ProHoster > Blog > Administrasyon an > Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Kounye a mwen travay pou yon machann lojisyèl, espesyalman solisyon kontwòl aksè. Ak eksperyans mwen "ki soti nan yon lavi sot pase yo" konekte ak bò kliyan an - yon gwo òganizasyon finansye. Nan tan sa a, gwoup kontwòl aksè nou an nan depatman sekirite enfòmasyon an pa t 'kapab fè grandizè de gwo konpetans nan IdM. Nou te aprann anpil bagay nan pwosesis la, nou te oblije frape yon anpil nan monte desann yo nan lòd yo bati yon mekanis k ap travay pou jere dwa itilizatè nan sistèm enfòmasyon nan konpayi an.
Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon
Konbine eksperyans kliyan mwen te fè di ak konesans ak konpetans vandè, mwen vle pataje avèk ou esansyèlman etap pa etap enstriksyon: ki jan yo kreye yon modèl kontwòl aksè ki baze sou wòl nan yon gwo konpayi, ak sa sa pral bay kòm yon rezilta. . Enstriksyon mwen yo konpoze de de pati: premye a ap prepare pou konstwi modèl la, dezyèm lan aktyèlman ap bati. Isit la se premye pati a, pati preparasyon an.

NB Bati yon modèl se, malerezman, se pa yon rezilta, men se yon pwosesis. Oswa pito, menm yon pati nan pwosesis pou kreye yon ekosistèm kontwòl aksè nan konpayi an. Se konsa, pare pou jwèt la pou yon tan long.

Premyèman, an n defini li - ki sa ki kontwòl aksè ki baze sou wòl? Sipoze ou gen yon gwo bank ak dè dizèn, oswa menm dè santèn de milye de anplwaye (antite), chak nan yo ki gen plizyè douzèn dwa aksè a dè santèn de sistèm enfòmasyon bank entèn (objè). Koulye a, miltipliye kantite objè pa kantite sijè - sa a se kantite minimòm koneksyon ou bezwen premye bati ak Lè sa a, kontwole. Èske li vrèman posib pou fè sa manyèlman? Natirèlman pa - wòl yo te kreye pou rezoud pwoblèm sa a.

Yon wòl se yon seri otorizasyon ke yon itilizatè oswa yon gwoup itilizatè bezwen fè sèten travay travay. Chak anplwaye ka gen youn oswa plis wòl, epi chak wòl ka genyen ant youn ak plizyè otorizasyon ki pèmèt itilizatè a nan wòl sa a. Wòl yo ka mare nan pozisyon espesifik, depatman oswa travay fonksyonèl nan anplwaye yo.

Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Wòl yo anjeneral kreye apati otorizasyon endividyèl anplwaye nan chak sistèm enfòmasyon. Lè sa a, wòl biznis mondyal yo fòme nan wòl yo nan chak sistèm. Pou egzanp, wòl nan biznis "manadjè kredi" pral gen ladan plizyè wòl separe nan sistèm enfòmasyon yo ke yo te itilize nan biwo kliyan bank la. Pou egzanp, nan tankou prensipal sistèm bankè otomatik la, modil lajan kach, sistèm jesyon dokiman elektwonik, manadjè sèvis ak lòt moun. Wòl biznis yo, kòm yon règ, yo mare nan estrikti òganizasyonèl la - nan lòt mo, nan seri a nan divizyon konpayi ak pozisyon nan yo. Men ki jan yon matris wòl mondyal fòme (mwen bay yon egzanp nan tablo ki anba a).

Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Li se vo anyen ke li se tou senpleman enposib yo bati yon modèl 100%, bay tout dwa ki nesesè pou anplwaye nan chak pozisyon nan yon estrikti komèsyal yo. Wi, sa pa nesesè. Apre yo tout, yon modèl pa ka estatik, paske li depann de yon anviwònman ki toujou ap chanje. Ak soti nan chanjman nan aktivite biznis konpayi an, ki, kòmsadwa, afekte chanjman nan estrikti nan òganizasyonèl ak fonksyonalite. Ak soti nan mank nan dispozisyon konplè nan resous, ak nan pa konfòmite ak deskripsyon travay, ak nan dezi a pou pwofi nan depans lan nan sekirite, ak nan anpil lòt faktè. Se poutèt sa, li nesesè yo bati yon modèl ki ka kouvri jiska 80% nan bezwen itilizatè pou dwa debaz ki nesesè yo lè yo asiyen nan yon pozisyon. Epi yo ka, si sa nesesè, mande 20% ki rete a pita sou aplikasyon separe.

