ProHoster > blog > Amministrazzjoni > Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Bħalissa naħdem għal bejjiegħ tas-softwer, speċifikament soluzzjonijiet ta 'kontroll tal-aċċess. U l-esperjenza tiegħi "minn ħajja tal-passat" hija konnessa man-naħa tal-klijent - organizzazzjoni finanzjarja kbira. Dak iż-żmien, il-grupp tagħna ta 'kontroll tal-aċċess fid-dipartiment tas-sigurtà tal-informazzjoni ma setax jiftaħar b'kompetenzi kbar fl-IdM. Tgħallimna ħafna fil-proċess, kellna nolqtu ħafna ħotob sabiex nibnu mekkaniżmu ta 'ħidma għall-ġestjoni tad-drittijiet tal-utent fis-sistemi tal-informazzjoni fil-kumpanija.
Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja
Ngħaqqad l-esperjenza tiegħi tal-klijent li akkwista ħafna mal-għarfien u l-kompetenzi tal-bejjiegħ, irrid naqsam miegħek essenzjalment struzzjonijiet pass pass: kif toħloq mudell ta 'kontroll tal-aċċess ibbażat fuq ir-rwoli f'kumpanija kbira, u dan x'se jagħti bħala riżultat. . L-istruzzjonijiet tiegħi jikkonsistu f'żewġ partijiet: l-ewwel qed titħejja biex tibni l-mudell, it-tieni fil-fatt qed tibni. Hawnhekk hawn l-ewwel parti, il-parti preparatorja.

NB Il-bini ta' mudell huwa, sfortunatament, mhux riżultat, iżda proċess. Jew aħjar, anke parti mill-proċess tal-ħolqien ta 'ekosistema ta' kontroll ta 'aċċess fil-kumpanija. Allura lesti għal-logħba għal żmien twil.

L-ewwel, ejja niddefinixxuha - x'inhu l-kontroll tal-aċċess ibbażat fuq ir-rwol? Ejja ngħidu li għandek bank kbir b'għexieren, jew saħansitra mijiet ta 'eluf ta' impjegati (entitajiet), li kull wieħed minnhom għandu għexieren ta 'drittijiet ta' aċċess għal mijiet ta 'sistemi interni ta' informazzjoni bankarja (oġġetti). Issa immoltiplika n-numru ta 'oġġetti bin-numru ta' suġġetti - dan huwa n-numru minimu ta 'konnessjonijiet li għandek bżonn l-ewwel tibni u mbagħad tikkontrolla. Huwa verament possibbli li tagħmel dan manwalment? Naturalment le - inħolqu rwoli biex issolvi din il-problema.

Rwol huwa sett ta' permessi li utent jew grupp ta' utenti jeħtieġ biex iwettaq ċerti kompiti tax-xogħol. Kull impjegat jista 'jkollu rwol wieħed jew aktar, u kull rwol jista' jkun fih minn wieħed għal ħafna permessi li huma permessi lill-utent f'dak ir-rwol. Ir-rwoli jistgħu jkunu marbuta ma' pożizzjonijiet speċifiċi, dipartimenti jew ħidmiet funzjonali tal-impjegati.

Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Ir-rwoli huma normalment maħluqa minn awtorizzazzjonijiet individwali ta 'impjegati f'kull sistema ta' informazzjoni. Imbagħad ir-rwoli tan-negozju globali huma ffurmati mir-rwoli ta 'kull sistema. Pereżempju, ir-rwol tan-negozju "maniġer tal-kreditu" se jinkludi diversi rwoli separati fis-sistemi ta 'informazzjoni li jintużaw fl-uffiċċju tal-klijenti tal-bank. Per eżempju, bħas-sistema bankarja awtomatizzata prinċipali, modulu ta 'flus kontanti, sistema ta' ġestjoni tad-dokumenti elettroniċi, maniġer tas-servizz u oħrajn. Ir-rwoli tan-negozju, bħala regola, huma marbuta mal-istruttura organizzattiva - fi kliem ieħor, mas-sett ta 'diviżjonijiet tal-kumpanija u pożizzjonijiet fihom. Dan huwa kif matriċi tar-rwoli globali hija ffurmata (nagħti eżempju fit-tabella hawn taħt).

Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Ta 'min jinnota li huwa sempliċement impossibbli li jinbena mudell ta' rwol 100%, li jipprovdi d-drittijiet kollha meħtieġa għall-impjegati ta 'kull pożizzjoni fi struttura kummerċjali. Iva, dan mhux meħtieġ. Wara kollox, mudell ma jistax ikun statiku, għax jiddependi fuq ambjent li qed jinbidel kontinwament. U minn bidliet fl-attivitajiet tan-negozju tal-kumpanija, li, għaldaqstant, jaffettwa bidliet fl-istruttura organizzattiva u l-funzjonalità. U min-nuqqas ta 'provvista sħiħa ta' riżorsi, u min-nuqqas ta 'konformità mad-deskrizzjonijiet tax-xogħol, u mix-xewqa għall-profitt għad-detriment tas-sigurtà, u minn ħafna fatturi oħra. Għalhekk, huwa meħtieġ li jinbena mudell li jista' jkopri sa 80% tal-ħtiġijiet tal-utenti għad-drittijiet bażiċi meħtieġa meta jiġi assenjat għal pożizzjoni. U jistgħu, jekk meħtieġ, jitolbu l-20% li jifdal aktar tard fuq applikazzjonijiet separati.

Ovvjament, tista’ tistaqsi: “M’hemm l-ebda ħaġa bħal mudelli 100%?” Ukoll, għaliex, dan jiġri, pereżempju, fi strutturi mingħajr skop ta 'qligħ li mhumiex soġġetti għal bidliet frekwenti - f'xi istitut ta' riċerka. Jew f'organizzazzjonijiet kumplessi militari-industrijali b'livell għoli ta 'sigurtà, fejn is-sikurezza tiġi l-ewwel. Dan jiġri fi struttura kummerċjali, iżda fil-qafas ta 'diviżjoni separata, li x-xogħol tagħha huwa proċess pjuttost statiku u prevedibbli.

Il-vantaġġ ewlieni tal-ġestjoni bbażata fuq ir-rwoli huwa s-simplifikazzjoni tal-ħruġ tad-drittijiet, minħabba li n-numru ta 'rwoli huwa ferm inqas min-numru ta' utenti tas-sistema ta 'informazzjoni. U dan jgħodd għal kull industrija.

Ejja nieħdu kumpanija tal-bejgħ bl-imnut: timpjega eluf ta 'bejjiegħa, iżda għandhom l-istess sett ta' drittijiet fis-sistema N, u se jinħoloq rwol wieħed biss għalihom. Meta bejjiegħ ġdid jiġi fil-kumpanija, huwa awtomatikament assenjat ir-rwol meħtieġ fis-sistema, li diġà għandha l-awtoritajiet kollha meħtieġa. Ukoll, fi klikk waħda tista 'tbiddel id-drittijiet għal eluf ta' bejjiegħa f'daqqa, pereżempju, żid għażla ġdida għall-ġenerazzjoni ta 'rapport. M'hemmx bżonn li tagħmel elf operazzjoni, torbot dritt ġdid għal kull kont - sempliċement żid din l-għażla mar-rwol, u tidher għall-bejjiegħa kollha fl-istess ħin.

Vantaġġ ieħor tal-ġestjoni bbażata fuq ir-rwoli huwa l-eliminazzjoni tal-ħruġ ta’ awtorizzazzjonijiet inkompatibbli. Jiġifieri, impjegat li għandu ċertu rwol fis-sistema ma jistax fl-istess ħin ikollu rwol ieħor, li d-drittijiet tiegħu m'għandhomx jingħaqdu mad-drittijiet fl-ewwel. Eżempju impressjonanti huwa l-projbizzjoni li jiġu kkombinati l-funzjonijiet ta’ input u kontroll ta’ tranżazzjoni finanzjarja.

Kull min hu interessat f'kif il-kontroll tal-aċċess ibbażat fuq ir-rwoli sar jista'
adsa fl-istorja
Jekk inħarsu lejn l-istorja, il-komunità tal-IT l-ewwel ħasbet dwar metodi ta 'kontroll tal-aċċess lura fis-snin 70 tas-seklu XNUMX. Għalkemm l-applikazzjonijiet kienu pjuttost sempliċi dakinhar, bħal issa, kulħadd verament ried jimmaniġġja b'mod konvenjenti l-aċċess għalihom. Agħti, tibdel u tikkontrolla d-drittijiet tal-utent - biss biex tagħmilha aktar faċli li wieħed jifhem x'aċċess għandu kull wieħed minnhom. Iżda dak iż-żmien ma kienx hemm standards komuni, l-ewwel sistemi ta 'kontroll ta' aċċess kienu qed jiġu żviluppati, u kull kumpanija kienet ibbażata fuq l-ideat u r-regoli tagħha stess.

