PaÅ”laik strÄdÄju pie programmatÅ«ras pÄrdevÄja, Ä«paÅ”i piekļuves kontroles risinÄjumiem. Un mana pieredze āno pagÄtnes dzÄ«vesā ir saistÄ«ta ar klienta pusi - lielu finanÅ”u organizÄciju. Tolaik mÅ«su piekļuves kontroles grupa informÄcijas droŔības departamentÄ nevarÄja lepoties ar lieliskÄm kompetencÄm IdM jomÄ. Å ajÄ procesÄ mÄs daudz iemÄcÄ«jÄmies, nÄcÄs sasist ne mazums izciļÅu, lai uzÅÄmumÄ izveidotu darba mehÄnismu lietotÄju tiesÄ«bu pÄrvaldÄ«Å”anai informÄcijas sistÄmÄs.
Apvienojot savu grÅ«ti iegÅ«to klientu pieredzi ar pÄrdevÄju zinÄÅ”anÄm un kompetencÄm, es vÄlos dalÄ«ties ar jums bÅ«tÄ«bÄ soli pa solim sniegtÄs instrukcijÄs: kÄ izveidot uz lomu balstÄ«tu piekļuves kontroles modeli lielÄ uzÅÄmumÄ un ko tas dos. . Mani norÄdÄ«jumi sastÄv no divÄm daļÄm: pirmÄ gatavojas bÅ«vÄt modeli, otrÄ faktiski bÅ«vÄ. Å eit ir pirmÄ daļa, sagatavoÅ”anas daļa.
NB Parauga veidoÅ”ana diemžÄl nav rezultÄts, bet gan process. PareizÄk sakot, pat daļa no piekļuves kontroles ekosistÄmas izveides procesa uzÅÄmumÄ. TÄpÄc gatavojieties spÄlei uz ilgu laiku.
Vispirms definÄsim to ā kas ir uz lomu balstÄ«ta piekļuves kontrole? PieÅemsim, ka jums ir liela banka ar desmitiem vai pat simtiem tÅ«kstoÅ”u darbinieku (entÄ«tiju), no kuriem katram ir desmitiem piekļuves tiesÄ«bu simtiem iekÅ”Äjo bankas informÄcijas sistÄmu (objektu). Tagad reiziniet objektu skaitu ar priekÅ”metu skaitu - tas ir minimÄlais savienojumu skaits, kas vispirms jÄizveido un pÄc tam jÄkontrolÄ. Vai tieÅ”Äm to ir iespÄjams izdarÄ«t manuÄli? Protams, ka nÄ ā lomas tika radÄ«tas, lai atrisinÄtu Å”o problÄmu.
Loma ir atļauju kopa, kas lietotÄjam vai lietotÄju grupai ir nepiecieÅ”ama noteiktu darba uzdevumu veikÅ”anai. Katram darbiniekam var bÅ«t viena vai vairÄkas lomas, un katra loma var ietvert no vienas lÄ«dz daudzÄm atļaujÄm, kas ir atļautas lietotÄjam Å”ajÄ lomÄ. Lomas var saistÄ«t ar konkrÄtiem darbinieku amatiem, departamentiem vai funkcionÄliem uzdevumiem.
Lomas parasti tiek veidotas no individuÄlÄm darbinieku pilnvarÄm katrÄ informÄcijas sistÄmÄ. Tad no katras sistÄmas lomÄm veidojas globÄlÄs biznesa lomas. PiemÄram, biznesa loma "kredÄ«ta menedžeris" ietvers vairÄkas atseviŔķas lomas informÄcijas sistÄmÄs, kuras tiek izmantotas bankas klientu birojÄ. PiemÄram, galvenajÄ automatizÄtajÄ banku sistÄmÄ, kases modulÄ«, elektroniskajÄ dokumentu pÄrvaldÄ«bas sistÄmÄ, pakalpojumu menedžerÄ« un citos. UzÅÄmÄjdarbÄ«bas lomas, kÄ likums, ir saistÄ«tas ar organizatorisko struktÅ«ru - citiem vÄrdiem sakot, ar uzÅÄmuma nodaļu kopumu un amatiem tajÄs. TÄdÄ veidÄ tiek veidota globÄla lomu matrica (es sniedzu piemÄru zemÄk esoÅ”ajÄ tabulÄ).