Natirèlman, ou ka mande: "Èske pa gen okenn bagay tankou modèl 100%?" Oke, poukisa, sa rive, pou egzanp, nan estrikti ki pa Peye-ki pa sijè a chanjman souvan - nan kèk enstiti rechèch. Oswa nan òganizasyon konplèks militè-endistriyèl ki gen yon wo nivo sekirite, kote sekirite vin premye. Li rive nan yon estrikti komèsyal, men nan kad yon divizyon separe, travay la nan ki se yon pwosesis jistis estatik ak previzib.

Avantaj prensipal la nan jesyon ki baze sou wòl se senplifikasyon nan bay dwa, paske kantite wòl yo se siyifikativman mwens pase kantite itilizatè yo nan sistèm enfòmasyon an. Lè sa a se vre pou nenpòt endistri.

Ann pran yon konpayi an detay: li anplwaye dè milye de vandè, men yo gen menm seri dwa nan sistèm N, epi sèlman yon wòl pral kreye pou yo. Lè yon nouvo vandè vini nan konpayi an, li otomatikman asiyen wòl ki nesesè nan sistèm nan, ki deja gen tout otorite ki nesesè yo. Epitou, nan yon sèl klike sou ou ka chanje dwa yo pou dè milye de vandè nan yon fwa, pou egzanp, ajoute yon nouvo opsyon pou jenere yon rapò. Pa gen okenn nesesite fè mil operasyon, ki lye ak yon nouvo dwa nan chak kont - jis ajoute opsyon sa a nan wòl la, epi li pral parèt pou tout vandè an menm tan an.

Yon lòt avantaj nan jesyon ki baze sou wòl se eliminasyon an nan emisyon an nan otorizasyon enkonpatib. Sa vle di, yon anplwaye ki gen yon sèten wòl nan sistèm nan pa ka ansanm gen yon lòt wòl, dwa yo pa ta dwe konbine avèk dwa yo nan premye a. Yon egzanp frape se entèdiksyon an sou konbine fonksyon yo nan opinyon ak kontwòl nan yon tranzaksyon finansye.

Nenpòt moun ki enterese nan fason kontwòl aksè ki baze sou wòl te vin kapab
plonje nan listwa
Si nou gade nan istwa, kominote IT premye te panse sou metòd kontwòl aksè tounen nan ane 70 yo nan XNUMXyèm syèk la. Malgre ke aplikasyon yo te byen senp nan lè sa a, menm jan kounye a, tout moun te reyèlman te vle jere fasilman aksè a yo. Bay, chanje ak kontwole dwa itilizatè - jis pou fè li pi fasil pou konprann ki aksè chak nan yo genyen. Men, nan tan sa a pa te gen okenn estanda komen, premye sistèm kontwòl aksè yo te devlope, epi chak konpayi te baze sou pwòp lide ak règ li yo.

Anpil modèl kontwòl aksè diferan kounye a li te ye, men yo pa t parèt imedyatman. Se pou nou rete sou moun ki te fè yon kontribisyon enpòtan nan devlopman zòn sa a.

Premye ak pwobableman modèl ki pi senp lan se Kontwòl aksè diskresyonè (selektif). (DAC – Kontwòl aksè diskresyonè). Modèl sa a enplike pataje dwa pa tout patisipan yo nan pwosesis aksè a. Chak itilizatè gen aksè a objè oswa operasyon espesifik. Nan sans, isit la seri a nan sijè nan dwa koresponn ak seri a nan objè yo. Yo te jwenn modèl sa a twò fleksib ak twò difisil pou kenbe: lis aksè evantyèlman vin gwo e difisil pou kontwole.

