ProHoster > Blog > Administrasi > Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Kuring ayeuna damel pikeun ngical paralatan, khususna ngaksés solusi kontrol. Sareng pangalaman kuring "tina kahirupan baheula" dihubungkeun sareng sisi palanggan - organisasi kauangan anu ageung. Dina waktos éta, grup kontrol aksés urang di departemen kaamanan informasi teu bisa boasts kompetensi hébat dina IdM. Urang diajar loba dina prosés, urang kudu pencét loba nabrak guna ngawangun mékanisme gawé pikeun ngatur hak pamaké dina sistem informasi di pausahaan.
Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan
Ngagabungkeun pangalaman palanggan anu susah-dihasilkeun ku pangaweruh sareng kompeténsi vendor, abdi hoyong bagikeun sareng anjeun dasarna léngkah-léngkah: kumaha cara nyiptakeun modél kontrol aksés dumasar-peran dina perusahaan ageung, sareng naon anu bakal dipasihkeun ku hasilna. . Parentah kuring diwangun ku dua bagian: anu kahiji siap-siap ngawangun modél, anu kadua nyaéta ngawangun. Ieu bagian kahiji, bagian persiapan.

NB Ngawangun panutan téh, hanjakalna, lain hasil, tapi hiji prosés. Atawa rada, malah bagian tina prosés nyieun hiji ékosistem kontrol aksés di pausahaan. Ku kituna meunang siap pikeun kaulinan pikeun lila.

Kahiji, hayu urang ngartikeun - naon kontrol aksés dumasar peran? Anggap anjeun boga bank badag kalayan puluhan, atawa malah ratusan rébu pagawé (éntitas), nu masing-masing boga puluhan hak aksés ka ratusan sistem informasi bank internal (objék). Ayeuna kalikeun jumlah objék ku jumlah subjék - ieu téh jumlah minimum sambungan anjeun kudu mimiti ngawangun lajeng kontrol. Naha leres-leres tiasa ngalakukeun ieu sacara manual? Tangtu moal - peran dijieun pikeun ngajawab masalah ieu.

Peran mangrupikeun sakumpulan idin anu diperyogikeun ku pangguna atanapi sakelompok pangguna pikeun ngalaksanakeun tugas padamelan anu tangtu. Unggal pagawe bisa boga hiji atawa leuwih kalungguhan, sarta unggal peran bisa ngandung ti hiji nepi ka loba idin nu diwenangkeun pikeun pamaké dina peran éta. Peran tiasa dihijikeun ka posisi khusus, departemén atanapi tugas fungsional karyawan.

Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Peran biasana dijieun tina otorisasi karyawan individu dina unggal sistem informasi. Lajeng peran bisnis global kabentuk tina peran unggal sistem. Salaku conto, peran bisnis "manajer kiridit" bakal kalebet sababaraha kalungguhan anu misah dina sistem inpormasi anu dianggo di kantor palanggan bank. Contona, dina sapertos sistem perbankan otomatis utama, modul tunai, sistem manajemen dokumén éléktronik, manajer jasa jeung sajabana. Peran bisnis, sakumaha aturan, dihijikeun kana struktur organisasi - dina basa sanés, kana set divisi sareng jabatan perusahaan di antarana. Ieu kumaha matriks peran global kabentuk (kuring masihan conto dina tabel di handap ieu).

Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Eta sia noting yén éta téh saukur teu mungkin pikeun ngawangun 100% panutan, nyadiakeun sagala hak dipikabutuh pikeun pagawé unggal posisi dina struktur komérsial. Sumuhun, ieu teu perlu. Barina ogé, panutan teu tiasa statis, sabab gumantung kana lingkungan anu terus-terusan robih. Sareng tina parobahan dina kagiatan bisnis perusahaan, anu, sasuai, mangaruhan parobahan dina struktur organisasi sareng fungsionalitas. Jeung tina kurangna penyediaan pinuh sumberdaya, sarta ti non-patuh kana déskripsi pakasaban, sarta tina kahayang pikeun untung di expense kaamanan, sarta ti loba faktor séjén. Ku alatan éta, perlu ngawangun panutan anu bisa nutupan nepi ka 80% pangabutuh pamaké pikeun hak dasar diperlukeun nalika ditugaskeun ka posisi. Sareng aranjeunna tiasa, upami diperyogikeun, nyuhunkeun sésana 20% engké dina aplikasi anu misah.