Ħafna mudelli ta 'kontroll ta' aċċess differenti issa huma magħrufa, iżda ma dehrux immedjatament. Ejjew noqogħdu fuq dawk li taw kontribut sinifikanti għall-iżvilupp ta’ dan iż-żona.

L-ewwel u probabbilment l-aktar sempliċi mudell huwa Kontroll tal-aċċess diskrezzjonali (selettiv). (DAC – Kontroll tal-aċċess diskrezzjonali). Dan il-mudell jimplika l-kondiviżjoni tad-drittijiet mill-parteċipanti kollha fil-proċess ta’ aċċess. Kull utent għandu aċċess għal oġġetti jew operazzjonijiet speċifiċi. Essenzjalment, hawnhekk is-sett ta 'suġġetti ta' drittijiet jikkorrispondi għas-sett ta 'oġġetti. Dan il-mudell instab li kien flessibbli wisq u diffiċli wisq biex jinżamm: il-listi tal-aċċess eventwalment isiru enormi u diffiċli biex jiġu kkontrollati.

It-tieni mudell huwa Kontroll tal-aċċess obbligatorju (MAC - Kontroll tal-aċċess obbligatorju). Skont dan il-mudell, kull utent jirċievi aċċess għal oġġett skont l-aċċess maħruġ għal livell partikolari ta' kunfidenzjalità tad-dejta. Għaldaqstant, l-oġġetti għandhom jiġu kategorizzati skont il-livell ta' kunfidenzjalità tagħhom. B'differenza mill-ewwel mudell flessibbli, dan, għall-kuntrarju, irriżulta li kien wisq strett u restrittiv. L-użu tiegħu mhuwiex iġġustifikat meta l-kumpanija jkollha ħafna riżorsi ta 'informazzjoni differenti: sabiex tiddifferenzja l-aċċess għal riżorsi differenti, ikollok tintroduċi ħafna kategoriji li mhux se jikkoinċidu.

Minħabba l-imperfezzjonijiet ovvji ta 'dawn iż-żewġ metodi, il-komunità tal-IT kompliet tiżviluppa mudelli li huma aktar flessibbli u fl-istess ħin xi ftit jew wisq universali biex jappoġġjaw tipi differenti ta' politiki ta 'kontroll tal-aċċess organizzattiv. U mbagħad deher it-tielet mudell ta 'kontroll ta' aċċess ibbażat fuq ir-rwol! Dan l-approċċ wera li huwa l-aktar promettenti għaliex jeħtieġ mhux biss awtorizzazzjoni tal-identità tal-utent, iżda wkoll il-funzjonijiet operattivi tiegħu fis-sistemi.

L-ewwel struttura mudell deskritta b'mod ċar ġiet proposta mix-xjenzati Amerikani David Ferrailo u Richard Kuhn mill-Istitut Nazzjonali tal-Istandards u t-Teknoloġija tal-Istati Uniti fl-1992. Imbagħad it-terminu deher l-ewwel RBAC (Kontroll tal-aċċess ibbażat fuq ir-rwol). Dawn l-istudji u d-deskrizzjonijiet tal-komponenti ewlenin, kif ukoll ir-relazzjonijiet tagħhom, iffurmaw il-bażi tal-istandard INCITS 359-2012, li għadu fis-seħħ illum, approvat mill-Kumitat Internazzjonali dwar l-Istandards tat-Teknoloġija tal-Informazzjoni (INCITS).

L-istandard jiddefinixxi rwol bħala "funzjoni tax-xogħol fil-kuntest ta' organizzazzjoni b'xi semantika assoċjata fir-rigward tal-awtorità u r-responsabbiltà assenjata lill-utent assenjat għar-rwol." Id-dokument jistabbilixxi l-elementi bażiċi tal-RBAC - utenti, sessjonijiet, rwoli, permessi, operazzjonijiet u oġġetti, kif ukoll ir-relazzjonijiet u l-interkonnessjonijiet bejniethom.

L-istandard jipprovdi l-istruttura minima meħtieġa għall-bini ta’ mudell ta’ rwol – jgħaqqad id-drittijiet fi rwoli u mbagħad jagħti aċċess lill-utenti permezz ta’ dawn ir-rwoli. Il-mekkaniżmi għall-kompożizzjoni tar-rwoli minn oġġetti u operazzjonijiet huma deskritti fil-qosor, il-ġerarkija tar-rwoli u l-wirt tas-setgħat huma deskritti. Wara kollox, fi kwalunkwe kumpanija hemm rwoli li jgħaqqdu setgħat bażiċi li huma meħtieġa għall-impjegati kollha tal-kumpanija. Dan jista' jkun aċċess għal email, EDMS, portal korporattiv, eċċ. Dawn il-permessi jistgħu jiġu inklużi fi rwol ġenerali wieħed imsejjaħ "impjegat", u mhux se jkun hemm bżonn li jiġu elenkati d-drittijiet bażiċi kollha għal darb'oħra f'kull wieħed mir-rwoli ta' livell ogħla. Huwa biżżejjed li sempliċement tindika l-karatteristika tal-wirt tar-rwol ta '"impjegat".

Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Aktar tard, l-istandard ġie supplimentat b'attributi ta 'aċċess ġodda relatati mal-ambjent li qed jinbidel kontinwament. Ġiet miżjuda l-abbiltà li jiġu introdotti restrizzjonijiet statiċi u dinamiċi. Dawk statiċi jimplikaw l-impossibbiltà li r-rwoli jiġu kkombinati (l-istess input u kontroll tal-operazzjonijiet imsemmija hawn fuq). Ir-restrizzjonijiet dinamiċi jistgħu jiġu determinati billi jinbidlu l-parametri, pereżempju, il-ħin (sigħat jew ġranet tax-xogħol/mhux tax-xogħol), il-post (uffiċċju/dar), eċċ.

Separatament, għandu jingħad dwar kontroll tal-aċċess ibbażat fuq l-attribut (ABAC - Kontroll tal-aċċess ibbażat fuq l-attribut). L-approċċ huwa bbażat fuq l-għoti ta' aċċess bl-użu ta' regoli ta' kondiviżjoni ta' attributi. Dan il-mudell jista 'jintuża separatament, iżda ħafna drabi jikkumplimenta b'mod attiv il-mudell klassiku: attributi ta' utenti, riżorsi u tagħmir, kif ukoll ħin jew post, jistgħu jiżdiedu ma 'ċertu rwol. Dan jippermettilek tuża inqas rwoli, tintroduċi restrizzjonijiet addizzjonali u tagħmel l-aċċess minimu kemm jista 'jkun, u għalhekk ittejjeb is-sigurtà.

Pereżempju, accountant jista' jingħata aċċess għall-kontijiet jekk jaħdem f'ċertu reġjun. Imbagħad il-post tal-ispeċjalista se jitqabbel ma 'ċertu valur ta' referenza. Jew tista' tagħti aċċess għall-kontijiet biss jekk l-utent jidħol minn apparat inkluż fil-lista ta' dawk permessi. Żieda tajba għal mudell, iżda rarament użat waħdu minħabba l-ħtieġa li jinħolqu ħafna regoli u tabelli ta 'permessi jew restrizzjonijiet.

Ħa nagħtikom eżempju ta 'użu ta' ABAC mill-"ħajja tal-passat" tiegħi. Il-bank tagħna kellu diversi fergħat. Impjegati tal-uffiċċji tal-klijenti f'dawn il-fergħat wettqu eżattament l-istess operazzjonijiet, iżda kellhom jaħdmu fis-sistema prinċipali biss b'kontijiet fir-reġjun tagħhom. L-ewwel, bdejna noħolqu rwoli separati għal kull reġjun - u kien hemm tant rwoli bħal dawn b'funzjonalità ripetuta, iżda b'aċċess għal kontijiet differenti! Imbagħad, billi nużaw attribut tal-post għall-utent u nassoċjawha ma 'firxa speċifika ta' kontijiet biex tirrevedi, aħna naqqasna b'mod sinifikanti n-numru ta 'rwoli fis-sistema. Bħala riżultat, baqgħu rwoli għal fergħa waħda biss, li ġew replikati għall-pożizzjonijiet korrispondenti fid-diviżjonijiet territorjali l-oħra kollha tal-bank.

Issa ejja nitkellmu dwar il-passi preparatorji meħtieġa, li mingħajrhom huwa sempliċement impossibbli li jinbena mudell ta 'ħidma.

Pass 1. Oħloq mudell funzjonali

Għandek tibda billi toħloq mudell funzjonali - dokument tal-ogħla livell li jiddeskrivi fid-dettall il-funzjonalità ta 'kull dipartiment u kull pożizzjoni. Bħala regola, l-informazzjoni tidħol fiha minn diversi dokumenti: deskrizzjonijiet tax-xogħol u regolamenti għal unitajiet individwali - dipartimenti, diviżjonijiet, dipartimenti. Il-mudell funzjonali għandu jkun miftiehem mad-dipartimenti kollha interessati (negozju, kontroll intern, sigurtà) u approvat mill-maniġment tal-kumpanija. Għal xiex hu dan id-dokument? Sabiex il-mudell ikun jista' jirreferi għalih. Pereżempju, int se tibni mudell ibbażat fuq id-drittijiet eżistenti tal-impjegati - jinħatt mis-sistema u "mnaqqas għal denominatur komuni". Imbagħad, meta taqbel dwar ir-rwoli riċevuti mas-sid tan-negozju tas-sistema, tista 'tirreferi għal punt speċifiku fil-mudell funzjonali, li fuq il-bażi tiegħu dan jew dak id-dritt huwa inkluż fir-rwol.