Ir vÄrts atzÄ«mÄt, ka vienkÄrÅ”i nav iespÄjams izveidot 100% lomu modeli, nodroÅ”inot visas nepiecieÅ”amÄs tiesÄ«bas katras pozÄ«cijas darbiniekiem komercstruktÅ«rÄ. JÄ, tas nav nepiecieÅ”ams. Galu galÄ paraugs nevar bÅ«t statisks, jo tas ir atkarÄ«gs no pastÄvÄ«gi mainÄ«gas vides. Un no izmaiÅÄm uzÅÄmuma saimnieciskajÄ darbÄ«bÄ, kas attiecÄ«gi ietekmÄ izmaiÅas organizatoriskajÄ struktÅ«rÄ un funkcionalitÄtÄ. Un no pilnÄ«gas resursu trÅ«kuma, un no amata aprakstu neievÄroÅ”anas, un no peļÅas vÄlmes uz droŔības rÄÄ·ina, un no daudziem citiem faktoriem. TÄpÄc ir jÄveido paraugs, kas var segt lÄ«dz pat 80% lietotÄju vajadzÄ«bas pÄc nepiecieÅ”amajÄm pamattiesÄ«bÄm, pieŔķirot amatam. Un viÅi, ja nepiecieÅ”ams, var pieprasÄ«t atlikuÅ”os 20% vÄlÄk, izmantojot atseviŔķus pieteikumus.
Protams, jÅ«s varat jautÄt: "Vai nav tÄdas lietas kÄ 100% lomu modeļi?" Nu, kÄpÄc, tas notiek, piemÄram, bezpeļÅas struktÅ«rÄs, kas nav pakļautas biežÄm izmaiÅÄm - kÄdÄ pÄtniecÄ«bas institÅ«tÄ. Vai arÄ« militÄri rÅ«pniecisko kompleksu organizÄcijÄs ar augstu droŔības lÄ«meni, kur droŔība ir pirmajÄ vietÄ. Tas notiek komerciÄlÄ struktÅ«rÄ, bet atseviŔķas nodaļas ietvaros, kuras darbs ir diezgan statisks un prognozÄjams process.
GalvenÄ lomas vadÄ«bas priekÅ”rocÄ«ba ir tiesÄ«bu izsniegÅ”anas vienkÄrÅ”oÅ”ana, jo lomu skaits ir ievÄrojami mazÄks nekÄ informÄcijas sistÄmas lietotÄju skaits. Un tas attiecas uz jebkuru nozari.
Å emsim mazumtirdzniecÄ«bas uzÅÄmumu: tajÄ strÄdÄ tÅ«kstoÅ”iem pÄrdevÄju, taÄu viÅiem sistÄmÄ N ir vienÄds tiesÄ«bu kopums, un viÅiem tiks izveidota tikai viena loma. Kad uzÅÄmumÄ ierodas jauns pÄrdevÄjs, viÅam automÄtiski tiek pieŔķirta nepiecieÅ”amÄ loma sistÄmÄ, kurÄ jau ir visas nepiecieÅ”amÄs pilnvaras. TÄpat ar vienu klikŔķi var mainÄ«t tiesÄ«bas uzreiz tÅ«kstoÅ”iem pÄrdevÄju, piemÄram, pievienot jaunu atskaites Ä£enerÄÅ”anas opciju. Nav nepiecieÅ”ams veikt tÅ«kstoÅ” darbÄ«bu, katram kontam saistot jaunas tiesÄ«bas ā vienkÄrÅ”i pievienojiet Å”o opciju lomai, un tÄ bÅ«s redzama visiem pÄrdevÄjiem vienlaikus.
VÄl viena uz lomu balstÄ«tas pÄrvaldÄ«bas priekÅ”rocÄ«ba ir nesaderÄ«gu atļauju izsniegÅ”anas novÄrÅ”ana. Tas ir, darbiniekam, kuram sistÄmÄ ir noteikta loma, vienlaikus nevar bÅ«t cita loma, kuras tiesÄ«bas nevajadzÄtu apvienot ar pirmajÄm tiesÄ«bÄm. Spilgts piemÄrs ir aizliegums apvienot finanÅ”u darÄ«juma ievades un kontroles funkcijas.
Ikviens, kurÅ” interesÄjas par to, kÄ radÄs uz lomÄm balstÄ«ta piekļuves kontrole, var
ienirt vÄsturÄ
Ja palÅ«kojamies vÄsturÄ, IT sabiedrÄ«ba par piekļuves kontroles metodÄm pirmo reizi domÄja 70. gadsimta XNUMX. gados. Lai gan toreiz lietojumprogrammas bija diezgan vienkÄrÅ”as, tÄpat kÄ tagad, ikviens ļoti vÄlÄjÄs Ärti pÄrvaldÄ«t piekļuvi tÄm. PieŔķiriet, mainiet un kontrolÄjiet lietotÄja tiesÄ«bas ā tikai tÄpÄc, lai bÅ«tu vieglÄk saprast, kÄda piekļuve ir katram no tiem. Bet tajÄ laikÄ nebija vienotu standartu, tika izstrÄdÄtas pirmÄs piekļuves kontroles sistÄmas, un katrs uzÅÄmums bija balstÄ«ts uz savÄm idejÄm un noteikumiem.
Tagad ir zinÄmi daudzi dažÄdi piekļuves kontroles modeļi, taÄu tie neparÄdÄ«jÄs uzreiz. PakavÄsimies pie tiem, kas devuÅ”i bÅ«tisku ieguldÄ«jumu Ŕīs jomas attÄ«stÄ«bÄ.