Tangtosna, anjeun tiasa naros: "Naha teu aya anu 100% panutan?" Nya, naha, ieu kajadian, contona, dina struktur nirlaba anu henteu tunduk kana parobahan anu sering - dina sababaraha lembaga panalungtikan. Atawa dina organisasi kompléks militer-industri jeung tingkat luhur kaamanan, dimana kaamanan asalna munggaran. Ieu lumangsung dina struktur komérsial, tapi dina kerangka division misah, karya anu mangrupa prosés cukup statik sarta bisa diprediksi.

Kauntungan utama tina manajemen dumasar-peran nyaéta nyederhanakeun hak ngaluarkeun, sabab jumlah peran nyata kirang ti jumlah pamaké sistem informasi. Sareng ieu leres pikeun industri naon waé.

Hayu urang nyandak hiji parusahaan ritel: eta employs rébuan salespeople, tapi maranéhna boga set sarua hak dina sistem N, sarta ngan hiji peran bakal dijieun pikeun aranjeunna. Nalika hiji salesperson anyar datang ka parusahaan, anjeunna otomatis ditugaskeun peran diperlukeun dina sistem, nu geus boga sagala otoritas diperlukeun. Ogé, dina hiji klik anjeun bisa ngarobah hak pikeun rébuan sellers sakaligus, contona, nambahkeun hiji pilihan anyar pikeun ngahasilkeun laporan. Teu perlu ngalakukeun sarébu operasi, numbu hiji katuhu anyar pikeun tiap akun - ngan nambahan pilihan ieu peran, sarta eta bakal muncul pikeun sakabéh sellers dina waktos anu sareng.

Kauntungan sejen tina manajemen dumasar-peran nyaéta ngaleungitkeun penerbitan otorisasi anu teu cocog. Hartina, hiji pagawe anu boga peran nu tangtu dina sistem teu bisa sakaligus mibanda peran sejen, hak nu teu kudu digabungkeun jeung hak dina munggaran. Conto anu keuna nyaéta larangan pikeun ngagabungkeun fungsi input sareng kontrol transaksi kauangan.

Saha waé anu resep kana kumaha kontrol aksés dumasar kana peran tiasa
teuleum kana sajarah
Lamun urang nempo sajarah, komunitas IT mimiti mikir ngeunaan métode kontrol aksés deui dina 70-an abad ka-XNUMX. Sanaos aplikasina rada saderhana harita, sapertos ayeuna, sadayana hoyong pisan ngatur aksés ka aranjeunna. Ngabulkeun, ngarobah jeung ngadalikeun hak pamaké - ngan pikeun ngagampangkeun ngartos naon aksés unggal sahijina. Tapi dina waktos éta henteu aya standar umum, sistem kontrol aksés anu munggaran dikembangkeun, sareng unggal perusahaan dumasar kana ideu sareng aturan sorangan.

Loba model kontrol aksés béda ayeuna dipikawanoh, tapi maranéhna teu muncul langsung. Hayu urang nganggap jalma-jalma anu parantos masihan kontribusi anu penting pikeun pangwangunan daérah ieu.

Kahiji jeung meureun model pangbasajanna nyaeta Kontrol aksés discretionary (selektif). (DAC - Kontrol aksés Discretionary). Modél ieu nunjukkeun babagi hak ku sadaya pamilon dina prosés aksés. Unggal pamaké boga aksés ka objék atawa operasi husus. Intina, di dieu susunan subyek hak pakait jeung susunan objék. Modél ieu kapendak teuing fléksibel sareng sesah teuing dijaga: daptar aksés ahirna janten ageung sareng sesah dikontrol.

Modél kadua nyaéta Kontrol aksés wajib (MAC - Kontrol aksés wajib). Numutkeun model ieu, unggal pamaké narima aksés ka obyék luyu jeung aksés dikaluarkeun kana tingkat nu tangtu karusiahan data. Sasuai, objék kudu categorized nurutkeun tingkat karusiahan maranéhanana. Beda sareng modél fléksibel anu munggaran, anu ieu, sabalikna, tétéla ketat teuing sareng ketat. Pamakéanna henteu diyakinkeun nalika perusahaan gaduh seueur sumber inpormasi anu béda: pikeun ngabédakeun aksés kana sumber daya anu béda, anjeun kedah ngenalkeun seueur kategori anu henteu tumpang tindih.