Dezyèm modèl la se Obligatwa kontwòl aksè (MAC - Obligatwa kontwòl aksè). Dapre modèl sa a, chak itilizatè resevwa aksè a yon objè an akò ak aksè a bay nan yon nivo patikilye nan konfidansyalite done. An konsekans, objè yo ta dwe kategori dapre nivo konfidansyalite yo. Kontrèman ak premye modèl fleksib, yon sèl sa a, okontrè, te tounen twò strik ak restriksyon. Itilizasyon li yo pa jistifye lè konpayi an gen yon anpil nan resous enfòmasyon diferan: yo nan lòd yo diferansye aksè a diferan resous, ou pral gen prezante anpil kategori ki pa pral sipèpoze.

Akòz enpèfeksyon evidan nan de metòd sa yo, kominote IT la te kontinye devlope modèl ki pi fleksib ak an menm tan an plis oswa mwens inivèsèl sipòte diferan kalite règleman kontwòl aksè òganizasyonèl. Apre sa, li te parèt twazyèm modèl kontwòl aksè ki baze sou wòl! Apwòch sa a pwouve yo dwe pi pwomèt la paske li mande pou non sèlman otorizasyon idantite itilizatè a, men tou fonksyon operasyonèl li nan sistèm yo.

Premye syantis Ameriken David Ferrailo ak Richard Kuhn nan Enstiti Nasyonal Estanda ak Teknoloji Ameriken te pwopoze premye estrikti modèl ki dekri klèman an 1992. Lè sa a, tèm nan premye parèt RBAC (Kontwòl aksè ki baze sou wòl). Etid sa yo ak deskripsyon eleman prensipal yo, ansanm ak relasyon yo, te fòme baz estanda INCITS 359-2012, ki toujou an fòs jodi a, apwouve pa Komite Entènasyonal sou Estanda Teknoloji Enfòmasyon (INCITS).

Estanda a defini yon wòl kòm "yon fonksyon travay nan yon kontèks yon òganizasyon ki gen kèk semantik ki asosye konsènan otorite ak responsablite yo asiyen nan itilizatè a asiyen nan wòl la." Dokiman an etabli eleman debaz yo nan RBAC - itilizatè, sesyon, wòl, otorizasyon, operasyon ak objè, osi byen ke relasyon yo ak entèkoneksyon ant yo.

Estanda a bay estrikti minimòm ki nesesè pou bati yon modèl - konbine dwa nan wòl ak Lè sa a, akòde aksè a itilizatè yo atravè wòl sa yo. Mekanis yo pou konpoze wòl nan objè ak operasyon yo dekri, yerachi a nan wòl ak eritaj pouvwa yo dekri. Apre yo tout, nan nenpòt konpayi gen wòl ki konbine pouvwa debaz ki nesesè pou tout anplwaye nan konpayi an. Sa a ta ka aksè nan imèl, EDMS, pòtal antrepriz, elatriye. Otorizasyon sa yo ka enkli nan yon sèl wòl jeneral yo rele "anplwaye", epi pa pral gen okenn nesesite pou lis tout dwa debaz yo ankò ak ankò nan chak nan wòl ki pi wo nivo yo. Li se ase tou senpleman endike karakteristik eritaj la nan wòl "anplwaye".

Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Apre sa, estanda a te konplete ak nouvo atribi aksè ki gen rapò ak anviwònman an toujou ap chanje. Yo te ajoute kapasite pou prezante restriksyon estatik ak dinamik. Estatik yo vle di enposib pou konbine wòl (menm opinyon ak kontwòl operasyon yo mansyone pi wo a). Restriksyon dinamik yo ka detèmine pa chanje paramèt, pou egzanp, tan (èdtan travay/ki pa travay oswa jou), kote (biwo/kay), elatriye.

Separeman, li ta dwe di sou kontwòl aksè ki baze sou atribi (ABAC - Kontwòl aksè ki baze sou atribi). Apwòch la baze sou akòde aksè lè l sèvi avèk règ pataje atribi yo. Modèl sa a ka itilize separeman, men byen souvan li aktivman konplete modèl klasik la: atribi itilizatè, resous ak aparèy, osi byen ke tan oswa kote, ka ajoute nan yon wòl sèten. Sa a pèmèt ou sèvi ak mwens wòl, prezante restriksyon adisyonèl ak fè aksè minimòm ke posib, ak Se poutèt sa amelyore sekirite.