Pass 2. Aħna nivverifikaw is-sistemi tal-IT u nfasslu pjan ta’ prijoritizzazzjoni

Fit-tieni stadju, għandek twettaq verifika tas-sistemi tal-IT biex tifhem kif l-aċċess għalihom huwa organizzat. Pereżempju, il-kumpanija finanzjarja tiegħi ħadmet diversi mijiet ta' sistemi ta' informazzjoni. Is-sistemi kollha kellhom xi rudimenti ta 'ġestjoni bbażata fuq ir-rwoli, il-biċċa l-kbira kellhom xi rwoli, iżda l-aktar fuq il-karta jew fid-direttorju tas-sistema - kienu ilhom skaduti, u l-aċċess għalihom ingħata abbażi ta' talbiet attwali tal-utenti. Naturalment, huwa sempliċement impossibbli li tibni mudell f'diversi mijiet ta' sistemi f'daqqa; trid tibda x'imkien. Aħna wettaqna analiżi fil-fond tal-proċess ta 'kontroll tal-aċċess biex niddeterminaw il-livell ta' maturità tiegħu. Matul il-proċess ta' analiżi, ġew żviluppati kriterji għall-prijoritizzazzjoni tas-sistemi ta' informazzjoni - il-kritika, il-prontezza, il-pjanijiet għad-dekummissjonar, eċċ. Bl-għajnuna tagħhom, ħejjejna l-iżvilupp/aġġornar tal-mudelli għal dawn is-sistemi. U mbagħad inkludejna mudelli fil-pjan għall-integrazzjoni mas-soluzzjoni tal-Ġestjoni tal-Identità biex jiġi awtomatizzat il-kontroll tal-aċċess.

Allura kif tiddetermina l-kritiċità ta 'sistema? Wieġeb lilek innifsek il-mistoqsijiet li ġejjin:

  • Is-sistema hija marbuta mal-proċessi operattivi li fuqhom jiddependu l-attivitajiet ewlenin tal-kumpanija?
  • It-tfixkil tas-sistema se jaffettwa l-integrità tal-assi tal-kumpanija?
  • X'inhu l-perijodi ta' waqfien massimu permissibbli tas-sistema, li jintlaħaq dan huwa impossibbli li tiġi restawrata l-attività wara interruzzjoni?
  • Jista' ksur tal-integrità tal-informazzjoni fis-sistema jwassal għal konsegwenzi irriversibbli, kemm finanzjarji kif ukoll ta' reputazzjoni?
  • Kritiċità għall-frodi. Il-preżenza ta' funzjonalità, jekk ma tkunx ikkontrollata sew, tista' twassal għal azzjonijiet frawdolenti interni/esterni;
  • X'inhuma r-rekwiżiti legali u r-regoli u l-proċeduri interni għal dawn is-sistemi? Se jkun hemm multi mir-regolaturi għal nuqqas ta' konformità?

Fil-kumpanija finanzjarja tagħna, għamilna verifika bħal din. Il-maniġment żviluppa l-proċedura ta' verifika tar-Reviżjoni tad-Drittijiet ta' Aċċess biex tħares lejn l-utenti eżistenti u d-drittijiet l-ewwel f'dawk is-sistemi ta' informazzjoni li kienu fuq il-lista ta' l-ogħla prijorità. Id-dipartiment tas-sigurtà ġie assenjat bħala s-sid ta’ dan il-proċess. Iżda biex tinkiseb stampa sħiħa tad-drittijiet ta 'aċċess fil-kumpanija, kien meħtieġ li jiġu involuti dipartimenti tal-IT u tan-negozju fil-proċess. U hawn bdew it-tilwim, in-nuqqas ta’ ftehim, u xi kultant anke sabotaġġ: ħadd ma jrid jitlaq mir-responsabbiltajiet attwali tiegħu u jinvolvi ruħu f’xi, mal-ewwel daqqa t’għajn, attivitajiet inkomprensibbli.