Alatan imperfections atra tina dua métode ieu, komunitas IT terus ngembangkeun model nu leuwih fleksibel jeung dina waktos anu sareng leuwih atawa kurang universal pikeun ngarojong tipena béda kawijakan kontrol aksés organisasi. Terus nembongan model kontrol aksés basis peran katilu! Pendekatan ieu kabuktian paling ngajangjikeun sabab merlukeun teu ukur otorisasina identitas pamaké, tapi ogé fungsi operasional na dina sistem.

Struktur panutan anu munggaran dijelaskeun sacara jelas diusulkeun ku élmuwan Amérika David Ferrailo sareng Richard Kuhn ti National Institute of Standards and Technology di 1992. Lajeng istilah mimiti muncul RBAC (Kadali aksés basis peran). Panaliti ieu sareng déskripsi ngeunaan komponén utama, ogé hubunganana, janten dasar standar INCITS 359-2012, anu masih berlaku ayeuna, disatujuan ku Komite Internasional Standar Téknologi Inpormasi (INCITS).

Standar ngahartikeun peran salaku "fungsi pakasaban dina konteks organisasi kalawan sababaraha semantik pakait ngeunaan wewenang jeung tanggung jawab ditugaskeun ka pamaké ditugaskeun kana peran éta." Dokumén éta netepkeun unsur dasar RBAC - pangguna, sesi, peran, idin, operasi sareng objék, ogé hubungan sareng interkonéksi antara aranjeunna.

Standar ieu nyayogikeun struktur minimum anu dipikabutuh pikeun ngawangun panutan - ngagabungkeun hak kana peran teras masihan aksés ka pangguna ngalangkungan peran ieu. Mékanisme pikeun nyusun peran tina objék sareng operasi dijelaskeun, hirarki peran sareng warisan kakawasaan dijelaskeun. Barina ogé, dina sagala parusahaan aya kalungguhan anu ngagabungkeun kakuatan dasar anu dipikabutuh pikeun sakabéh pagawé pausahaan. Ieu tiasa janten aksés kana email, EDMS, portal perusahaan, jsb. Idin ieu tiasa dilebetkeun kana hiji peran umum anu disebut "pagawe", sareng henteu kedah daptar sadaya hak dasar deui-deui dina unggal kalungguhan tingkat luhur. Cukup ngan saukur nunjukkeun ciri warisan tina peran "karyawan".

Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Salajengna, standar ieu ditambah ku atribut aksés anyar anu aya hubunganana sareng lingkungan anu terus-terusan robih. Kamampuhan pikeun ngenalkeun larangan statik sareng dinamis parantos ditambah. Anu statik nunjukkeun impossibility ngagabungkeun peran (input anu sami sareng kontrol operasi anu disebatkeun di luhur). Watesan dinamis tiasa ditangtukeun ku cara ngarobah parameter, contona, waktos (jam kerja / henteu damel atanapi dinten), lokasi (kantor / bumi), jsb.

Kapisah, eta kudu ngomong ngeunaan kontrol aksés basis atribut (ABAC - kontrol aksés dumasar-Atribut). pendekatan ieu dumasar kana granting aksés ngagunakeun aturan babagi atribut. Modél ieu tiasa dianggo nyalira, tapi seringna aktip ngalengkepan panutan klasik: atribut pangguna, sumber daya sareng alat, ogé waktos atanapi lokasi, tiasa nambihan kana peran anu tangtu. Hal ieu ngamungkinkeun anjeun ngagunakeun pangsaeutikna peran, ngenalkeun larangan tambahan sareng ngajantenkeun aksés saminimal mungkin, sareng ku kituna ningkatkeun kaamanan.

Salaku conto, hiji akuntan tiasa diidinan aksés kana rekening upami anjeunna damel di daérah anu tangtu. Teras lokasi spesialis bakal dibandingkeun sareng nilai rujukan anu tangtu. Atanapi anjeun tiasa masihan aksés ka akun ngan upami pangguna asup tina alat anu kalebet dina daptar anu diidinan. A tambahan alus pikeun panutan, tapi jarang dipaké sorangan alatan kudu nyieun loba aturan jeung tabel idin atawa larangan.

