ProHoster > blog > Utawala > Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Kwa sasa ninafanya kazi kwa muuzaji wa programu, haswa suluhisho za udhibiti wa ufikiaji. Na uzoefu wangu "kutoka kwa maisha ya zamani" umeunganishwa na upande wa mteja - shirika kubwa la kifedha. Wakati huo, kikundi chetu cha udhibiti wa ufikiaji katika idara ya usalama wa habari haikuweza kujivunia umahiri mkubwa katika IdM. Tulijifunza mengi katika mchakato huo, ilitubidi kupiga matuta mengi ili kujenga utaratibu wa kufanya kazi wa kusimamia haki za watumiaji katika mifumo ya habari katika kampuni.
Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi
Kuchanganya uzoefu wangu wa mteja uliopatikana kwa bidii na maarifa na umahiri wa muuzaji, nataka kushiriki nawe kimsingi maagizo ya hatua kwa hatua: jinsi ya kuunda mfano wa udhibiti wa ufikiaji wa msingi katika kampuni kubwa, na hii itatoa nini kama matokeo. . Maagizo yangu yana sehemu mbili: ya kwanza ni kujiandaa kujenga mfano, ya pili ni kujenga. Hapa ni sehemu ya kwanza, sehemu ya maandalizi.

NB Kujenga mfano wa kuigwa, kwa bahati mbaya, si matokeo, bali ni mchakato. Au tuseme, hata sehemu ya mchakato wa kuunda mfumo wa udhibiti wa ufikiaji katika kampuni. Kwa hivyo jitayarishe kwa mchezo kwa muda mrefu.

Kwanza, hebu tufafanue - udhibiti wa ufikiaji unaotegemea jukumu ni nini? Tuseme una benki kubwa yenye makumi, au hata mamia ya maelfu ya wafanyakazi (vyombo), ambao kila mmoja ana haki nyingi za kufikia mamia ya mifumo ya habari ya benki ya ndani (vitu). Sasa zidisha idadi ya vitu kwa idadi ya masomo - hii ndio idadi ya chini ya miunganisho unayohitaji kwanza kuunda na kisha kudhibiti. Inawezekana kufanya hivi kwa mikono? Bila shaka si - majukumu yaliundwa kutatua tatizo hili.

Jukumu ni seti ya ruhusa ambazo mtumiaji au kikundi cha watumiaji kinahitaji kutekeleza majukumu fulani ya kazi. Kila mfanyakazi anaweza kuwa na jukumu moja au zaidi, na kila jukumu linaweza kuwa na ruhusa moja hadi nyingi ambazo zinaruhusiwa kwa mtumiaji ndani ya jukumu hilo. Majukumu yanaweza kuhusishwa na nafasi maalum, idara au kazi za kazi za wafanyikazi.

Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Majukumu kwa kawaida huundwa kutoka kwa idhini ya mfanyakazi binafsi katika kila mfumo wa habari. Kisha majukumu ya biashara ya kimataifa huundwa kutoka kwa majukumu ya kila mfumo. Kwa mfano, jukumu la biashara "meneja wa mikopo" litajumuisha majukumu kadhaa tofauti katika mifumo ya habari inayotumika katika ofisi ya wateja ya benki. Kwa mfano, kama vile mfumo mkuu wa benki otomatiki, moduli ya pesa, mfumo wa usimamizi wa hati za kielektroniki, meneja wa huduma na wengine. Majukumu ya biashara, kama sheria, yanaunganishwa na muundo wa shirika - kwa maneno mengine, kwa seti ya mgawanyiko wa kampuni na nafasi ndani yao. Hivi ndivyo matrix ya jukumu la ulimwengu inavyoundwa (ninatoa mfano kwenye jedwali hapa chini).

Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Ni muhimu kuzingatia kwamba haiwezekani kujenga mfano wa 100%, kutoa haki zote muhimu kwa wafanyakazi wa kila nafasi katika muundo wa kibiashara. Ndiyo, hii sio lazima. Baada ya yote, mfano wa kuigwa hauwezi kuwa tuli, kwa sababu inategemea mazingira yanayobadilika kila wakati. Na kutokana na mabadiliko katika shughuli za biashara ya kampuni, ambayo, ipasavyo, huathiri mabadiliko katika muundo wa shirika na utendaji. Na kutokana na ukosefu wa utoaji kamili wa rasilimali, na kutokana na kutofuata maelezo ya kazi, na kutokana na tamaa ya faida kwa gharama ya usalama, na kutoka kwa mambo mengine mengi. Kwa hiyo, ni muhimu kujenga mfano wa kuigwa ambao unaweza kufidia hadi 80% ya mahitaji ya mtumiaji kwa haki muhimu za msingi wakati unapewa nafasi. Na wanaweza, ikiwa ni lazima, kuomba 20% iliyobaki baadaye kwenye programu tofauti.

Bila shaka, unaweza kuuliza: "Je, hakuna kitu kama 100% ya mifano ya kuigwa?" Naam, kwa nini, hii hutokea, kwa mfano, katika miundo isiyo ya faida ambayo si chini ya mabadiliko ya mara kwa mara - katika taasisi fulani ya utafiti. Au katika mashirika tata ya kijeshi-viwanda yenye kiwango cha juu cha usalama, ambapo usalama huja kwanza. Inatokea katika muundo wa kibiashara, lakini ndani ya mfumo wa mgawanyiko tofauti, kazi ambayo ni mchakato wa tuli na unaotabirika.

Faida kuu ya usimamizi wa msingi ni kurahisisha haki za utoaji, kwa sababu idadi ya majukumu ni kidogo sana kuliko idadi ya watumiaji wa mfumo wa habari. Na hii ni kweli kwa tasnia yoyote.

Wacha tuchukue kampuni ya rejareja: inaajiri maelfu ya wauzaji, lakini wana seti sawa ya haki katika mfumo N, na jukumu moja tu litaundwa kwa ajili yao. Wakati mfanyabiashara mpya anakuja kwa kampuni, anapewa moja kwa moja jukumu linalohitajika katika mfumo, ambao tayari una mamlaka yote muhimu. Pia, kwa kubofya mara moja unaweza kubadilisha haki za maelfu ya wauzaji mara moja, kwa mfano, ongeza chaguo jipya la kutoa ripoti. Hakuna haja ya kufanya shughuli elfu, kuunganisha haki mpya kwa kila akaunti - ongeza tu chaguo hili kwa jukumu, na itaonekana kwa wauzaji wote kwa wakati mmoja.

Faida nyingine ya usimamizi wa msingi ni kuondolewa kwa uidhinishaji usiolingana. Hiyo ni, mfanyakazi ambaye ana jukumu fulani katika mfumo hawezi kuwa na jukumu lingine wakati huo huo, haki ambazo hazipaswi kuunganishwa na haki za kwanza. Mfano wa kushangaza ni marufuku ya kuchanganya kazi za uingizaji na udhibiti wa shughuli za kifedha.

Yeyote anayevutiwa na jinsi udhibiti wa ufikiaji kulingana na jukumu ulivyoweza
kupiga mbizi kwenye historia
Tukiangalia historia, jumuiya ya TEHAMA ilifikiria kwanza kuhusu mbinu za udhibiti wa ufikiaji nyuma katika miaka ya 70 ya karne ya XNUMX. Ingawa programu zilikuwa rahisi sana wakati huo, kama ilivyo sasa, kila mtu alitaka sana kuzidhibiti kwa urahisi. Toa, badilisha na udhibiti haki za mtumiaji - ili kurahisisha tu kuelewa ni ufikiaji gani kila mmoja wao anao. Lakini wakati huo hapakuwa na viwango vya kawaida, mifumo ya udhibiti wa upatikanaji wa kwanza ilikuwa ikitengenezwa, na kila kampuni ilizingatia mawazo na sheria zake.

Aina nyingi tofauti za udhibiti wa ufikiaji sasa zinajulikana, lakini hazikuonekana mara moja. Wacha tuzungumze juu ya wale ambao wametoa mchango mkubwa katika maendeleo ya eneo hili.

Ya kwanza na pengine ni mfano rahisi zaidi Udhibiti wa ufikiaji wa hiari (ya kuchagua). (DAC - Udhibiti wa ufikiaji wa hiari). Mtindo huu unamaanisha kugawana haki na washiriki wote katika mchakato wa kufikia. Kila mtumiaji anaweza kufikia vitu maalum au shughuli. Kwa asili, hapa seti ya masomo ya haki inalingana na seti ya vitu. Muundo huu ulionekana kuwa rahisi kubadilika na mgumu sana kutunza: orodha za ufikiaji hatimaye huwa kubwa na ngumu kudhibiti.