Pirmais un, iespÄjams, vienkÄrÅ”Äkais modelis ir DiskrecionÄra (selektÄ«va) piekļuves kontrole (DAC ā diskrecionÄra piekļuves kontrole). Å is modelis paredz tiesÄ«bu koplietoÅ”anu starp visiem piekļuves procesa dalÄ«bniekiem. Katram lietotÄjam ir piekļuve noteiktiem objektiem vai darbÄ«bÄm. BÅ«tÄ«bÄ Å”eit tiesÄ«bu subjektu kopums atbilst objektu kopumam. Tika konstatÄts, ka Å”is modelis ir pÄrÄk elastÄ«gs un pÄrÄk grÅ«ti uzturÄjams: piekļuves saraksti galu galÄ kļūst milzÄ«gi un grÅ«ti kontrolÄjami.
Otrais modelis ir ObligÄtÄ piekļuves kontrole (MAC ā obligÄta piekļuves kontrole). SaskaÅÄ ar Å”o modeli katrs lietotÄjs saÅem piekļuvi objektam saskaÅÄ ar pieŔķirto piekļuvi noteiktam datu konfidencialitÄtes lÄ«menim. AttiecÄ«gi objekti ir jÄklasificÄ atbilstoÅ”i to konfidencialitÄtes lÄ«menim. AtŔķirÄ«bÄ no pirmÄ elastÄ«gÄ modeļa, Å”is, gluži pretÄji, izrÄdÄ«jÄs pÄrÄk stingrs un ierobežojoÅ”s. TÄ izmantoÅ”ana nav attaisnojama, ja uzÅÄmuma rÄ«cÄ«bÄ ir daudz dažÄdu informÄcijas resursu: lai diferencÄtu pieeju dažÄdiem resursiem, bÅ«s jÄievieÅ” daudzas kategorijas, kas nepÄrklÄsies.
Å o divu metožu acÄ«mredzamo nepilnÄ«bu dÄļ IT kopiena ir turpinÄjusi izstrÄdÄt modeļus, kas ir elastÄ«gÄki un vienlaikus vairÄk vai mazÄk universÄli, lai atbalstÄ«tu dažÄda veida organizÄcijas piekļuves kontroles politikas. Un tad parÄdÄ«jÄs treÅ”ais uz lomÄm balstÄ«ts piekļuves kontroles modelis! Å Ä« pieeja ir izrÄdÄ«jusies visdaudzsoloÅ”ÄkÄ, jo prasa ne tikai lietotÄja identitÄtes autorizÄciju, bet arÄ« viÅa darbÄ«bas funkcijas sistÄmÄs.
Pirmo skaidri aprakstÄ«to lomu modeļa struktÅ«ru ierosinÄja amerikÄÅu zinÄtnieki Deivids Ferailo un RiÄards KÅ«ns no ASV NacionÄlÄ standartu un tehnoloÄ£iju institÅ«ta 1992. gadÄ. Tad pirmo reizi parÄdÄ«jÄs termins RBAC (uz lomu balstÄ«ta piekļuves kontrole). Å ie pÄtÄ«jumi un galveno komponentu apraksti, kÄ arÄ« to sakarÄ«bas veidoja pamatu INCITS 359-2012 standartam, kas joprojÄm ir spÄkÄ un ir apstiprinÄts StarptautiskÄs informÄcijas tehnoloÄ£iju standartu komitejÄ (INCITS).
Standarts definÄ lomu kÄ "darba funkciju organizÄcijas kontekstÄ ar noteiktu semantiku saistÄ«bÄ ar pilnvarÄm un atbildÄ«bu, kas pieŔķirta lomai pieŔķirtajam lietotÄjam". Dokuments nosaka RBAC pamatelementus - lietotÄjus, sesijas, lomas, atļaujas, darbÄ«bas un objektus, kÄ arÄ« attiecÄ«bas un savstarpÄjos savienojumus starp tiem.
Standarts nodroÅ”ina minimÄlo nepiecieÅ”amo struktÅ«ru, lai izveidotu lomu modeli ā tiesÄ«bu apvienoÅ”ana lomÄs un pÄc tam piekļuves pieŔķirÅ”ana lietotÄjiem, izmantojot Ŕīs lomas. IeskicÄti mehÄnismi lomu salikÅ”anai no objektiem un operÄcijÄm, aprakstÄ«ta lomu hierarhija un pilnvaru pÄrmantoÅ”ana. Galu galÄ jebkurÄ uzÅÄmumÄ ir lomas, kas apvieno pamatpilnvaras, kas nepiecieÅ”amas visiem uzÅÄmuma darbiniekiem. TÄ varÄtu bÅ«t piekļuve e-pastam, EDMS, korporatÄ«vajam portÄlam utt. Å Ä«s atļaujas var iekļaut vienÄ vispÄrÄ«gÄ lomÄ, ko sauc par ādarbiniekuā, un nebÅ«s nepiecieÅ”ams atkal un atkal uzskaitÄ«t visas pamattiesÄ«bas katrÄ augstÄkÄ lÄ«meÅa lomÄ. Pietiek vienkÄrÅ”i norÄdÄ«t ādarbiniekaā lomai raksturÄ«go mantojumu.