Hayu atuh masihan anjeun conto ngagunakeun ABAC tina "kahirupan kaliwat" kuring. Bank kami ngagaduhan sababaraha cabang. Karyawan kantor klien di cabang ieu dipigawé persis operasi sarua, tapi kapaksa dianggo dina sistem utama ngan kalawan rekening di wewengkon maranéhanana. Mimiti, urang mimiti nyiptakeun peran anu misah pikeun tiap daérah - sareng seueur pisan peran sapertos anu fungsina diulang, tapi kalayan aksés kana akun anu béda! Teras, ku ngagunakeun atribut lokasi pikeun pangguna sareng ngahubungkeun éta sareng sajumlah akun khusus pikeun ditinjau, kami sacara signifikan ngirangan jumlah peran dina sistem. Hasilna, kalungguhan tetep pikeun ngan hiji cabang, nu replicated pikeun posisi pakait dina sagala divisi téritorial séjén bank.

Ayeuna hayu urang ngobrol ngeunaan léngkah-léngkah persiapan anu diperyogikeun, tanpa éta mustahil pikeun ngawangun panutan anu tiasa dianggo.

Lengkah 1. Jieun model fungsional

Anjeun kudu mimitian ku nyieun model fungsional - hiji dokumen tingkat luhur anu ngajelaskeun di jéntré fungsionalitas unggal departemén jeung unggal posisi. Sakumaha aturan, inpormasi asup kana sababaraha dokumén: déskripsi padamelan sareng peraturan pikeun unit individu - departemén, divisi, departemén. Model fungsional kedah disatujuan sareng sadaya departemén anu kabetot (bisnis, kontrol internal, kaamanan) sareng disatujuan ku manajemén perusahaan. Pikeun naon dokumén ieu? Sangkan panutan tiasa ngarujuk kana. Salaku conto, anjeun badé ngawangun panutan dumasar kana hak-hak karyawan anu aya - dibongkar tina sistem sareng "diréduksi jadi pangbagi umum". Teras, nalika satuju kana kalungguhan anu ditampi sareng juragan bisnis sistem, anjeun tiasa ngarujuk kana titik khusus dina modél fungsional, anu dumasar kana ieu atanapi éta hak kalebet kana peran éta.

Lengkah 2. Urang ngaudit sistem IT sareng ngadamel rencana prioritas

Dina tahap kadua, anjeun kedah ngalaksanakeun audit sistem IT pikeun ngartos kumaha aksés ka aranjeunna diatur. Salaku conto, perusahaan kauangan kuring ngoperasikeun sababaraha ratus sistem inpormasi. Kabéh sistem miboga sababaraha rudiments manajemén dumasar-peran, lolobana miboga sababaraha kalungguhan, tapi lolobana dina kertas atawa dina diréktori sistem - aranjeunna geus lila luntur, sarta aksés ka aranjeunna ieu dibales dumasar kana requests pamaké sabenerna. Alami, ngan saukur teu mungkin pikeun ngawangun panutan dina sababaraha ratus sistem sakaligus, anjeun kedah ngamimitian dimana waé. Kami ngalaksanakeun analisa jero ngeunaan prosés kontrol aksés pikeun nangtukeun tingkat kematanganna. Salila prosés analisa, kriteria pikeun prioritas sistem inpormasi dikembangkeun - kekritisan, kesiapan, rencana pikeun decommissioning, jsb. Kalayan bantosanana, kami ngajajarkeun pamekaran / ngamutahirkeun panutan pikeun sistem ieu. Teras kami kalebet panutan dina rencana integrasi sareng solusi Manajemén Identitas pikeun ngajadikeun otomatis kontrol aksés.

Janten kumaha anjeun nangtukeun kritisitas sistem? Jawab sorangan patarosan di handap ieu:

  • Naha sistemna aya hubunganana sareng prosés operasional anu gumantung kana kagiatan inti perusahaan?
  • Naha gangguan sistem mangaruhan integritas aset perusahaan?
  • Naon downtime maksimum anu diidinan tina sistem, ngahontal anu mustahil pikeun mulangkeun kagiatan saatos gangguan?
  • Naha ngalanggar integritas inpormasi dina sistem tiasa ngakibatkeun akibat anu teu tiasa dibalikkeun, boh kauangan sareng reputasi?
  • Criticality kana panipuan. Ayana fungsionalitas, upami teu dikawasa leres, tiasa ngakibatkeun tindakan curang internal / éksternal;
  • Naon sarat hukum sareng aturan internal sareng prosedur pikeun sistem ieu? Naha bakal aya denda ti régulator pikeun henteu patuh?