Mfano wa pili ni Udhibiti wa ufikiaji wa lazima (MAC - Udhibiti wa ufikiaji wa lazima). Kwa mujibu wa mfano huu, kila mtumiaji anapata upatikanaji wa kitu kwa mujibu wa upatikanaji iliyotolewa kwa kiwango fulani cha usiri wa data. Ipasavyo, vitu vinapaswa kuainishwa kulingana na kiwango chao cha usiri. Tofauti na mfano wa kwanza wa kubadilika, hii, kinyume chake, iligeuka kuwa kali sana na yenye vikwazo. Matumizi yake hayana haki wakati kampuni ina rasilimali nyingi za habari tofauti: ili kutofautisha upatikanaji wa rasilimali mbalimbali, itabidi kuanzisha makundi mengi ambayo hayataingiliana.

Kutokana na kutokamilika kwa dhahiri kwa mbinu hizi mbili, jumuiya ya TEHAMA imeendelea kutengeneza miundo ambayo ni rahisi kunyumbulika na wakati huo huo zaidi au chini ya zima ili kusaidia aina tofauti za sera za udhibiti wa ufikiaji wa shirika. Na kisha ikaonekana mfano wa tatu wa udhibiti wa ufikiaji unaotegemea jukumu! Njia hii imeonekana kuwa ya kuahidi zaidi kwa sababu inahitaji sio tu idhini ya utambulisho wa mtumiaji, lakini pia kazi zake za uendeshaji katika mifumo.

Muundo wa kwanza ulioelezewa waziwazi ulipendekezwa na wanasayansi wa Marekani David Ferrailo na Richard Kuhn kutoka Taasisi ya Kitaifa ya Viwango na Teknolojia ya Marekani mwaka wa 1992. Kisha neno lilionekana kwanza RBAC (Udhibiti wa ufikiaji unaotegemea jukumu). Masomo haya na maelezo ya vipengele vikuu, pamoja na mahusiano yao, yaliunda msingi wa kiwango cha INCITS 359-2012, ambacho bado kinatumika leo, kilichoidhinishwa na Kamati ya Kimataifa ya Viwango vya Teknolojia ya Habari (INCITS).

Kiwango kinafafanua jukumu kama "jukumu la kazi katika muktadha wa shirika lenye baadhi ya semantiki zinazohusiana kuhusu mamlaka na wajibu uliopewa mtumiaji aliyepewa jukumu hilo." Hati hiyo inaweka vipengele vya msingi vya RBAC - watumiaji, vikao, majukumu, ruhusa, shughuli na vitu, pamoja na mahusiano na uhusiano kati yao.

Kiwango hicho hutoa muundo wa chini kabisa unaohitajika kwa ajili ya kujenga mfano wa kuigwa - kuchanganya haki katika majukumu na kisha kutoa ufikiaji kwa watumiaji kupitia majukumu haya. Taratibu za kutunga majukumu kutoka kwa vitu na shughuli zimeainishwa, uongozi wa majukumu na urithi wa madaraka umeelezwa. Baada ya yote, katika kampuni yoyote kuna majukumu ambayo yanachanganya nguvu za msingi ambazo ni muhimu kwa wafanyakazi wote wa kampuni. Hii inaweza kuwa ufikiaji wa barua pepe, EDMS, tovuti ya kampuni, n.k. Ruhusa hizi zinaweza kujumuishwa katika jukumu moja la jumla linaloitwa "mfanyikazi", na hakutakuwa na haja ya kuorodhesha haki zote za kimsingi tena na tena katika kila moja ya majukumu ya kiwango cha juu. Inatosha tu kuonyesha tabia ya urithi wa jukumu la "mfanyakazi".

Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Baadaye, kiwango kiliongezewa na sifa mpya za ufikiaji zinazohusiana na mazingira yanayobadilika kila wakati. Uwezo wa kuanzisha vikwazo vya tuli na vya nguvu umeongezwa. Zilizotulia zinamaanisha kutowezekana kwa kuchanganya majukumu (ingizo sawa na udhibiti wa shughuli zilizotajwa hapo juu). Vikwazo vya nguvu vinaweza kuamua kwa kubadilisha vigezo, kwa mfano, wakati (saa za kufanya kazi / zisizo za kazi au siku), eneo (ofisi / nyumbani), nk.