VÄlÄk standarts tika papildinÄts ar jauniem piekļuves atribÅ«tiem, kas saistÄ«ti ar pastÄvÄ«gi mainÄ«go vidi. Ir pievienota iespÄja ieviest statiskus un dinamiskus ierobežojumus. StatiskÄs lomas nozÄ«mÄ neiespÄjamÄ«bu apvienot lomas (tÄda pati ievade un operÄciju kontrole, kas minÄta iepriekÅ”). Dinamiskos ierobežojumus var noteikt, mainot parametrus, piemÄram, laiku (darba/bez darba laiks vai dienas), atraÅ”anÄs vietu (birojs/mÄjas) utt.
Ir vÄrts pieminÄt atseviŔķi uz atribÅ«tiem balstÄ«ta piekļuves kontrole (ABAC ā uz atribÅ«tiem balstÄ«ta piekļuves kontrole). Pieeja ir balstÄ«ta uz piekļuves pieŔķirÅ”anu, izmantojot atribÅ«tu koplietoÅ”anas noteikumus. Å o modeli var izmantot atseviŔķi, taÄu diezgan bieži tas aktÄ«vi papildina klasisko lomu modeli: noteiktai lomai var pievienot lietotÄju, resursu un ierÄ«Äu atribÅ«tus, kÄ arÄ« laiku vai atraÅ”anÄs vietu. Tas ļauj izmantot mazÄk lomu, ieviest papildu ierobežojumus un padarÄ«t piekļuvi pÄc iespÄjas mazÄku, tÄdÄjÄdi uzlabojot droŔību.
PiemÄram, grÄmatvedim var atļaut piekļuvi kontiem, ja viÅÅ” strÄdÄ noteiktÄ reÄ£ionÄ. Tad speciÄlista atraÅ”anÄs vieta tiks salÄ«dzinÄta ar noteiktu atsauces vÄrtÄ«bu. Vai arÄ« varat pieŔķirt piekļuvi kontiem tikai tad, ja lietotÄjs piesakÄs no ierÄ«ces, kas iekļauta atļauto kontu sarakstÄ. Labs papildinÄjums paraugam, taÄu reti tiek izmantots atseviŔķi, jo ir jÄizveido daudzi noteikumi un atļauju vai ierobežojumu tabulas.
Ä»aujiet man sniegt jums piemÄru, kÄ izmantot ABAC no manas āiepriekÅ”ÄjÄs dzÄ«vesā. MÅ«su bankai bija vairÄkas filiÄles. Klientu biroju darbinieki Å”ajÄs filiÄlÄs veica tieÅ”i tÄdas paÅ”as darbÄ«bas, bet galvenajÄ sistÄmÄ bija jÄstrÄdÄ tikai ar kontiem savÄ reÄ£ionÄ. PirmkÄrt, mÄs sÄkÄm veidot atseviŔķas lomas katram reÄ£ionam ā un Å”Ädu lomu bija tik daudz ar atkÄrtotu funkcionalitÄti, bet ar piekļuvi dažÄdiem kontiem! PÄc tam, izmantojot lietotÄja atraÅ”anÄs vietas atribÅ«tu un saistot to ar noteiktu kontu klÄstu, kas jÄpÄrskata, mÄs ievÄrojami samazinÄjÄm lomu skaitu sistÄmÄ. RezultÄtÄ lomas palika tikai vienai filiÄlei, kuras tika atkÄrtotas atbilstoÅ”ajiem amatiem visÄs pÄrÄjÄs bankas teritoriÄlajÄs nodaļÄs.
Tagad parunÄsim par nepiecieÅ”amajiem sagatavoÅ”anÄs posmiem, bez kuriem vienkÄrÅ”i nav iespÄjams izveidot darba paraugu.
Solis 1. Izveidojiet funkcionÄlo modeli
Jums vajadzÄtu sÄkt ar funkcionÄla modeļa izveidi - augstÄkÄ lÄ«meÅa dokumentu, kurÄ detalizÄti aprakstÄ«ta katras nodaļas un katras pozÄ«cijas funkcionalitÄte. Parasti informÄcija tajÄ tiek ievadÄ«ta no dažÄdiem dokumentiem: atseviŔķu struktÅ«rvienÄ«bu - departamentu, nodaļu, departamentu - amatu apraksti un noteikumi. FunkcionÄlais modelis ir jÄsaskaÅo ar visÄm ieinteresÄtajÄm nodaļÄm (biznesa, iekÅ”ÄjÄs kontroles, droŔības) un jÄapstiprina uzÅÄmuma vadÄ«bai. Kam paredzÄts Å”is dokuments? Lai paraugs uz to varÄtu atsaukties. PiemÄram, jÅ«s gatavojaties izveidot paraugu, pamatojoties uz esoÅ”ajÄm darbinieku tiesÄ«bÄm - izlÄdÄtas no sistÄmas un āsamazinÄtas lÄ«dz kopsaucÄjamā. PÄc tam, vienojoties par saÅemtajÄm lomÄm ar sistÄmas uzÅÄmuma Ä«paÅ”nieku, var atsaukties uz konkrÄtu funkcionÄlÄ modeļa punktu, uz kura pamata lomai tiek iekļautas Ŕīs vai citas tiesÄ«bas.
