🥇Mēs veidojam piekļuves kontroles paraugu. Pirmā daļa, sagatavošanās

Pašlaik strādāju pie programmatūras pārdevēja, īpaši piekļuves kontroles risinājumiem. Un mana pieredze “no pagātnes dzīves” ir saistīta ar klienta pusi - lielu finanšu organizāciju. Tolaik mūsu piekļuves kontroles grupa informācijas drošības departamentā nevarēja lepoties ar lieliskām kompetencēm IdM jomā. Šajā procesā mēs daudz iemācījāmies, nācās sasist ne mazums izciļņu, lai uzņēmumā izveidotu darba mehānismu lietotāju tiesību pārvaldīšanai informācijas sistēmās.

Apvienojot savu grūti iegūto klientu pieredzi ar pārdevēju zināšanām un kompetencēm, es vēlos dalīties ar jums būtībā soli pa solim sniegtās instrukcijās: kā izveidot uz lomu balstītu piekļuves kontroles modeli lielā uzņēmumā un ko tas dos. . Mani norādījumi sastāv no divām daļām: pirmā gatavojas būvēt modeli, otrā faktiski būvē. Šeit ir pirmā daļa, sagatavošanas daļa.

NB Parauga veidošana diemžēl nav rezultāts, bet gan process. Pareizāk sakot, pat daļa no piekļuves kontroles ekosistēmas izveides procesa uzņēmumā. Tāpēc gatavojieties spēlei uz ilgu laiku.

Vispirms definēsim to — kas ir uz lomu balstīta piekļuves kontrole? Pieņemsim, ka jums ir liela banka ar desmitiem vai pat simtiem tūkstošu darbinieku (entītiju), no kuriem katram ir desmitiem piekļuves tiesību simtiem iekšējo bankas informācijas sistēmu (objektu). Tagad reiziniet objektu skaitu ar priekšmetu skaitu - tas ir minimālais savienojumu skaits, kas vispirms jāizveido un pēc tam jākontrolē. Vai tiešām to ir iespējams izdarīt manuāli? Protams, ka nē – lomas tika radītas, lai atrisinātu šo problēmu.

Loma ir atļauju kopa, kas lietotājam vai lietotāju grupai ir nepieciešama noteiktu darba uzdevumu veikšanai. Katram darbiniekam var būt viena vai vairākas lomas, un katra loma var ietvert no vienas līdz daudzām atļaujām, kas ir atļautas lietotājam šajā lomā. Lomas var saistīt ar konkrētiem darbinieku amatiem, departamentiem vai funkcionāliem uzdevumiem.

Lomas parasti tiek veidotas no individuālām darbinieku pilnvarām katrā informācijas sistēmā. Tad no katras sistēmas lomām veidojas globālās biznesa lomas. Piemēram, biznesa loma "kredīta menedžeris" ietvers vairākas atsevišķas lomas informācijas sistēmās, kuras tiek izmantotas bankas klientu birojā. Piemēram, galvenajā automatizētajā banku sistēmā, kases modulī, elektroniskajā dokumentu pārvaldības sistēmā, pakalpojumu menedžerī un citos. Uzņēmējdarbības lomas, kā likums, ir saistītas ar organizatorisko struktūru - citiem vārdiem sakot, ar uzņēmuma nodaļu kopumu un amatiem tajās. Tādā veidā tiek veidota globāla lomu matrica (es sniedzu piemēru zemāk esošajā tabulā).

Ir vērts atzīmēt, ka vienkārši nav iespējams izveidot 100% lomu modeli, nodrošinot visas nepieciešamās tiesības katras pozīcijas darbiniekiem komercstruktūrā. Jā, tas nav nepieciešams. Galu galā paraugs nevar būt statisks, jo tas ir atkarīgs no pastāvīgi mainīgas vides. Un no izmaiņām uzņēmuma saimnieciskajā darbībā, kas attiecīgi ietekmē izmaiņas organizatoriskajā struktūrā un funkcionalitātē. Un no pilnīgas resursu trūkuma, un no amata aprakstu neievērošanas, un no peļņas vēlmes uz drošības rēķina, un no daudziem citiem faktoriem. Tāpēc ir jāveido paraugs, kas var segt līdz pat 80% lietotāju vajadzības pēc nepieciešamajām pamattiesībām, piešķirot amatam. Un viņi, ja nepieciešams, var pieprasīt atlikušos 20% vēlāk, izmantojot atsevišķus pieteikumus.