Pou egzanp, yon kontab ka gen aksè nan kont si li travay nan yon sèten rejyon. Lè sa a, kote espesyalis la pral konpare ak yon valè referans sèten. Oswa ou ka bay aksè a kont sèlman si itilizatè a konekte nan yon aparèy ki enkli nan lis moun ki pèmèt yo. Yon bon adisyon nan yon modèl, men raman itilize poukont li akòz bezwen an yo kreye anpil règ ak tab nan otorizasyon oswa restriksyon.

Kite m 'ba ou yon egzanp lè l sèvi avèk ABAC nan "lavi sot pase yo". Bank nou an te gen plizyè branch. Anplwaye nan biwo kliyan nan branch sa yo fè egzakteman menm operasyon yo, men yo te oblije travay nan sistèm prensipal la sèlman ak kont nan rejyon yo. Premyèman, nou te kòmanse kreye wòl separe pou chak rejyon - e te gen anpil wòl sa yo ak fonksyon repete, men ak aksè nan kont diferan! Lè sa a, lè nou itilize yon atribi kote pou itilizatè a ak asosye li ak yon seri espesifik kont yo revize, nou siyifikativman redwi kantite wòl nan sistèm nan. Kòm yon rezilta, wòl yo rete pou yon sèl branch, ki te repwodui pou pozisyon korespondan yo nan tout lòt divizyon teritoryal nan bank la.

Koulye a, ann pale sou etap preparasyon ki nesesè yo, san yo pa li se tou senpleman enposib bati yon modèl k ap travay.

Etap 1. Kreye yon modèl fonksyonèl

Ou ta dwe kòmanse pa kreye yon modèl fonksyonèl - yon dokiman wo nivo ki dekri an detay fonksyonalite chak depatman ak chak pozisyon. Kòm yon règ, enfòmasyon antre nan li nan plizyè dokiman: deskripsyon travay ak règleman pou inite endividyèl - depatman, divizyon, depatman. Modèl fonksyonèl la dwe dakò ak tout depatman ki enterese (biznis, kontwòl entèn, sekirite) ak apwouve pa jesyon konpayi an. Pou kisa dokiman sa ye? Se konsa ke modèl la ka fè referans a li. Pou egzanp, ou pral bati yon modèl ki baze sou dwa ki deja egziste nan anplwaye yo - dechaje nan sistèm nan ak "redwi a yon denominatè komen". Lè sa a, lè ou dakò sou wòl yo resevwa ak pwopriyetè biznis la nan sistèm nan, ou ka refere a yon pwen espesifik nan modèl la fonksyonèl, sou baz ki sa a oswa dwa sa a enkli nan wòl la.

Etap 2. Nou odit sistèm IT epi trase yon plan priyorite

Nan dezyèm etap la, ou ta dwe fè yon odit nan sistèm IT yo konprann ki jan aksè a yo òganize. Pou egzanp, konpayi finansye mwen an te opere plizyè santèn sistèm enfòmasyon. Tout sistèm yo te gen kèk rudiments nan jesyon ki baze sou wòl, pifò te gen kèk wòl, men sitou sou papye oswa nan anyè sistèm lan - yo te demode depi lontan, epi yo te akòde aksè a yo ki baze sou demann itilizatè aktyèl la. Natirèlman, li se tou senpleman enposib bati yon modèl nan plizyè santèn sistèm nan yon fwa; ou dwe kòmanse yon kote. Nou te fè yon analiz apwofondi nan pwosesis kontwòl aksè a pou detèmine nivo matirite li. Pandan pwosesis analiz la, yo te devlope kritè pou priyorite sistèm enfòmasyon yo - kritik, preparasyon, plan pou dekomisyone, elatriye. Avèk èd yo, nou te aliye devlopman/mizajou modèl pou sistèm sa yo. Apre sa, nou enkli modèl nan plan an pou entegrasyon ak solisyon Jesyon idantite pou otomatize kontwòl aksè.