2. solis. MÄs auditÄjam IT sistÄmas un sastÄdÄm prioritÄÅ”u plÄnu
OtrajÄ posmÄ jums jÄveic IT sistÄmu audits, lai saprastu, kÄ tiek organizÄta piekļuve tÄm. PiemÄram, manÄ finanÅ”u uzÅÄmumÄ bija vairÄki simti informÄcijas sistÄmu. VisÄm sistÄmÄm bija daži uz lomÄm balstÄ«tas pÄrvaldÄ«bas pamati, lielÄkajai daļai bija dažas lomas, bet galvenokÄrt uz papÄ«ra vai sistÄmas direktorijÄ - tÄs bija sen novecojuÅ”as, un piekļuve tÄm tika pieŔķirta, pamatojoties uz reÄliem lietotÄju pieprasÄ«jumiem. Protams, ir vienkÄrÅ”i neiespÄjami izveidot paraugu vairÄkos simtos sistÄmu vienlaikus, kaut kur ir jÄsÄk. MÄs veicÄm piekļuves kontroles procesa padziļinÄtu analÄ«zi, lai noteiktu tÄ brieduma lÄ«meni. AnalÄ«zes procesÄ tika izstrÄdÄti informÄcijas sistÄmu prioritÄÅ”u noteikÅ”anas kritÄriji - kritiskums, gatavÄ«ba, ekspluatÄcijas pÄrtraukÅ”anas plÄni u.c. Ar viÅu palÄ«dzÄ«bu mÄs sarindojÄm Å”o sistÄmu lomu modeļu izstrÄdi/atjauninÄÅ”anu. Un tad mÄs iekļÄvÄm lomu modeļus integrÄcijas plÄnÄ ar Identity Management risinÄjumu, lai automatizÄtu piekļuves kontroli.
TÄtad, kÄ noteikt sistÄmas kritiskumu? Atbildiet sev uz Å”Ädiem jautÄjumiem:
- Vai sistÄma ir saistÄ«ta ar darbÄ«bas procesiem, no kuriem ir atkarÄ«ga uzÅÄmuma pamatdarbÄ«ba?
- Vai sistÄmas darbÄ«bas traucÄjumi ietekmÄs uzÅÄmuma aktÄ«vu integritÄti?
- KÄds ir maksimÄli pieļaujamais sistÄmas dÄ«kstÄves laiks, kuru sasniedzot nav iespÄjams atjaunot darbÄ«bu pÄc pÄrtraukuma?
- Vai informÄcijas integritÄtes pÄrkÄpums sistÄmÄ var radÄ«t neatgriezeniskas gan finansiÄlas, gan reputÄcijas sekas?
- Kritiskums pret krÄpÅ”anu. FunkcionalitÄtes klÄtbÅ«tne, ja tÄ netiek pareizi kontrolÄta, var izraisÄ«t iekÅ”Äjas/ÄrÄjas krÄpnieciskas darbÄ«bas;
- KÄdas ir Å”o sistÄmu juridiskÄs prasÄ«bas un iekÅ”Äjie noteikumi un procedÅ«ras? Vai par noteikumu neievÄroÅ”anu tiks uzlikti naudas sodi no regulatoriem?
MÅ«su finanÅ”u uzÅÄmumÄ mÄs veicÄm Å”Ädu revÄ«ziju. VadÄ«ba izstrÄdÄja piekļuves tiesÄ«bu pÄrskatÄ«Å”anas audita procedÅ«ru, lai vispirms aplÅ«kotu esoÅ”os lietotÄjus un tiesÄ«bas tajÄs informÄcijas sistÄmÄs, kuras bija visaugstÄko prioritÄÅ”u sarakstÄ. DroŔības departaments tika noteikts kÄ Å”Ä« procesa Ä«paÅ”nieks. Bet, lai iegÅ«tu pilnÄ«gu priekÅ”statu par piekļuves tiesÄ«bÄm uzÅÄmumÄ, procesÄ bija nepiecieÅ”ams iesaistÄ«t IT un biznesa nodaļas. Un te sÄkÄs strÄ«di, nesapraÅ”anÄs un dažkÄrt pat sabotÄža: neviens nevÄlas atrauties no saviem lÄ«dzÅ”inÄjiem pienÄkumiem un iesaistÄ«ties kÄdÄs, no pirmÄ acu uzmetiena nesaprotamÄs darbÄ«bÄs.