Tofauti, inapaswa kusemwa juu udhibiti wa ufikiaji unaotegemea sifa (ABAC - Udhibiti wa ufikiaji unaotegemea sifa). Mbinu hiyo inategemea kutoa ufikiaji kwa kutumia sheria za kushiriki sifa. Mtindo huu unaweza kutumika kando, lakini mara nyingi hukamilisha kikamilifu mfano wa kuigwa: sifa za watumiaji, rasilimali na vifaa, pamoja na wakati au eneo, zinaweza kuongezwa kwa jukumu fulani. Hii hukuruhusu kutumia majukumu machache, kuanzisha vizuizi vya ziada na kufanya ufikiaji uwe mdogo iwezekanavyo, na kwa hivyo kuboresha usalama.

Kwa mfano, mhasibu anaweza kuruhusiwa kufikia akaunti ikiwa anafanya kazi katika eneo fulani. Kisha eneo la mtaalamu litalinganishwa na thamani fulani ya kumbukumbu. Au unaweza kutoa ufikiaji wa akaunti ikiwa tu mtumiaji ataingia kutoka kwa kifaa kilichojumuishwa kwenye orodha ya zinazoruhusiwa. Aidha nzuri kwa mfano wa kuigwa, lakini mara chache hutumiwa peke yake kutokana na haja ya kuunda sheria nyingi na meza za ruhusa au vikwazo.

Acha nikupe mfano wa kutumia ABAC kutoka kwa "maisha yangu ya zamani". Benki yetu ilikuwa na matawi kadhaa. Wafanyikazi wa ofisi za mteja katika matawi haya walifanya shughuli sawa, lakini walilazimika kufanya kazi katika mfumo mkuu tu na akaunti katika mkoa wao. Kwanza, tulianza kuunda majukumu tofauti kwa kila eneo - na kulikuwa na majukumu mengi kama haya yenye utendakazi unaorudiwa, lakini kwa ufikiaji wa akaunti tofauti! Kisha, kwa kutumia sifa ya eneo kwa mtumiaji na kuihusisha na anuwai mahususi ya akaunti ili kukagua, tulipunguza kwa kiasi kikubwa idadi ya majukumu katika mfumo. Kama matokeo, majukumu yalibaki kwa tawi moja tu, ambalo liliigwa kwa nafasi zinazolingana katika vitengo vingine vyote vya eneo la benki.

Sasa hebu tuzungumze juu ya hatua muhimu za maandalizi, bila ambayo haiwezekani kujenga mfano wa kufanya kazi.

Hatua ya 1. Unda mfano wa kazi

Unapaswa kuanza kwa kuunda muundo wa kazi - hati ya kiwango cha juu inayoelezea kwa undani utendaji wa kila idara na kila nafasi. Kama sheria, habari huiingiza kutoka kwa hati anuwai: maelezo ya kazi na kanuni za vitengo vya mtu binafsi - idara, mgawanyiko, idara. Muundo wa utendaji lazima ukubaliwe na idara zote zinazohusika (biashara, udhibiti wa ndani, usalama) na kupitishwa na usimamizi wa kampuni. Hati hii ni ya nini? Ili mfano wa kuigwa aweze kurejelea. Kwa mfano, utaunda mfano wa kuigwa kulingana na haki zilizopo za wafanyikazi - zilizopakuliwa kutoka kwa mfumo na "kupunguzwa hadi dhehebu la kawaida". Kisha, wakati wa kukubaliana juu ya majukumu yaliyopokelewa na mmiliki wa biashara ya mfumo, unaweza kutaja hatua maalum katika mfano wa kazi, kwa misingi ambayo hii au haki hiyo imejumuishwa katika jukumu.