Se konsa, ki jan ou detèmine kritik nan yon sistèm? Reponn tèt ou kesyon sa yo:

  • Èske sistèm nan lye ak pwosesis operasyonèl yo sou ki aktivite debaz konpayi an depann?
  • Èske dezòd sistèm afekte entegrite byen konpayi an?
  • Ki sa ki maksimòm D' akseptab nan sistèm nan, rive nan ki li enposib retabli aktivite apre yon entèripsyon?
  • Èske yon vyolasyon entegrite enfòmasyon nan sistèm nan mennen nan konsekans irevokabl, tou de finansye ak repitasyon?
  • Kritik pou fwod. Prezans nan fonksyonalite, si yo pa byen kontwole, ka mennen nan aksyon fwod entèn / ekstèn;
  • Ki kondisyon legal yo ak règleman entèn ak pwosedi pou sistèm sa yo? Èske pral gen amann nan men regilatè pou pa konfòmite?

Nan konpayi finansye nou an, nou te fè yon odit tankou sa a. Jesyon te devlope pwosedi odit Revizyon Dwa Aksè pou gade itilizatè ki egziste deja yo ak dwa yo an premye nan sistèm enfòmasyon sa yo ki te sou lis pi gwo priyorite a. Depatman sekirite te plase kòm pwopriyetè pwosesis sa a. Men, pou jwenn yon foto konplè sou dwa aksè nan konpayi an, li te nesesè yo enplike IT ak depatman biznis nan pwosesis la. Ak isit la diskisyon, malantandi, epi pafwa menm sabotaj te kòmanse: pèsonn pa vle kraze ak responsablite aktyèl yo epi patisipe nan kèk, nan premye gade, aktivite enkonpreyansib.

NB Gwo konpayi ki gen pwosesis IT devlope yo pwobableman abitye ak pwosedi odit IT - IT General controls (ITGC), ki pèmèt ou idantifye enpèfeksyon nan pwosesis IT epi etabli kontwòl pou amelyore pwosesis yo an akò ak pi bon pratik (ITIL, COBIT, IT). Gouvènans elatriye.) Yon odit konsa pèmèt IT ak biznis pi byen konprann youn lòt epi devlope yon estrateji devlopman jwenti, analize risk, optimize depans, epi devlope apwòch ki pi efikas pou travay.

Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Youn nan domèn odit la se detèmine paramèt aksè lojik ak fizik nan sistèm enfòmasyon yo. Nou te pran done yo jwenn kòm yon baz pou plis itilize nan bati yon modèl. Kòm rezilta odit sa a, nou te gen yon rejis sistèm IT, kote yo te detèmine paramèt teknik yo epi yo te bay deskripsyon yo. Anplis de sa, pou chak sistèm, yo te idantifye yon pwopriyetè nan direksyon biznis nan enterè ki moun li te opere: se li ki te responsab pou pwosesis biznis yo ke sistèm sa a te sèvi. Yo te nonmen yon manadjè sèvis IT tou, responsab aplikasyon teknik bezwen biznis pou yon IS espesifik. Sistèm ki pi enpòtan pou konpayi an ak paramèt teknik yo, tèm de komisyonin ak dekomisyonin, elatriye yo te anrejistre.. Paramèt sa yo te trè itil nan pwosesis pou prepare pou kreyasyon yon modèl.

Etap 3 Kreye yon metodoloji

Kle a pou siksè nenpòt biznis se bon metòd. Se poutèt sa, tou de bati yon modèl ak fè yon odit, nou bezwen kreye yon metodoloji nan ki nou dekri entèraksyon ki genyen ant depatman, etabli responsablite nan règleman konpayi an, elatriye.
Premye ou bezwen egzamine tout dokiman ki disponib ki etabli pwosedi pou akòde aksè ak dwa. Nan yon bon fason, pwosesis yo ta dwe dokimante nan plizyè nivo:

  • kondisyon jeneral antrepriz;
  • kondisyon pou zòn sekirite enfòmasyon (depann sou zòn aktivite òganizasyon an);
  • kondisyon pou pwosesis teknolojik (enstriksyon, matris aksè, direktiv, kondisyon konfigirasyon).

Nan konpayi finansye nou an, nou te jwenn yon anpil nan dokiman demode; nou te oblije pote yo an akò ak nouvo pwosesis yo te aplike.

Dapre lòd jesyon, yo te kreye yon gwoup k ap travay, ki gen ladan l reprezantan sekirite, IT, biznis ak kontwòl entèn yo. Lòd la te dekri objektif pou kreye gwoup la, direksyon aktivite, peryòd egzistans la ak responsab chak bò. Anplis de sa, nou te devlope yon metodoloji odit ak yon pwosedi pou konstwi yon modèl: yo te dakò sou yo pa tout reprezantan ki responsab nan zòn yo ak apwouve pa jesyon konpayi an.