Protams, jūs varat jautāt: "Vai nav tādas lietas kā 100% lomu modeļi?" Nu, kāpēc, tas notiek, piemēram, bezpeļņas struktūrās, kas nav pakļautas biežām izmaiņām - kādā pētniecības institūtā. Vai arī militāri rūpniecisko kompleksu organizācijās ar augstu drošības līmeni, kur drošība ir pirmajā vietā. Tas notiek komerciālā struktūrā, bet atsevišķas nodaļas ietvaros, kuras darbs ir diezgan statisks un prognozējams process.

Galvenā lomas vadības priekšrocība ir tiesību izsniegšanas vienkāršošana, jo lomu skaits ir ievērojami mazāks nekā informācijas sistēmas lietotāju skaits. Un tas attiecas uz jebkuru nozari.

Ņemsim mazumtirdzniecības uzņēmumu: tajā strādā tūkstošiem pārdevēju, taču viņiem sistēmā N ir vienāds tiesību kopums, un viņiem tiks izveidota tikai viena loma. Kad uzņēmumā ierodas jauns pārdevējs, viņam automātiski tiek piešķirta nepieciešamā loma sistēmā, kurā jau ir visas nepieciešamās pilnvaras. Tāpat ar vienu klikšķi var mainīt tiesības uzreiz tūkstošiem pārdevēju, piemēram, pievienot jaunu atskaites ģenerēšanas opciju. Nav nepieciešams veikt tūkstoš darbību, katram kontam saistot jaunas tiesības – vienkārši pievienojiet šo opciju lomai, un tā būs redzama visiem pārdevējiem vienlaikus.

Vēl viena uz lomu balstītas pārvaldības priekšrocība ir nesaderīgu atļauju izsniegšanas novēršana. Tas ir, darbiniekam, kuram sistēmā ir noteikta loma, vienlaikus nevar būt cita loma, kuras tiesības nevajadzētu apvienot ar pirmajām tiesībām. Spilgts piemērs ir aizliegums apvienot finanšu darījuma ievades un kontroles funkcijas.

Ikviens, kurš interesējas par to, kā radās uz lomām balstīta piekļuves kontrole, var
ienirt vēsturē
Ja palūkojamies vēsturē, IT sabiedrība par piekļuves kontroles metodēm pirmo reizi domāja 70. gadsimta XNUMX. gados. Lai gan toreiz lietojumprogrammas bija diezgan vienkāršas, tāpat kā tagad, ikviens ļoti vēlējās ērti pārvaldīt piekļuvi tām. Piešķiriet, mainiet un kontrolējiet lietotāja tiesības – tikai tāpēc, lai būtu vieglāk saprast, kāda piekļuve ir katram no tiem. Bet tajā laikā nebija vienotu standartu, tika izstrādātas pirmās piekļuves kontroles sistēmas, un katrs uzņēmums bija balstīts uz savām idejām un noteikumiem.

Tagad ir zināmi daudzi dažādi piekļuves kontroles modeļi, taču tie neparādījās uzreiz. Pakavēsimies pie tiem, kas devuši būtisku ieguldījumu šīs jomas attīstībā.

Pirmais un, iespējams, vienkāršākais modelis ir Diskrecionāra (selektīva) piekļuves kontrole (DAC — diskrecionāra piekļuves kontrole). Šis modelis paredz tiesību koplietošanu starp visiem piekļuves procesa dalībniekiem. Katram lietotājam ir piekļuve noteiktiem objektiem vai darbībām. Būtībā šeit tiesību subjektu kopums atbilst objektu kopumam. Tika konstatēts, ka šis modelis ir pārāk elastīgs un pārāk grūti uzturējams: piekļuves saraksti galu galā kļūst milzīgi un grūti kontrolējami.

Otrais modelis ir Obligātā piekļuves kontrole (MAC — obligāta piekļuves kontrole). Saskaņā ar šo modeli katrs lietotājs saņem piekļuvi objektam saskaņā ar piešķirto piekļuvi noteiktam datu konfidencialitātes līmenim. Attiecīgi objekti ir jāklasificē atbilstoši to konfidencialitātes līmenim. Atšķirībā no pirmā elastīgā modeļa, šis, gluži pretēji, izrādījās pārāk stingrs un ierobežojošs. Tā izmantošana nav attaisnojama, ja uzņēmuma rīcībā ir daudz dažādu informācijas resursu: lai diferencētu pieeju dažādiem resursiem, būs jāievieš daudzas kategorijas, kas nepārklāsies.

