у арганізацыі каманду ўдзельнікаў працэсу, у якую ўвойдуць усе задзейнічаныя падраздзяленні. Паколькі для людзей гэта дадатковая нагрузка, паспрабуйце загадзя растлумачыць усім удзельнікам будучага працэсу іх ролю і значнасць у структуры ўзаемадзеяння. Калі "прадаць" калегам ідэю IdM на гэтым этапе, можна будзе пазбегнуць шматлікіх складанасцяў у далейшым.
Часта "уладальнікамі" праекта ўкаранення IdM у кампаніі выступаюць падраздзяленні інфармацыйнай бяспекі або ІТ, а меркаванне бізнес-падраздзяленняў не ўлічваецца. Гэта вялікая памылка, бо толькі яны ведаюць, якім чынам і ў якіх бізнэс-працэсах выкарыстоўваецца кожны рэсурс, каму трэба даваць да яго доступ, а каму не. Таму на этапе падрыхтоўкі важна пазначыць, што менавіта бізнэс-уладальнік адказвае за функцыянальную мадэль, на падставе якой распрацоўваюцца наборы мае рацыю (роляў) карыстачоў у інфармацыйнай сістэме, а таксама за тое, каб гэтыя ролі падтрымліваліся ў актуальным стане. Ролевая мадэль - гэта не статычная матрыца, якую адзін раз пабудавалі і можна на гэтым супакоіцца. Гэта «жывы арганізм», які павінен увесь час змяняцца, абнаўляцца і развівацца, ідучы за зменамі структуры арганізацыі і функцыяналу супрацоўнікаў. Інакш або пачнуцца праблемы, звязаныя з затрымкамі ў прадастаўленні доступу, або ўзнікнуць рызыкі інфармацыйнай бяспекі, звязаныя з залішнімі правамі доступу, што яшчэ горш.
Як вядома, "у сямі нянек дзіця без воку", таму ў кампаніі павінна быць распрацавана метадалогія, якая апісвае архітэктуру ролевай мадэлі, узаемадзеянне і адказнасць канкрэтных удзельнікаў працэсу за падтрыманне яе ў актуальным стане. Калі ў кампаніі шмат напрамкаў бізнес-дзейнасці і, адпаведна, мноства падраздзяленняў і дэпартаментаў, то па кожным напрамку (напрыклад, крэдытаванні, аперацыйнай рабоце, дыстанцыйным паслугах, комплаенс і іншым) у рамках працэсу ролевага кіравання доступам неабходна прызначыць асобных куратараў. Праз іх можна будзе аператыўна атрымліваць інфармацыю аб зменах у структуры падраздзялення і правах доступу, неабходных для кожнай ролі.
Абавязкова трэба заручыцца падтрымкай кіраўніцтва арганізацыі для вырашэння канфліктных сітуацый паміж падраздзяленнямі - удзельнікамі працэсу. А канфлікты пры ўкараненні любога новага працэсу непазбежныя, паверце нашаму досведу. Таму патрэбен арбітр, які будзе разрульваць магчымыя канфлікты інтарэсаў, каб не губляць час з-за нечых непаразуменняў і сабатажу.
NB Добрым пачынаннем для павышэння ўзроўню дасведчанасці будзе навучанне персаналу. Падрабязнае вывучэнне функцыянавання будучага працэсу, ролі кожнага ўдзельніка ў ім дасць магчымасць мінімізаваць цяжкасці пераходу на новае рашэнне.
Чэкліст
Падводзячы вынік, які рэзюмуецца асноўныя крокі, якія варта зрабіць арганізацыі, якая плануе ўкараненне IdM:
- навесці парадак у кадравых дадзеных;
- увесці ўнікальны ідэнтыфікацыйны параметр для кожнага работніка;
- ацаніць гатоўнасць інфармацыйных сістэм да ўкаранення IdM;
- распрацаваць інтэрфейсы ўзаемадзеяння з інфармацыйнымі сістэмамі для кіравання доступам, калі яны адсутнічаюць, і вылучыць рэсурсы на гэтыя працы;
- распрацаваць і пабудаваць ролевую мадэль;
- выбудаваць працэс кіравання ролевай мадэллю і ўключыць у яго куратараў ад кожнага бізнес-кірункі;
- абраць некалькі сістэм для першапачатковага падлучэння да IdM;
- стварыць эфектыўную праектную каманду;
- заручыцца падтрымкай кіраўніцтва кампаніі;
- навучыць персанал.
Працэс падрыхтоўкі можа быць нялёгкім, таму, калі ёсць магчымасць, прыцягвайце кансультантаў.
Укараненне IdM-рашэнні - няпросты і адказны крок, і для паспяховай яго рэалізацыі важныя як намаганні кожнага боку ў асобнасці - супрацоўнікаў бізнес-падраздзяленняў, ІТ і ИБ-службаў, так і ўзаемадзеянне ўсёй каманды ў цэлым. Але намаганні каштуюць таго: пасля ўкаранення IdM у кампаніі зніжаецца колькасць інцыдэнтаў, звязаных з залішнімі паўнамоцтвамі і несанкцыянаванымі правамі ў інфармацыйных сістэмах; знікаюць прастоі супрацоўнікаў з прычыны адсутнасці/доўгага чакання неабходных правоў; за кошт аўтаматызацыі зніжаюцца працавыдаткі і павышаецца прадукцыйнасць працы ІТ-і ИБ-службаў.
Крыніца: habr.com