Dokiman ki dekri pwosedi pou fè travay, dat limit, responsablite, elatriye. - yon garanti ke sou wout la nan objektif la cheri, ki nan premye se pa evidan pou tout moun, pèsonn pa pral gen kesyon "poukisa nou fè sa, poukisa nou bezwen li, elatriye." epi p ap gen okenn opòtinite pou "sote" oswa ralanti pwosesis la.

Nou ap konstwi yon modèl kontwòl aksè ki baze sou wòl. Premye pati, preparasyon

Etap 4. Ranje paramèt modèl kontwòl aksè ki egziste deja

Nou ap trase yon sa yo rele "paspò sistèm" an tèm de kontwòl aksè. Nan sans, sa a se yon kesyonè sou yon sistèm enfòmasyon espesifik, ki anrejistre tout algoritm pou kontwole aksè a li. Konpayi ki te deja aplike solisyon IdM-klas yo pwobableman abitye ak yon kesyonè konsa, depi sa a se kote etid la nan sistèm kòmanse.

Gen kèk paramèt sou sistèm lan ak pwopriyetè yo te koule nan kesyonè a soti nan rejis IT la (gade etap 2, odit), men yo te ajoute nouvo tou:

  • ki jan kont yo jere (dirèkteman nan baz done a oswa atravè koòdone lojisyèl);
  • ki jan itilizatè yo konekte nan sistèm lan (itilize yon kont apa oswa lè l sèvi avèk yon kont AD, LDAP, elatriye);
  • ki nivo aksè nan sistèm nan yo itilize (nivo aplikasyon, nivo sistèm, itilizasyon sistèm nan resous dosye rezo);
  • deskripsyon ak paramèt nan sèvè yo sou ki sistèm lan kouri;
  • ki operasyon jesyon kont yo sipòte (bloke, chanje non, elatriye);
  • ki algoritm oswa règ yo itilize pou jenere idantifikasyon itilizatè sistèm lan;
  • ki atribi yo ka itilize pou etabli yon koneksyon ak dosye yon anplwaye nan sistèm pèsonèl la (non konplè, nimewo pèsonèl, elatriye);
  • tout atribi ak règ posib kont pou ranpli yo;
  • ki dwa aksè ki egziste nan sistèm nan (wòl, gwoup, dwa atomik, elatriye, èske gen dwa nich oswa yerarchize);
  • mekanis pou divize dwa aksè (pa pozisyon, depatman, fonksyonalite, elatriye);
  • Èske sistèm nan gen règ pou segregasyon dwa yo (SOD – Segregasyon devwa yo), ak kijan yo fonksyone;
  • ki jan evènman absans, transfè, ranvwa, aktyalizasyon done anplwaye yo, elatriye yo trete nan sistèm nan.

Lis sa a ka kontinye, detaye divès paramèt yo ak lòt objè ki enplike nan pwosesis kontwòl aksè a.

Etap 5. Kreye yon deskripsyon oryante biznis nan otorizasyon

Yon lòt dokiman ke nou pral bezwen lè bati yon modèl se yon liv referans sou tout pouvwa posib (dwa) ki ka akòde itilizatè yo nan sistèm enfòmasyon an ak yon deskripsyon detaye sou fonksyon biznis ki kanpe dèyè li. Souvan, otorite yo nan sistèm nan yo chiffres ak sèten non ki gen lèt ak nimewo, ak anplwaye biznis yo pa ka konnen ki sa ki kache dèyè senbòl sa yo. Lè sa a, yo ale nan sèvis IT la, epi la... yo tou pa ka reponn kesyon an, pou egzanp, sou dwa ki raman itilize. Lè sa a, tès adisyonèl yo dwe fè.