NB Kumpaniji kbar bi proċessi tal-IT żviluppati probabbilment huma familjari mal-proċedura tal-awditjar tal-IT - kontrolli ġenerali tal-IT (ITGC), li tippermettilek tidentifika nuqqasijiet fil-proċessi tal-IT u tistabbilixxi kontroll sabiex ittejjeb il-proċessi skont l-aħjar prattika (ITIL, COBIT, IT Governanza eċċ.) Tali verifika tippermetti lill-IT u n-negozju jifhmu aħjar lil xulxin u jiżviluppaw strateġija konġunta ta’ żvilupp, janalizzaw ir-riskji, jottimizzaw l-ispejjeż, u jiżviluppaw approċċi aktar effettivi biex jaħdmu.

Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Wieħed mill-oqsma tal-verifika huwa li jiddetermina l-parametri ta 'aċċess loġiku u fiżiku għas-sistemi ta' informazzjoni. Ħadna d-dejta miksuba bħala bażi għal aktar użu fil-bini ta’ mudell. B’riżultat ta’ din il-verifika, kellna reġistru tas-sistemi tal-IT, li fih ġew iddeterminati l-parametri tekniċi tagħhom u ngħataw deskrizzjonijiet. Barra minn hekk, għal kull sistema, kien identifikat sid mid-direzzjoni tan-negozju li fl-interessi tiegħu kienet operata: kien hu li kien responsabbli għall-proċessi tan-negozju li serva din is-sistema. Inħatar ukoll maniġer tas-servizz tal-IT, responsabbli għall-implimentazzjoni teknika tal-ħtiġijiet tan-negozju għal IS speċifiku. Ġew irreġistrati l-aktar sistemi kritiċi għall-kumpanija u l-parametri tekniċi tagħhom, it-termini ta 'kummissjonar u dekummissjonar, eċċ.. Dawn il-parametri kienu ta' għajnuna kbira fil-proċess ta 'preparazzjoni għall-ħolqien ta' mudell.

Pass 3 Oħloq metodoloġija

Iċ-ċavetta għas-suċċess ta 'kwalunkwe negozju huwa l-metodu t-tajjeb. Għalhekk, kemm biex nibnu mudell kif ukoll biex twettaq verifika, jeħtieġ li noħolqu metodoloġija li fiha niddeskrivu l-interazzjoni bejn id-dipartimenti, nistabbilixxu r-responsabbiltà fir-regolamenti tal-kumpanija, eċċ.
L-ewwel trid teżamina d-dokumenti kollha disponibbli li jistabbilixxu l-proċedura għall-għoti tal-aċċess u d-drittijiet. B'mod tajjeb, il-proċessi għandhom jiġu dokumentati f'diversi livelli:

  • rekwiżiti korporattivi ġenerali;
  • rekwiżiti għall-oqsma tas-sigurtà tal-informazzjoni (skont l-oqsma tal-attivitajiet tal-organizzazzjoni);
  • rekwiżiti għall-proċessi teknoloġiċi (struzzjonijiet, matriċi ta’ aċċess, linji gwida, rekwiżiti ta’ konfigurazzjoni).

Fil-kumpanija finanzjarja tagħna, sibna ħafna dokumenti skaduti; kellna nġibuhom skont il-proċessi l-ġodda li qed jiġu implimentati.

B'ordni ta' tmexxija, inħoloq grupp ta' ħidma, li kien jinkludi rappreżentanti mis-sigurtà, l-IT, in-negozju u l-kontroll intern. L-ordni ddeskriviet l-għanijiet tal-ħolqien tal-grupp, id-direzzjoni tal-attività, il-perjodu tal-eżistenza u dawk responsabbli minn kull naħa. Barra minn hekk, żviluppajna metodoloġija tal-awditjar u proċedura għall-bini ta’ mudell: ġew miftiehma mir-rappreżentanti kollha responsabbli tal-oqsma u approvati mill-maniġment tal-kumpanija.

Dokumenti li jiddeskrivu l-proċedura għat-twettiq tax-xogħol, skadenzi, responsabbiltajiet, eċċ. - garanzija li fit-triq lejn l-għan għażiż, li għall-ewwel mhux ovvju għal kulħadd, ħadd ma jkollu mistoqsijiet "għaliex qed nagħmlu dan, għaliex għandna bżonnu, eċċ." u mhux se jkun hemm opportunità li "taqbeż" jew inaqqas il-proċess.