Šo divu metožu acīmredzamo nepilnību dēļ IT kopiena ir turpinājusi izstrādāt modeļus, kas ir elastīgāki un vienlaikus vairāk vai mazāk universāli, lai atbalstītu dažāda veida organizācijas piekļuves kontroles politikas. Un tad parādījās trešais uz lomām balstīts piekļuves kontroles modelis! Šī pieeja ir izrādījusies visdaudzsološākā, jo prasa ne tikai lietotāja identitātes autorizāciju, bet arī viņa darbības funkcijas sistēmās.

Pirmo skaidri aprakstīto lomu modeļa struktūru ierosināja amerikāņu zinātnieki Deivids Ferailo un Ričards Kūns no ASV Nacionālā standartu un tehnoloģiju institūta 1992. gadā. Tad pirmo reizi parādījās termins RBAC (uz lomu balstīta piekļuves kontrole). Šie pētījumi un galveno komponentu apraksti, kā arī to sakarības veidoja pamatu INCITS 359-2012 standartam, kas joprojām ir spēkā un ir apstiprināts Starptautiskās informācijas tehnoloģiju standartu komitejā (INCITS).

Standarts definē lomu kā "darba funkciju organizācijas kontekstā ar noteiktu semantiku saistībā ar pilnvarām un atbildību, kas piešķirta lomai piešķirtajam lietotājam". Dokuments nosaka RBAC pamatelementus - lietotājus, sesijas, lomas, atļaujas, darbības un objektus, kā arī attiecības un savstarpējos savienojumus starp tiem.

Standarts nodrošina minimālo nepieciešamo struktūru, lai izveidotu lomu modeli — tiesību apvienošana lomās un pēc tam piekļuves piešķiršana lietotājiem, izmantojot šīs lomas. Ieskicēti mehānismi lomu salikšanai no objektiem un operācijām, aprakstīta lomu hierarhija un pilnvaru pārmantošana. Galu galā jebkurā uzņēmumā ir lomas, kas apvieno pamatpilnvaras, kas nepieciešamas visiem uzņēmuma darbiniekiem. Tā varētu būt piekļuve e-pastam, EDMS, korporatīvajam portālam utt. Šīs atļaujas var iekļaut vienā vispārīgā lomā, ko sauc par “darbinieku”, un nebūs nepieciešams atkal un atkal uzskaitīt visas pamattiesības katrā augstākā līmeņa lomā. Pietiek vienkārši norādīt “darbinieka” lomai raksturīgo mantojumu.

Vēlāk standarts tika papildināts ar jauniem piekļuves atribūtiem, kas saistīti ar pastāvīgi mainīgo vidi. Ir pievienota iespēja ieviest statiskus un dinamiskus ierobežojumus. Statiskās lomas nozīmē neiespējamību apvienot lomas (tāda pati ievade un operāciju kontrole, kas minēta iepriekš). Dinamiskos ierobežojumus var noteikt, mainot parametrus, piemēram, laiku (darba/bez darba laiks vai dienas), atrašanās vietu (birojs/mājas) utt.

Ir vērts pieminēt atsevišķi uz atribūtiem balstīta piekļuves kontrole (ABAC — uz atribūtiem balstīta piekļuves kontrole). Pieeja ir balstīta uz piekļuves piešķiršanu, izmantojot atribūtu koplietošanas noteikumus. Šo modeli var izmantot atsevišķi, taču diezgan bieži tas aktīvi papildina klasisko lomu modeli: noteiktai lomai var pievienot lietotāju, resursu un ierīču atribūtus, kā arī laiku vai atrašanās vietu. Tas ļauj izmantot mazāk lomu, ieviest papildu ierobežojumus un padarīt piekļuvi pēc iespējas mazāku, tādējādi uzlabojot drošību.