NB Lielajiem uzÅÄmumiem ar attÄ«stÄ«tiem IT procesiem droÅ”i vien ir zinÄma IT audita procedÅ«ra - IT vispÄrÄjÄs kontroles (ITGC), kas ļauj identificÄt IT procesu nepilnÄ«bas un izveidot kontroli, lai pilnveidotu procesus atbilstoÅ”i labÄkajai praksei (ITIL, COBIT, IT). PÄrvaldÄ«ba utt.) Å Äds audits ļauj IT un biznesam labÄk saprast vienam otru un izstrÄdÄt kopÄ«gu attÄ«stÄ«bas stratÄÄ£iju, analizÄt riskus, optimizÄt izmaksas un izstrÄdÄt efektÄ«vÄkas pieejas darbam.
Viena no audita jomÄm ir informÄcijas sistÄmu loÄ£iskÄs un fiziskÄs piekļuves parametru noteikÅ”ana. IegÅ«tos datus ÅÄmÄm par pamatu turpmÄkai izmantoÅ”anai parauga veidoÅ”anÄ. Å Ä« audita rezultÄtÄ mums bija IT sistÄmu reÄ£istrs, kurÄ tika noteikti to tehniskie parametri un doti apraksti. TurklÄt katrai sistÄmai tika noteikts Ä«paÅ”nieks no biznesa virziena, kura interesÄs tÄ tika vadÄ«ta: viÅÅ” bija atbildÄ«gs par biznesa procesiem, kuriem Ŕī sistÄma kalpoja. Tika iecelts arÄ« IT servisa vadÄ«tÄjs, kurÅ” atbild par biznesa vajadzÄ«bu tehnisko realizÄciju konkrÄtai IS. Tika fiksÄtas uzÅÄmumam kritiskÄkÄs sistÄmas un to tehniskie parametri, nodoÅ”anas ekspluatÄcijÄ un izbeigÅ”anas termiÅi u.c.. Å ie parametri ļoti palÄ«dzÄja, gatavojoties parauga izveidei.
3. solis Izveidojiet metodiku
Jebkura biznesa panÄkumu atslÄga ir pareizÄ metode. TÄpÄc gan parauga veidoÅ”anai, gan audita veikÅ”anai ir jÄizveido metodika, kurÄ aprakstÄm struktÅ«rvienÄ«bu mijiedarbÄ«bu, nosakÄm atbildÄ«bu uzÅÄmuma nolikumÄ utt.
Vispirms jums ir jÄpÄrbauda visi pieejamie dokumenti, kas nosaka piekļuves un tiesÄ«bu pieŔķirÅ”anas procedÅ«ru. LabÄ nozÄ«mÄ procesi ir jÄdokumentÄ vairÄkos lÄ«meÅos:
- vispÄrÄjÄs korporatÄ«vÄs prasÄ«bas;
- prasÄ«bas informÄcijas droŔības jomÄm (atkarÄ«bÄ no organizÄcijas darbÄ«bas jomÄm);
- prasÄ«bas tehnoloÄ£iskajiem procesiem (instrukcijas, piekļuves matricas, vadlÄ«nijas, konfigurÄcijas prasÄ«bas).
MÅ«su finanÅ”u uzÅÄmumÄ mÄs atradÄm daudz novecojuÅ”u dokumentu, kas mums bija jÄnes saskaÅÄ ar jaunajiem procesiem, kas tiek ieviesti.
PÄc vadÄ«bas rÄ«kojuma tika izveidota darba grupa, kurÄ bija droŔības, IT, biznesa un iekÅ”ÄjÄs kontroles pÄrstÄvji. RÄ«kojumÄ tika iezÄ«mÄti grupas izveides mÄrÄ·i, darbÄ«bas virziens, pastÄvÄÅ”anas periods un atbildÄ«gie no katras puses. Papildus izstrÄdÄjÄm audita metodiku un lomu modeļa konstruÄÅ”anas procedÅ«ru: par tÄm vienojÄs visi atbildÄ«gie jomu pÄrstÄvji un apstiprinÄja uzÅÄmuma vadÄ«ba.
Dokumenti, kas apraksta darbu veikÅ”anas kÄrtÄ«bu, termiÅus, pienÄkumus utt. - garantija, ka ceÄ¼Ä uz loloto mÄrÄ·i, kas sÄkotnÄji nav skaidrs visiem, nevienam neradÄ«sies jautÄjumi "kÄpÄc mÄs to darÄm, kÄpÄc mums tas ir vajadzÄ«gs utt." un nebÅ«s iespÄjas āatlÄktā vai bremzÄt procesu.
4. solis. Labojiet esoÅ”Ä piekļuves kontroles modeļa parametrus
MÄs izstrÄdÄjam tÄ saukto āsistÄmas pasiā piekļuves kontroles ziÅÄ. BÅ«tÄ«bÄ Å”Ä« ir anketa par konkrÄtu informÄcijas sistÄmu, kurÄ tiek ierakstÄ«ti visi algoritmi piekļuves kontrolei. UzÅÄmumi, kas jau ir ieviesuÅ”i IdM klases risinÄjumus, visticamÄk, ir pazÄ«stami ar Å”Ädu anketu, jo ar to sÄkas sistÄmu izpÄte.