Qed nibnu mudell ta' kontroll ta' aċċess ibbażat fuq ir-rwol. L-ewwel parti, preparatorja

Pass 4. Waħħal il-parametri tal-mudell eżistenti ta 'kontroll ta' aċċess

Qed infasslu l-hekk imsejjaħ “passaport tas-sistema” f’termini ta’ kontroll ta’ aċċess. Essenzjalment, dan huwa kwestjonarju fuq sistema ta 'informazzjoni speċifika, li jirreġistra l-algoritmi kollha għall-kontroll tal-aċċess għaliha. Kumpaniji li diġà implimentaw soluzzjonijiet tal-klassi IdM huma probabbilment familjari ma 'kwestjonarju bħal dan, peress li dan huwa fejn jibda l-istudju tas-sistemi.

Xi parametri dwar is-sistema u s-sidien daħlu fil-kwestjonarju mir-reġistru tal-IT (ara l-pass 2, verifika), iżda ġew miżjuda wkoll oħrajn ġodda:

  • kif il-kontijiet huma ġestiti (direttament fid-database jew permezz ta' interfaces tas-softwer);
  • kif l-utenti jidħlu fis-sistema (bl-użu ta' kont separat jew l-użu ta' kont AD, LDAP, eċċ.);
  • liema livelli ta' aċċess għas-sistema jintużaw (livell ta' applikazzjoni, livell ta' sistema, użu tas-sistema tar-riżorsi tal-fajl tan-netwerk);
  • deskrizzjoni u parametri tas-servers li fuqhom taħdem is-sistema;
  • liema operazzjonijiet ta' ġestjoni tal-kont huma appoġġjati (imblukkar, isem ġdid, eċċ.);
  • liema algoritmi jew regoli jintużaw biex jiġġeneraw l-identifikatur tal-utent tas-sistema;
  • liema attribut jista 'jintuża biex tiġi stabbilita konnessjoni mar-rekord ta' impjegat fis-sistema tal-persunal (isem sħiħ, numru tal-persunal, eċċ.);
  • l-attributi kollha possibbli tal-kont u r-regoli biex jimtlewhom;
  • liema drittijiet ta' aċċess jeżistu fis-sistema (rwoli, gruppi, drittijiet atomiċi, eċċ., hemm drittijiet ibditi jew ġerarkiċi);
  • mekkaniżmi għad-diviżjoni tad-drittijiet ta' aċċess (b'pożizzjoni, dipartiment, funzjonalità, eċċ.);
  • Is-sistema għandha regoli għas-segregazzjoni tad-drittijiet (SOD – Segregation of Duties), u kif jaħdmu;
  • kif fis-sistema jiġu pproċessati avvenimenti ta’ assenza, trasferiment, tkeċċija, aġġornament tad-dejta tal-impjegati, eċċ.

Din il-lista tista 'titkompla, billi tagħti dettalji dwar il-parametri varji u oġġetti oħra li huma involuti fil-proċess ta' kontroll tal-aċċess.

Pass 5. Oħloq deskrizzjoni orjentata lejn in-negozju tal-permessi

Dokument ieħor li se jkollna bżonn meta nibnu mudell huwa ktieb ta’ referenza dwar is-setgħat (drittijiet) kollha possibbli li jistgħu jingħataw lill-utenti fis-sistema ta’ informazzjoni b’deskrizzjoni dettaljata tal-funzjoni tan-negozju li tinsab warajha. Ħafna drabi, l-awtoritajiet fis-sistema huma encrypted b'ċerti ismijiet li jikkonsistu f'ittri u numri, u l-impjegati tan-negozju ma jistgħux jifhmu x'hemm wara dawn is-simboli. Imbagħad imorru għand is-servizz tal-IT, u hemm... ukoll ma jistgħux iwieġbu l-mistoqsija, pereżempju, dwar drittijiet li rarament jintużaw. Imbagħad irid isir ittestjar addizzjonali.

Tajjeb jekk diġà hemm deskrizzjoni tan-negozju jew anki jekk ikun hemm taħlita ta’ dawn id-drittijiet fi gruppi u rwoli. Għal xi applikazzjonijiet, l-aħjar prattika hija li tinħoloq referenza bħal din fl-istadju tal-iżvilupp. Iżda dan ma jseħħx spiss, għalhekk nerġgħu mmorru fid-dipartiment tal-IT biex niġbru informazzjoni dwar id-drittijiet kollha possibbli u niddeskrivuhom. Il-gwida tagħna fl-aħħar mill-aħħar se jkun fiha dan li ġej:

  • isem l-awtorità, inkluż l-oġġett li għalih japplika d-dritt ta’ aċċess;
  • azzjoni li hija permessa li ssir b'oġġett (wiri, tibdil, eċċ., il-possibbiltà ta 'restrizzjoni, pereżempju, fuq bażi territorjali jew minn grupp ta' klijenti);
  • kodiċi ta' awtorizzazzjoni (kodiċi u isem tal-funzjoni/talba tas-sistema li tista' tiġi esegwita bl-użu tal-awtorizzazzjoni);
  • deskrizzjoni tal-awtorità (deskrizzjoni dettaljata tal-azzjonijiet fl-IS meta tiġi applikata l-awtorità u l-konsegwenzi tagħhom għall-proċess;
  • status tal-permess: "Attiv" (jekk il-permess huwa assenjat għal mill-inqas utent wieħed) jew "Mhux attiv" (jekk il-permess ma jintużax).