Piemēram, grāmatvedim var atļaut piekļuvi kontiem, ja viņš strādā noteiktā reģionā. Tad speciālista atrašanās vieta tiks salīdzināta ar noteiktu atsauces vērtību. Vai arī varat piešķirt piekļuvi kontiem tikai tad, ja lietotājs piesakās no ierīces, kas iekļauta atļauto kontu sarakstā. Labs papildinājums paraugam, taču reti tiek izmantots atsevišķi, jo ir jāizveido daudzi noteikumi un atļauju vai ierobežojumu tabulas.

Ļaujiet man sniegt jums piemēru, kā izmantot ABAC no manas “iepriekšējās dzīves”. Mūsu bankai bija vairākas filiāles. Klientu biroju darbinieki šajās filiālēs veica tieši tādas pašas darbības, bet galvenajā sistēmā bija jāstrādā tikai ar kontiem savā reģionā. Pirmkārt, mēs sākām veidot atsevišķas lomas katram reģionam — un šādu lomu bija tik daudz ar atkārtotu funkcionalitāti, bet ar piekļuvi dažādiem kontiem! Pēc tam, izmantojot lietotāja atrašanās vietas atribūtu un saistot to ar noteiktu kontu klāstu, kas jāpārskata, mēs ievērojami samazinājām lomu skaitu sistēmā. Rezultātā lomas palika tikai vienai filiālei, kuras tika atkārtotas atbilstošajiem amatiem visās pārējās bankas teritoriālajās nodaļās.

Tagad parunāsim par nepieciešamajiem sagatavošanās posmiem, bez kuriem vienkārši nav iespējams izveidot darba paraugu.

Solis 1. Izveidojiet funkcionālo modeli

Jums vajadzētu sākt ar funkcionāla modeļa izveidi - augstākā līmeņa dokumentu, kurā detalizēti aprakstīta katras nodaļas un katras pozīcijas funkcionalitāte. Parasti informācija tajā tiek ievadīta no dažādiem dokumentiem: atsevišķu struktūrvienību - departamentu, nodaļu, departamentu - amatu apraksti un noteikumi. Funkcionālais modelis ir jāsaskaņo ar visām ieinteresētajām nodaļām (biznesa, iekšējās kontroles, drošības) un jāapstiprina uzņēmuma vadībai. Kam paredzēts šis dokuments? Lai paraugs uz to varētu atsaukties. Piemēram, jūs gatavojaties izveidot paraugu, pamatojoties uz esošajām darbinieku tiesībām - izlādētas no sistēmas un “samazinātas līdz kopsaucējam”. Pēc tam, vienojoties par saņemtajām lomām ar sistēmas uzņēmuma īpašnieku, var atsaukties uz konkrētu funkcionālā modeļa punktu, uz kura pamata lomai tiek iekļautas šīs vai citas tiesības.

2. solis. Mēs auditējam IT sistēmas un sastādām prioritāšu plānu

Otrajā posmā jums jāveic IT sistēmu audits, lai saprastu, kā tiek organizēta piekļuve tām. Piemēram, manā finanšu uzņēmumā bija vairāki simti informācijas sistēmu. Visām sistēmām bija daži uz lomām balstītas pārvaldības pamati, lielākajai daļai bija dažas lomas, bet galvenokārt uz papīra vai sistēmas direktorijā - tās bija sen novecojušas, un piekļuve tām tika piešķirta, pamatojoties uz reāliem lietotāju pieprasījumiem. Protams, ir vienkārši neiespējami izveidot paraugu vairākos simtos sistēmu vienlaikus, kaut kur ir jāsāk. Mēs veicām piekļuves kontroles procesa padziļinātu analīzi, lai noteiktu tā brieduma līmeni. Analīzes procesā tika izstrādāti informācijas sistēmu prioritāšu noteikšanas kritēriji - kritiskums, gatavība, ekspluatācijas pārtraukšanas plāni u.c. Ar viņu palīdzību mēs sarindojām šo sistēmu lomu modeļu izstrādi/atjaunināšanu. Un tad mēs iekļāvām lomu modeļus integrācijas plānā ar Identity Management risinājumu, lai automatizētu piekļuves kontroli.