Daži parametri par sistÄmu un Ä«paÅ”niekiem ieplÅ«da anketÄ no IT reÄ£istra (skat. 2. soli, audits), taÄu tika pievienoti arÄ« jauni:
- kÄ tiek pÄrvaldÄ«ti konti (tieÅ”i datu bÄzÄ vai ar programmatÅ«ras saskarnÄm);
- kÄ lietotÄji piesakÄs sistÄmÄ (izmantojot atseviŔķu kontu vai izmantojot AD kontu, LDAP utt.);
- kÄdi piekļuves lÄ«meÅi sistÄmai tiek izmantoti (lietojumprogrammas lÄ«menis, sistÄmas lÄ«menis, tÄ«kla failu resursu sistÄmas izmantoÅ”ana);
- to serveru apraksts un parametri, uz kuriem sistÄma darbojas;
- kÄdas konta pÄrvaldÄ«bas darbÄ«bas tiek atbalstÄ«tas (bloÄ·ÄÅ”ana, pÄrdÄvÄÅ”ana utt.);
- kÄdi algoritmi vai noteikumi tiek izmantoti sistÄmas lietotÄja identifikatora Ä£enerÄÅ”anai;
- kÄdu atribÅ«tu var izmantot, lai izveidotu saikni ar darbinieka ierakstu personÄla sistÄmÄ (pilns vÄrds, personÄla numurs utt.);
- visi iespÄjamie konta atribÅ«ti un to aizpildÄ«Å”anas noteikumi;
- kÄdas piekļuves tiesÄ«bas pastÄv sistÄmÄ (lomas, grupas, atomtiesÄ«bas utt., vai ir ligzdotas vai hierarhiskas tiesÄ«bas);
- piekļuves tiesÄ«bu sadalÄ«Å”anas mehÄnismi (pÄc amata, departamenta, funkcionalitÄtes utt.);
- Vai sistÄmai ir tiesÄ«bu noŔķirÅ”anas noteikumi (SOD ā PienÄkumu nodalÄ«Å”ana) un kÄ tie darbojas;
- kÄ sistÄmÄ tiek apstrÄdÄti notikumi par prombÅ«tni, pÄrcelÅ”anu, atlaiÅ”anu, darbinieku datu aktualizÄÅ”anu u.c.
Å o sarakstu var turpinÄt, detalizÄti norÄdot dažÄdus parametrus un citus objektus, kas ir iesaistÄ«ti piekļuves kontroles procesÄ.
5. darbÄ«ba. Izveidojiet uz uzÅÄmÄjdarbÄ«bu orientÄtu atļauju aprakstu
VÄl viens dokuments, kas mums bÅ«s nepiecieÅ”ams, veidojot lomu modeli, ir uzziÅu grÄmata par visÄm iespÄjamajÄm pilnvarÄm (tiesÄ«bÄm), kuras var pieŔķirt lietotÄjiem informÄcijas sistÄmÄ, ar detalizÄtu biznesa funkcijas aprakstu, kas atrodas aiz tÄ. Bieži vien sistÄmas iestÄdes ir Å”ifrÄtas ar noteiktiem nosaukumiem, kas sastÄv no burtiem un cipariem, un uzÅÄmuma darbinieki nevar saprast, kas slÄpjas aiz Å”iem simboliem. Tad viÅi aiziet uz IT servisu, un tur... arÄ« nevar atbildÄt uz jautÄjumu, piemÄram, par reti izmantotÄm tiesÄ«bÄm. PÄc tam jÄveic papildu pÄrbaude.
Ir labi, ja jau ir uzÅÄmuma apraksts vai pat ja Ŕīs tiesÄ«bas ir apvienotas grupÄs un lomÄs. DažÄm lietojumprogrammÄm labÄkÄ prakse ir izveidot Å”Ädu atsauci izstrÄdes stadijÄ. TaÄu tas nenotiek bieži, tÄpÄc mÄs atkal ejam uz IT nodaļu, lai apkopotu informÄciju par visÄm iespÄjamÄm tiesÄ«bÄm un aprakstÄ«tu tÄs. MÅ«su ceļvedis galu galÄ ietvers tÄlÄk norÄdÄ«to.
- iestÄdes nosaukums, ieskaitot objektu, uz kuru attiecas piekļuves tiesÄ«bas;
- darbÄ«ba, ko atļauts veikt ar objektu (apskatÄ«Å”ana, maiÅa u.tml., ierobežojuma iespÄja, piemÄram, pÄc teritoriÄlÄ pamata vai klientu grupas);
- autorizÄcijas kods (sistÄmas funkcijas/pieprasÄ«juma kods un nosaukums, ko var izpildÄ«t, izmantojot autorizÄciju);
- iestÄdes apraksts (detalizÄts apraksts par darbÄ«bÄm IS, piemÄrojot pilnvaru, un to sekas uz procesu;
- atļaujas statuss: āAktÄ«vsā (ja atļauja pieŔķirta vismaz vienam lietotÄjam) vai āNav aktÄ«vaā (ja atļauja netiek izmantota).