Li bon si gen deja yon deskripsyon biznis oswa menm si gen yon konbinezon de dwa sa yo nan gwoup ak wòl. Pou kèk aplikasyon, pi bon pratik se kreye yon referans konsa nan etap devlopman an. Men, sa pa rive souvan, kidonk nou ankò ale nan depatman IT pou kolekte enfòmasyon sou tout dwa posib epi dekri yo. Gid nou an pral finalman genyen bagay sa yo:

  • non otorite a, ki gen ladan objè a kote dwa aksè a aplike;
  • yon aksyon ki pèmèt yo fè ak yon objè (wè, chanje, elatriye, posibilite pou restriksyon, pou egzanp, pa baz teritoryal oswa pa gwoup kliyan);
  • kòd otorizasyon (kòd ak non fonksyon sistèm/demann ki ka egzekite lè l sèvi avèk otorizasyon an);
  • deskripsyon otorite a (deskripsyon detaye sou aksyon nan IS a lè w ap aplike otorite a ak konsekans yo pou pwosesis la;
  • estati pèmisyon: "Aktif" (si pèmisyon an bay omwen yon itilizatè) oswa "Pa aktif" (si pèmisyon an pa itilize).

Etap 6 Nou telechaje done sou itilizatè ak dwa nan sistèm yo epi konpare yo ak sous pèsonèl la

Nan etap final la nan preparasyon an, ou bezwen telechaje done ki soti nan sistèm enfòmasyon sou tout itilizatè yo ak dwa yo ke yo genyen kounye a. Gen de senaryo posib isit la. Premyèman: depatman sekirite a gen aksè dirèk nan sistèm nan epi li gen mwayen pou telechaje rapò ki enpòtan, ki pa rive souvan, men li trè pratik. Dezyèmman: nou voye yon demann bay IT pou resevwa rapò nan fòma obligatwa a. Eksperyans montre ke li pa posib pou jwenn yon akò ak IT epi jwenn done ki nesesè yo premye fwa. Li nesesè fè plizyè apwòch jiskaske enfòmasyon an resevwa nan fòm ak fòma vle a.

Ki done yo bezwen telechaje:

  • Non kont
  • Non konplè anplwaye yo bay li a
  • Estati (aktif oswa bloke)
  • Dat kreyasyon kont
  • Dat dènye itilizasyon
  • Lis dwa/gwoup/wòl ki disponib yo

Se konsa, nou te resevwa telechajman nan sistèm nan ak tout itilizatè yo ak tout dwa yo ki te akòde yo. Apre sa, yo imedyatman mete sou kote tout kont bloke, depi travay sou bati yon modèl yo pral fèt sèlman pou itilizatè aktif.

Lè sa a, si konpayi ou a pa gen mwayen otomatik pou bloke aksè a anplwaye yo revoke (sa a souvan rive) oswa gen automatisation patchwork ki pa toujou travay kòrèkteman, ou bezwen idantifye tout "nanm ki mouri." Nou ap pale de kont anplwaye yo ki deja revoke, ki gen dwa pa bloke pou kèk rezon - yo bezwen bloke. Pou fè sa, nou konpare done yo telechaje ak sous pèsonèl la. Dechaje pèsonèl yo dwe jwenn tou davans nan depatman ki kenbe baz done pèsonèl la.

Separeman, li nesesè yo mete sou kote kont ki gen pwopriyetè yo pa te jwenn nan baz done pèsonèl la, pa asiyen nan nenpòt moun - se sa ki, san pwopriyetè. Sèvi ak lis sa a, nou pral bezwen dat la nan dènye itilizasyon: si li se byen resan, nou pral toujou gen yo gade pou mèt pwopriyete yo. Sa a ka gen ladan kont kontraktè ekstèn oswa kont sèvis ki pa bay pèsonn, men ki asosye ak nenpòt pwosesis. Pou konnen kiyès kont yo fè pati, ou ka voye lèt bay tout depatman yo mande yo reponn. Lè pwopriyetè yo jwenn, nou antre done sou yo nan sistèm nan: fason sa a, tout kont aktif yo idantifye, ak rès yo bloke.

Le pli vit ke telechaje nou yo retire dosye ki pa nesesè epi sèlman kont aktif ki rete, nou ka kòmanse bati yon modèl pou yon sistèm enfòmasyon espesifik. Men, mwen pral di w sou sa a nan pwochen atik la.

Otè: Lyudmila Sevastyanova, manadjè pwomosyon Solè inRights

Sous: www.habr.com

Add nouvo kòmantè