Tātad, kā noteikt sistēmas kritiskumu? Atbildiet sev uz šādiem jautājumiem:

Vai sistēma ir saistīta ar darbības procesiem, no kuriem ir atkarīga uzņēmuma pamatdarbība?
Vai sistēmas darbības traucējumi ietekmēs uzņēmuma aktīvu integritāti?
Kāds ir maksimāli pieļaujamais sistēmas dīkstāves laiks, kuru sasniedzot nav iespējams atjaunot darbību pēc pārtraukuma?
Vai informācijas integritātes pārkāpums sistēmā var radīt neatgriezeniskas gan finansiālas, gan reputācijas sekas?
Kritiskums pret krāpšanu. Funkcionalitātes klātbūtne, ja tā netiek pareizi kontrolēta, var izraisīt iekšējas/ārējas krāpnieciskas darbības;
Kādas ir šo sistēmu juridiskās prasības un iekšējie noteikumi un procedūras? Vai par noteikumu neievērošanu tiks uzlikti naudas sodi no regulatoriem?

Mūsu finanšu uzņēmumā mēs veicām šādu revīziju. Vadība izstrādāja piekļuves tiesību pārskatīšanas audita procedūru, lai vispirms aplūkotu esošos lietotājus un tiesības tajās informācijas sistēmās, kuras bija visaugstāko prioritāšu sarakstā. Drošības departaments tika noteikts kā šī procesa īpašnieks. Bet, lai iegūtu pilnīgu priekšstatu par piekļuves tiesībām uzņēmumā, procesā bija nepieciešams iesaistīt IT un biznesa nodaļas. Un te sākās strīdi, nesaprašanās un dažkārt pat sabotāža: neviens nevēlas atrauties no saviem līdzšinējiem pienākumiem un iesaistīties kādās, no pirmā acu uzmetiena nesaprotamās darbībās.

NB Lielajiem uzņēmumiem ar attīstītiem IT procesiem droši vien ir zināma IT audita procedūra - IT vispārējās kontroles (ITGC), kas ļauj identificēt IT procesu nepilnības un izveidot kontroli, lai pilnveidotu procesus atbilstoši labākajai praksei (ITIL, COBIT, IT). Pārvaldība utt.) Šāds audits ļauj IT un biznesam labāk saprast vienam otru un izstrādāt kopīgu attīstības stratēģiju, analizēt riskus, optimizēt izmaksas un izstrādāt efektīvākas pieejas darbam.

Viena no audita jomām ir informācijas sistēmu loģiskās un fiziskās piekļuves parametru noteikšana. Iegūtos datus ņēmām par pamatu turpmākai izmantošanai parauga veidošanā. Šī audita rezultātā mums bija IT sistēmu reģistrs, kurā tika noteikti to tehniskie parametri un doti apraksti. Turklāt katrai sistēmai tika noteikts īpašnieks no biznesa virziena, kura interesēs tā tika vadīta: viņš bija atbildīgs par biznesa procesiem, kuriem šī sistēma kalpoja. Tika iecelts arī IT servisa vadītājs, kurš atbild par biznesa vajadzību tehnisko realizāciju konkrētai IS. Tika fiksētas uzņēmumam kritiskākās sistēmas un to tehniskie parametri, nodošanas ekspluatācijā un izbeigšanas termiņi u.c.. Šie parametri ļoti palīdzēja, gatavojoties parauga izveidei.

3. solis Izveidojiet metodiku

Jebkura biznesa panākumu atslēga ir pareizā metode. Tāpēc gan parauga veidošanai, gan audita veikšanai ir jāizveido metodika, kurā aprakstām struktūrvienību mijiedarbību, nosakām atbildību uzņēmuma nolikumā utt.
Vispirms jums ir jāpārbauda visi pieejamie dokumenti, kas nosaka piekļuves un tiesību piešķiršanas procedūru. Labā nozīmē procesi ir jādokumentē vairākos līmeņos:

vispārējās korporatīvās prasības;
prasības informācijas drošības jomām (atkarībā no organizācijas darbības jomām);
prasības tehnoloģiskajiem procesiem (instrukcijas, piekļuves matricas, vadlīnijas, konfigurācijas prasības).

Mūsu finanšu uzņēmumā mēs atradām daudz novecojušu dokumentu, kas mums bija jānes saskaņā ar jaunajiem procesiem, kas tiek ieviesti.