Di perusahaan kauangan urang, urang ngalaksanakeun audit sapertos kieu. Manajemén ngembangkeun prosedur audit Tinjauan Hak Aksés pikeun ningali heula pangguna sareng hak anu aya dina sistem inpormasi anu aya dina daptar prioritas pangluhurna. Departemen kaamanan ditugaskeun salaku nu boga prosés ieu. Tapi pikeun meunangkeun gambaran lengkep ngeunaan hak aksés di pausahaan, éta diperlukeun pikeun ngalibetkeun IT jeung departemén bisnis dina prosés. Sarta di dieu sengketa, salah harti, sarta kadangkala malah sabotase dimimitian: teu saurang ogé hayang megatkeun jauh ti tanggung jawab maranéhanana ayeuna sarta kalibet dina sababaraha, di glance kahiji, kagiatan teu kaharti.

NB Perusahaan ageung sareng prosés IT anu dikembangkeun sigana akrab sareng prosedur audit IT - kontrol umum IT (ITGC), anu ngamungkinkeun anjeun pikeun ngaidentipikasi kakurangan dina prosés IT sareng netepkeun kontrol supados ningkatkeun prosés saluyu sareng prakték pangsaéna (ITIL, COBIT, IT. Pamarentahan jeung sajabana) Inok sapertos kitu ngamungkinkeun IT sareng bisnis langkung ngartos silih sareng ngembangkeun strategi pangembangan gabungan, nganalisa résiko, ngaoptimalkeun biaya, sareng ngembangkeun pendekatan anu langkung efektif pikeun damel.

Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Salah sahiji daérah audit nyaéta pikeun nangtoskeun parameter aksés logis sareng fisik kana sistem inpormasi. Urang nyokot data diala salaku dadasar pikeun pamakéan salajengna dina ngawangun panutan. Salaku hasil tina Inok ieu, urang ngagaduhan daptar sistem IT, dimana parameter téknisna ditangtukeun sareng déskripsi anu dipasihkeun. Salaku tambahan, pikeun unggal sistem, pamilik diidentifikasi tina arah bisnis anu kapentinganna dioperasikeun: éta anjeunna anu tanggung jawab prosés bisnis anu dilayanan ku sistem ieu. Manajer jasa IT ogé ditunjuk, tanggung jawab pikeun palaksanaan téknis kabutuhan bisnis pikeun IS khusus. Sistem anu paling kritis pikeun perusahaan sareng parameter téknisna, syarat komisioning sareng decommissioning, jsb.

Lengkah 3 Jieun metodologi

Konci pikeun kasuksésan bisnis naon waé nyaéta metode anu leres. Ku alatan éta, boh pikeun ngawangun panutan sareng ngalaksanakeun audit, urang kedah nyiptakeun metodologi dimana urang ngajelaskeun interaksi antara departemén, netepkeun tanggung jawab dina peraturan perusahaan, jsb.
Mimiti anjeun kedah mariksa sadaya dokumén anu aya anu netepkeun prosedur pikeun masihan aksés sareng hak. Dina cara anu saé, prosés kedah didokumentasikeun dina sababaraha tingkat:

  • syarat umum perusahaan;
  • syarat pikeun daérah kaamanan inpormasi (gumantung kana daérah kagiatan organisasi);
  • syarat pikeun prosés téhnologis (parentah, matriks aksés, tungtunan, syarat konfigurasi).

Di perusahaan kauangan urang, urang mendakan seueur dokumén anu luntur; urang kedah dibawa saluyu sareng prosés énggal anu dilaksanakeun.

Ku tatanan manajemén, grup kerja didamel, anu kalebet wawakil ti kaamanan, IT, bisnis sareng kontrol internal. Urutan outlined tujuan nyieun grup, arah kagiatan, periode eksistensi jeung tanggung jawab ti unggal sisi. Salaku tambahan, kami ngembangkeun hiji metodologi Inok sareng prosedur pikeun ngawangun panutan: aranjeunna disatujuan ku sadaya perwakilan anu tanggung jawab di daérah sareng disatujuan ku manajemén perusahaan.