Pass 6 Iniżżlu d-dejta dwar l-utenti u d-drittijiet mis-sistemi u nqabbluhom mas-sors tal-persunal

Fl-istadju finali tal-preparazzjoni, għandek bżonn tniżżel dejta mis-sistemi ta' informazzjoni dwar l-utenti kollha u d-drittijiet li għandhom bħalissa. Hemm żewġ xenarji possibbli hawnhekk. L-ewwel: id-dipartiment tas-sigurtà għandu aċċess dirett għas-sistema u għandu l-mezzi biex tniżżel rapporti rilevanti, li ma jseħħx spiss, iżda huwa konvenjenti ħafna. It-tieni: nibagħtu talba lill-IT biex nirċievu rapporti fil-format meħtieġ. L-esperjenza turi li mhux possibbli li jintlaħaq ftehim mal-IT u li tinkiseb id-dejta meħtieġa l-ewwel darba. Huwa meħtieġ li jsiru diversi approċċi sakemm l-informazzjoni tasal fil-forma u l-format mixtieqa.

Liema data trid titniżżel:

  • Isem tal-kont
  • Isem sħiħ tal-impjegat li lilu jiġi assenjat
  • Status (attiv jew imblukkat)
  • Data tal-ħolqien tal-kont
  • Data tal-aħħar użu
  • Lista ta' drittijiet/gruppi/rwoli disponibbli

Għalhekk, irċevejna downloads mis-sistema bl-utenti kollha u d-drittijiet kollha li ngħataw lilhom. U immedjatament warrbu l-kontijiet imblukkati kollha, peress li x-xogħol fuq il-bini ta 'mudell se jsir biss għal utenti attivi.

Imbagħad, jekk il-kumpanija tiegħek ma jkollhiex mezzi awtomatizzati biex timblokka l-aċċess għall-impjegati mkeċċija (dan iseħħ ħafna drabi) jew ikollha awtomatizzazzjoni ta 'roqgħa li mhux dejjem taħdem b'mod korrett, trid tidentifika l-"erwieħ mejta kollha". Qed nitkellmu dwar il-kontijiet tal-impjegati li diġà tkeċċew, li d-drittijiet tagħhom mhumiex imblukkati għal xi raġuni - jeħtieġ li jiġu mblukkati. Biex tagħmel dan, inqabblu d-dejta mtellgħa mas-sors tal-persunal. Il-ħatt tal-persunal irid jinkiseb ukoll minn qabel mid-dipartiment li jżomm id-database tal-persunal.

Separatament, huwa meħtieġ li jitwarrbu kontijiet li s-sidien tagħhom ma nstabux fid-database tal-persunal, mhux assenjati lil ħadd - jiġifieri, bla sid. Meta tuża din il-lista, ser ikollna bżonn id-data tal-aħħar użu: jekk hija pjuttost riċenti, xorta jkollna nfittxu s-sidien. Dan jista 'jinkludi kontijiet ta' kuntratturi esterni jew kontijiet ta 'servizz li mhumiex assenjati lil ħadd, iżda huma assoċjati ma' kwalunkwe proċess. Biex issir taf lil min jappartjenu l-kontijiet, tista’ tibgħat ittri lid-dipartimenti kollha fejn titlobhom iwieġbu. Meta jinstabu s-sidien, aħna ndaħħlu dejta dwarhom fis-sistema: b'dan il-mod, il-kontijiet attivi kollha jiġu identifikati, u l-bqija jiġu mblukkati.

Hekk kif l-uploads tagħna jitneħħew minn rekords mhux meħtieġa u jibqgħu biss kontijiet attivi, nistgħu nibdew nibnu mudell għal sistema speċifika ta' informazzjoni. Imma ngħidlek dwar dan fl-artiklu li jmiss.

Awtur: Lyudmila Sevastyanova, maniġer tal-promozzjoni Solar inRights

Sors: www.habr.com

Żid kumment