Pēc vadības rīkojuma tika izveidota darba grupa, kurā bija drošības, IT, biznesa un iekšējās kontroles pārstāvji. Rīkojumā tika iezīmēti grupas izveides mērķi, darbības virziens, pastāvēšanas periods un atbildīgie no katras puses. Papildus izstrādājām audita metodiku un lomu modeļa konstruēšanas procedūru: par tām vienojās visi atbildīgie jomu pārstāvji un apstiprināja uzņēmuma vadība.

Dokumenti, kas apraksta darbu veikšanas kārtību, termiņus, pienākumus utt. - garantija, ka ceļā uz loloto mērķi, kas sākotnēji nav skaidrs visiem, nevienam neradīsies jautājumi "kāpēc mēs to darām, kāpēc mums tas ir vajadzīgs utt." un nebūs iespējas “atlēkt” vai bremzēt procesu.

4. solis. Labojiet esošā piekļuves kontroles modeļa parametrus

Mēs izstrādājam tā saukto “sistēmas pasi” piekļuves kontroles ziņā. Būtībā šī ir anketa par konkrētu informācijas sistēmu, kurā tiek ierakstīti visi algoritmi piekļuves kontrolei. Uzņēmumi, kas jau ir ieviesuši IdM klases risinājumus, visticamāk, ir pazīstami ar šādu anketu, jo ar to sākas sistēmu izpēte.

Daži parametri par sistēmu un īpašniekiem ieplūda anketā no IT reģistra (skat. 2. soli, audits), taču tika pievienoti arī jauni:

kā tiek pārvaldīti konti (tieši datu bāzē vai ar programmatūras saskarnēm);
kā lietotāji piesakās sistēmā (izmantojot atsevišķu kontu vai izmantojot AD kontu, LDAP utt.);
kādi piekļuves līmeņi sistēmai tiek izmantoti (lietojumprogrammas līmenis, sistēmas līmenis, tīkla failu resursu sistēmas izmantošana);
to serveru apraksts un parametri, uz kuriem sistēma darbojas;
kādas konta pārvaldības darbības tiek atbalstītas (bloķēšana, pārdēvēšana utt.);
kādi algoritmi vai noteikumi tiek izmantoti sistēmas lietotāja identifikatora ģenerēšanai;
kādu atribūtu var izmantot, lai izveidotu saikni ar darbinieka ierakstu personāla sistēmā (pilns vārds, personāla numurs utt.);
visi iespējamie konta atribūti un to aizpildīšanas noteikumi;
kādas piekļuves tiesības pastāv sistēmā (lomas, grupas, atomtiesības utt., vai ir ligzdotas vai hierarhiskas tiesības);
piekļuves tiesību sadalīšanas mehānismi (pēc amata, departamenta, funkcionalitātes utt.);
Vai sistēmai ir tiesību nošķiršanas noteikumi (SOD – Pienākumu nodalīšana) un kā tie darbojas;
kā sistēmā tiek apstrādāti notikumi par prombūtni, pārcelšanu, atlaišanu, darbinieku datu aktualizēšanu u.c.

Šo sarakstu var turpināt, detalizēti norādot dažādus parametrus un citus objektus, kas ir iesaistīti piekļuves kontroles procesā.

5. darbība. Izveidojiet uz uzņēmējdarbību orientētu atļauju aprakstu

Vēl viens dokuments, kas mums būs nepieciešams, veidojot lomu modeli, ir uzziņu grāmata par visām iespējamajām pilnvarām (tiesībām), kuras var piešķirt lietotājiem informācijas sistēmā, ar detalizētu biznesa funkcijas aprakstu, kas atrodas aiz tā. Bieži vien sistēmas iestādes ir šifrētas ar noteiktiem nosaukumiem, kas sastāv no burtiem un cipariem, un uzņēmuma darbinieki nevar saprast, kas slēpjas aiz šiem simboliem. Tad viņi aiziet uz IT servisu, un tur... arī nevar atbildēt uz jautājumu, piemēram, par reti izmantotām tiesībām. Pēc tam jāveic papildu pārbaude.