Dokumén anu ngajelaskeun prosedur pikeun ngalaksanakeun pagawéan, wates waktu, tanggung jawab, jsb. - jaminan yén dina jalan ka tujuan anu dihargaan, anu mimitina henteu écés pikeun sadayana, teu aya anu bakal naroskeun patarosan "naha urang ngalakukeun ieu, naha urang peryogi éta, jsb." tur moal aya kasempetan pikeun "luncat kaluar" atawa ngalambatkeun turun prosés.

Kami ngawangun modél kontrol aksés dumasar-peran. Bagian kahiji, persiapan

Lengkah 4. Ngalereskeun parameter model kontrol aksés aya

Kami ngagambar anu disebut "paspor sistem" dina hal kontrol aksés. Intina, ieu mangrupikeun angkét dina sistem inpormasi khusus, anu ngarékam sadaya algoritma pikeun ngatur aksés ka éta. Perusahaan anu parantos ngalaksanakeun solusi kelas IdM sigana biasa sareng kuesioner sapertos kitu, sabab ieu dimana diajar sistem dimimitian.

Sababaraha parameter ngeunaan sistem sareng juragan ngalir kana kuesioner ti pendaptaran IT (tingali lengkah 2, Inok), tapi anu anyar ogé ditambahkeun:

  • kumaha akun dikokolakeun (langsung dina database atawa ngaliwatan interfaces software);
  • kumaha pamaké asup ka sistem (ngagunakeun akun anu misah atanapi nganggo akun AD, LDAP, jsb.);
  • naon tingkat aksés ka sistem nu dipaké (tingkat aplikasi, tingkat sistem, pamakéan sistem sumberdaya file jaringan);
  • pedaran sareng parameter tina server dimana sistem dijalankeun;
  • naon operasi manajemén akun nu dirojong (blocking, ngaganti ngaran, jsb);
  • algoritma atawa aturan naon anu dipaké pikeun ngahasilkeun identifier pamaké sistem;
  • atribut naon bisa dipaké pikeun nyieun sambungan kalawan catetan pagawe di sistem tanaga (ngaran lengkep, nomer tanaga, jsb);
  • sadaya atribut akun mungkin sareng aturan pikeun ngeusianana;
  • naon hak aksés aya dina sistem (peran, grup, hak atom, jsb, aya nested atawa hak hirarki);
  • mékanisme pikeun ngabagi hak aksés (ku posisi, departemén, fungsionalitas, jsb);
  • Naha sistemna gaduh aturan pikeun segregation hak (SOD - Segregation of Kawajiban), sareng kumaha aranjeunna jalanna;
  • kumaha acara henteuna, mindahkeun, PHK, ngamutahirkeun data pagawe, jsb anu diolah dina sistem.

Daptar ieu tiasa diteruskeun, detil rupa-rupa parameter sareng objék séjén anu kalibet dina prosés kontrol aksés.

Lengkah 5. Jieun pedaran berorientasi bisnis ngeunaan idin

Dokumén sanés anu urang peryogikeun nalika ngawangun panutan nyaéta buku rujukan ngeunaan sadaya kakuatan (hak) anu tiasa dipasihkeun ka pangguna dina sistem inpormasi kalayan pedaran lengkep ngeunaan fungsi bisnis anu aya di tukangeunana. Seringna, otoritas dina sistem énkripsi kalayan nami-nami anu diwangun ku hurup sareng nomer, sareng karyawan bisnis henteu tiasa terang naon anu aya di tukangeun simbol ieu. Teras aranjeunna angkat ka layanan IT, sareng di dinya ... aranjeunna ogé henteu tiasa ngajawab patarosan, contona, ngeunaan hak anu jarang dianggo. Salajengna, tés tambahan kedah dilakukeun.