6. darbÄ«ba MÄs lejupielÄdÄjam datus par lietotÄjiem un tiesÄ«bÄm no sistÄmÄm un salÄ«dzinÄm tos ar personÄla avotu
SagatavoÅ”anas pÄdÄjÄ posmÄ no informÄcijas sistÄmÄm ir jÄlejupielÄdÄ dati par visiem lietotÄjiem un viÅiem paÅ”laik pieŔķirtajÄm tiesÄ«bÄm. Å eit ir divi iespÄjamie scenÄriji. PirmkÄrt: droŔības nodaļai ir tieÅ”a piekļuve sistÄmai un iespÄja lejupielÄdÄt attiecÄ«gos pÄrskatus, kas nenotiek bieži, bet ir ļoti Ärti. OtrkÄrt: nosÅ«tÄm pieprasÄ«jumu IT saÅemt atskaites vajadzÄ«gajÄ formÄtÄ. Pieredze rÄda, ka ar IT vienoties un iegÅ«t nepiecieÅ”amos datus pirmajÄ reizÄ nav iespÄjams. Ir nepiecieÅ”ams veikt vairÄkas pieejas, lÄ«dz informÄcija tiek saÅemta vÄlamajÄ formÄ un formÄtÄ.
KÄdi dati ir jÄlejupielÄdÄ:
- Konta vÄrds
- TÄ darbinieka pilns vÄrds, uzvÄrds, kuram tas ir pieŔķirts
- Statuss (aktÄ«vs vai bloÄ·Äts)
- Konta izveides datums
- PÄdÄjÄs lietoÅ”anas datums
- Pieejamo tiesību/grupu/lomu saraksts
TÄtad, mÄs saÅÄmÄm lejupielÄdes no sistÄmas ar visiem lietotÄjiem un visÄm viÅiem pieŔķirtajÄm tiesÄ«bÄm. Un viÅi nekavÄjoties nolika malÄ visus bloÄ·Ätos kontus, jo darbs pie parauga veidoÅ”anas tiks veikts tikai aktÄ«viem lietotÄjiem.
PÄc tam, ja jÅ«su uzÅÄmumam nav automatizÄtu lÄ«dzekļu, lai bloÄ·Ätu piekļuvi atlaistajiem darbiniekiem (tas bieži notiek) vai arÄ« tajÄ ir automatizÄcija, kas ne vienmÄr darbojas pareizi, jums ir jÄidentificÄ visas "miruÅ”Äs dvÄseles". Runa ir par jau atlaisto darbinieku kontiem, kuriem tiesÄ«bas nez kÄpÄc nav bloÄ·Ätas - vajag bloÄ·Ät. Lai to izdarÄ«tu, mÄs salÄ«dzinÄm augÅ”upielÄdÄtos datus ar personÄla avotu. PersonÄla izkrauÅ”ana iepriekÅ” jÄsaÅem arÄ« nodaļÄ, kas uztur personÄla datu bÄzi.
AtseviŔķi ir jÄatliek konti, kuru Ä«paÅ”nieki netika atrasti personÄla datu bÄzÄ, nevienam nav pieŔķirti - tas ir, bezsaimnieka. Izmantojot Å”o sarakstu, mums bÅ«s nepiecieÅ”ams pÄdÄjÄs lietoÅ”anas datums: ja tas ir pavisam nesen, mums joprojÄm bÅ«s jÄmeklÄ Ä«paÅ”nieki. Tas var ietvert ÄrÄjo darbuzÅÄmÄju kontus vai pakalpojumu kontus, kas nav pieŔķirti nevienam, bet ir saistÄ«ti ar jebkÄdiem procesiem. Lai uzzinÄtu, kam konti pieder, varat nosÅ«tÄ«t vÄstules visÄm nodaļÄm ar lÅ«gumu atbildÄt. Kad Ä«paÅ”nieki ir atrasti, mÄs ievadÄm datus par viÅiem sistÄmÄ: tÄdÄjÄdi tiek identificÄti visi aktÄ«vie konti, bet pÄrÄjie tiek bloÄ·Äti.
TiklÄ«dz mÅ«su augÅ”upielÄdÄs ir notÄ«rÄ«ti nevajadzÄ«gi ieraksti un paliek tikai aktÄ«vie konti, mÄs varam sÄkt veidot paraugu konkrÄtai informÄcijas sistÄmai. Bet par to es jums pastÄstÄ«Å”u nÄkamajÄ rakstÄ.
Autore: Ludmila Sevastjanova, Solar inRights veicinÄÅ”anas menedžere
Avots: www.habr.com