Ir labi, ja jau ir uzņēmuma apraksts vai pat ja šīs tiesības ir apvienotas grupās un lomās. Dažām lietojumprogrammām labākā prakse ir izveidot šādu atsauci izstrādes stadijā. Taču tas nenotiek bieži, tāpēc mēs atkal ejam uz IT nodaļu, lai apkopotu informāciju par visām iespējamām tiesībām un aprakstītu tās. Mūsu ceļvedis galu galā ietvers tālāk norādīto.

iestādes nosaukums, ieskaitot objektu, uz kuru attiecas piekļuves tiesības;
darbība, ko atļauts veikt ar objektu (apskatīšana, maiņa u.tml., ierobežojuma iespēja, piemēram, pēc teritoriālā pamata vai klientu grupas);
autorizācijas kods (sistēmas funkcijas/pieprasījuma kods un nosaukums, ko var izpildīt, izmantojot autorizāciju);
iestādes apraksts (detalizēts apraksts par darbībām IS, piemērojot pilnvaru, un to sekas uz procesu;
atļaujas statuss: “Aktīvs” (ja atļauja piešķirta vismaz vienam lietotājam) vai “Nav aktīva” (ja atļauja netiek izmantota).

6. darbība Mēs lejupielādējam datus par lietotājiem un tiesībām no sistēmām un salīdzinām tos ar personāla avotu

Sagatavošanas pēdējā posmā no informācijas sistēmām ir jālejupielādē dati par visiem lietotājiem un viņiem pašlaik piešķirtajām tiesībām. Šeit ir divi iespējamie scenāriji. Pirmkārt: drošības nodaļai ir tieša piekļuve sistēmai un iespēja lejupielādēt attiecīgos pārskatus, kas nenotiek bieži, bet ir ļoti ērti. Otrkārt: nosūtām pieprasījumu IT saņemt atskaites vajadzīgajā formātā. Pieredze rāda, ka ar IT vienoties un iegūt nepieciešamos datus pirmajā reizē nav iespējams. Ir nepieciešams veikt vairākas pieejas, līdz informācija tiek saņemta vēlamajā formā un formātā.

Kādi dati ir jālejupielādē:

Konta vārds
Tā darbinieka pilns vārds, uzvārds, kuram tas ir piešķirts
Statuss (aktīvs vai bloķēts)
Konta izveides datums
Pēdējās lietošanas datums
Pieejamo tiesību/grupu/lomu saraksts

Tātad, mēs saņēmām lejupielādes no sistēmas ar visiem lietotājiem un visām viņiem piešķirtajām tiesībām. Un viņi nekavējoties nolika malā visus bloķētos kontus, jo darbs pie parauga veidošanas tiks veikts tikai aktīviem lietotājiem.

Pēc tam, ja jūsu uzņēmumam nav automatizētu līdzekļu, lai bloķētu piekļuvi atlaistajiem darbiniekiem (tas bieži notiek) vai arī tajā ir automatizācija, kas ne vienmēr darbojas pareizi, jums ir jāidentificē visas "mirušās dvēseles". Runa ir par jau atlaisto darbinieku kontiem, kuriem tiesības nez kāpēc nav bloķētas - vajag bloķēt. Lai to izdarītu, mēs salīdzinām augšupielādētos datus ar personāla avotu. Personāla izkraušana iepriekš jāsaņem arī nodaļā, kas uztur personāla datu bāzi.

Atsevišķi ir jāatliek konti, kuru īpašnieki netika atrasti personāla datu bāzē, nevienam nav piešķirti - tas ir, bezsaimnieka. Izmantojot šo sarakstu, mums būs nepieciešams pēdējās lietošanas datums: ja tas ir pavisam nesen, mums joprojām būs jāmeklē īpašnieki. Tas var ietvert ārējo darbuzņēmēju kontus vai pakalpojumu kontus, kas nav piešķirti nevienam, bet ir saistīti ar jebkādiem procesiem. Lai uzzinātu, kam konti pieder, varat nosūtīt vēstules visām nodaļām ar lūgumu atbildēt. Kad īpašnieki ir atrasti, mēs ievadām datus par viņiem sistēmā: tādējādi tiek identificēti visi aktīvie konti, bet pārējie tiek bloķēti.

Tiklīdz mūsu augšupielādēs ir notīrīti nevajadzīgi ieraksti un paliek tikai aktīvie konti, mēs varam sākt veidot paraugu konkrētai informācijas sistēmai. Bet par to es jums pastāstīšu nākamajā rakstā.

Autore: Ludmila Sevastjanova, Solar inRights veicināšanas menedžere

Avots: www.habr.com

Mēs veidojam uz lomām balstītu piekļuves kontroles modeli. Pirmā daļa, sagatavošanās