Éta saé upami parantos aya pedaran bisnis atanapi upami aya kombinasi hak-hak ieu kana grup sareng peran. Kanggo sababaraha aplikasi, prakték pangsaéna nyaéta nyiptakeun rujukan sapertos dina tahap pamekaran. Tapi ieu teu lumangsung mindeng, jadi urang balik deui ka departemen IT pikeun ngumpulkeun informasi ngeunaan sagala hak mungkin tur ngajelaskeun aranjeunna. Panungtun kami pamustunganana bakal ngandung ieu:

  • ngaran otoritas, kaasup objék nu hak aksés lumaku;
  • lampah anu diidinan dilakukeun ku obyék (ningali, ngarobih, jsb., kamungkinan larangan, contona, dumasar wilayah atanapi ku grup klien);
  • kode otorisasina (kode jeung ngaran fungsi sistem / pamundut nu bisa dieksekusi maké otorisasina);
  • pedaran otoritas (deskripsi rinci ngeunaan lampah dina IS nalika nerapkeun wewenang jeung konsékuansi maranéhna pikeun prosés;
  • status idin: "Aktip" (lamun idin ditugaskeun ka sahanteuna hiji pamaké) atawa "Henteu aktip" (lamun idin henteu dipaké).

Lengkah 6 Urang ngundeur data ngeunaan pamaké sarta hak tina sistem tur dibandingkeun jeung sumber tanaga

Dina tahap ahir persiapan, anjeun kedah ngaunduh data tina sistem inpormasi ngeunaan sadaya pangguna sareng hak-hak anu aranjeunna gaduh ayeuna. Aya dua skenario anu mungkin di dieu. Kahiji: departemén kaamanan boga wasa langsung ka sistem jeung boga sarana pikeun ngundeur laporan relevan, nu teu lumangsung mindeng, tapi pohara merenah. Kadua: kami ngirimkeun pamundut ka IT pikeun nampi laporan dina format anu diperyogikeun. Pangalaman nunjukeun yen teu mungkin mun datang ka hiji perjangjian jeung IT sarta ménta data diperlukeun pikeun kahiji kalina. Peryogikeun sababaraha pendekatan dugi ka inpormasi nampi dina bentuk sareng format anu dipikahoyong.

Data naon anu kedah diunduh:

  • Nami akun
  • Ngaran lengkep karyawan anu ditugaskeun
  • Status (aktip atanapi diblokir)
  • Tanggal nyiptakeun akun
  • Tanggal pamakéan panungtungan
  • Daptar hak sadia / grup / kalungguhan

Janten, kami nampi undeuran tina sistem sareng sadaya pangguna sareng sadaya hak anu dipasihkeun ka aranjeunna. Sareng aranjeunna langsung nyingkirkeun sadaya akun anu diblokir, sabab padamelan ngawangun panutan bakal dilaksanakeun ngan ukur pikeun pangguna anu aktip.

Teras, upami perusahaan anjeun henteu gaduh cara otomatis pikeun ngahalangan aksés ka karyawan anu dipecat (ieu sering kajantenan) atanapi gaduh otomatisasi patchwork anu henteu leres-leres jalanna, anjeun kedah ngaidentipikasi sadaya "jiwa paéh." Kami nyarioskeun ngeunaan akun karyawan anu parantos dipecat, anu hakna henteu diblokir pikeun sababaraha alesan - aranjeunna kedah diblokir. Jang ngalampahkeun ieu, urang ngabandingkeun data unggah jeung sumber tanaga. Unloading tanaga ogé kedah didapet sateuacanna ti departemen ngajaga database tanaga.

Kapisah, perlu sisihkan rekening anu boga teu kapanggih dina database tanaga, teu ditugaskeun ka saha - nyaeta, boga. Nganggo daptar ieu, urang peryogi tanggal pamakean terakhir: upami éta énggal-énggal, urang masih kedah milarian pamilik. Ieu tiasa kalebet akun kontraktor éksternal atanapi akun jasa anu henteu ditugaskeun ka saha waé, tapi aya hubunganana sareng prosés naon waé. Pikeun terang saha milik akun, anjeun tiasa ngirim surat ka sadaya departemén anu naroskeun aranjeunna ngabales. Nalika juragan kapanggih, kami asupkeun data ngeunaan aranjeunna kana sistem: ku cara ieu, sadaya akun aktip diidentifikasi, sareng sésana diblokir.

Pas unggahan urang diberesihan tina rékaman anu teu perlu sareng ngan ukur akun anu aktip, urang tiasa ngamimitian ngawangun panutan pikeun sistem inpormasi khusus. Tapi kuring bakal nyarioskeun ka anjeun ngeunaan ieu dina tulisan salajengna.

Panulis: Lyudmila Sevastyanova, manajer promosi Solar inRights

sumber: www.habr.com

Tambahkeun komentar