Hatua ya 2. Tunakagua mifumo ya TEHAMA na kuandaa mpango wa kipaumbele

Katika hatua ya pili, unapaswa kufanya ukaguzi wa mifumo ya IT ili kuelewa jinsi ufikiaji wao umepangwa. Kwa mfano, kampuni yangu ya kifedha iliendesha mifumo mia kadhaa ya habari. Mifumo yote ilikuwa na kanuni za msingi za usimamizi-msingi, mingi ilikuwa na majukumu fulani, lakini zaidi kwenye karatasi au orodha ya mfumo - ilikuwa imepitwa na wakati, na ufikiaji wao ulikubaliwa kulingana na maombi halisi ya watumiaji. Kwa kawaida, haiwezekani kuunda mfano wa kuigwa katika mifumo mia kadhaa mara moja; lazima uanze mahali pengine. Tulifanya uchambuzi wa kina wa mchakato wa udhibiti wa ufikiaji ili kubaini kiwango chake cha ukomavu. Wakati wa mchakato wa uchambuzi, vigezo vya kuweka kipaumbele mifumo ya habari vilitengenezwa - uhakiki, utayari, mipango ya kufutwa kazi, nk. Kwa msaada wao, tulipanga maendeleo/kusasisha mifano ya kuigwa kwa mifumo hii. Na kisha tukajumuisha mifano ya kuigwa katika mpango wa kuunganishwa na suluhisho la Usimamizi wa Utambulisho ili kudhibiti ufikiaji kiotomatiki.

Kwa hivyo unaamuaje umuhimu wa mfumo? Jibu mwenyewe maswali yafuatayo:

  • Je, mfumo unahusishwa na michakato ya uendeshaji ambayo shughuli kuu za kampuni hutegemea?
  • Je, usumbufu wa mfumo utaathiri uadilifu wa mali ya kampuni?
  • Je, ni muda gani wa juu unaoruhusiwa wa kupungua kwa mfumo, kufikia ambayo haiwezekani kurejesha shughuli baada ya kukatizwa?
  • Je, ukiukaji wa uadilifu wa habari katika mfumo unaweza kusababisha matokeo yasiyoweza kutenduliwa, ya kifedha na sifa?
  • Muhimu kwa udanganyifu. Uwepo wa utendakazi, usipodhibitiwa ipasavyo, unaweza kusababisha vitendo vya ulaghai wa ndani/nje;
  • Je, ni mahitaji gani ya kisheria na kanuni na taratibu za ndani za mifumo hii? Je, kutakuwa na faini kutoka kwa wadhibiti kwa kutofuata sheria?

Katika kampuni yetu ya kifedha, tulifanya ukaguzi kama huu. Menejimenti ilitengeneza utaratibu wa ukaguzi wa Mapitio ya Haki za Ufikiaji ili kuangalia watumiaji na haki zilizopo kwanza katika mifumo hiyo ya habari iliyokuwa kwenye orodha ya kipaumbele cha juu zaidi. Idara ya usalama ilipewa jukumu la kuwa mmiliki wa mchakato huu. Lakini ili kupata picha kamili ya haki za upatikanaji katika kampuni, ilikuwa ni lazima kuhusisha IT na idara za biashara katika mchakato. Na hapa mabishano, kutokuelewana, na wakati mwingine hata hujuma ilianza: hakuna mtu anataka kujitenga na majukumu yao ya sasa na kujihusisha katika baadhi, kwa mtazamo wa kwanza, shughuli zisizoeleweka.

NB Kampuni kubwa zilizo na michakato iliyoendelea ya TEHAMA pengine zinafahamu utaratibu wa ukaguzi wa TEHAMA - Udhibiti wa jumla wa IT (ITGC), ambayo hukuruhusu kutambua mapungufu katika michakato ya TEHAMA na kuanzisha udhibiti ili kuboresha michakato kulingana na utendaji bora (ITIL, COBIT, IT. Utawala n.k.) Ukaguzi kama huo huruhusu TEHAMA na biashara kuelewana vyema na kubuni mkakati wa pamoja wa maendeleo, kuchanganua hatari, kuongeza gharama na kubuni mbinu bora zaidi za kufanya kazi.

Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Moja ya maeneo ya ukaguzi ni kuamua vigezo vya upatikanaji wa mantiki na kimwili kwa mifumo ya habari. Tulichukua data iliyopatikana kama msingi wa matumizi zaidi katika kujenga mfano wa kuigwa. Kama matokeo ya ukaguzi huu, tulikuwa na rejista ya mifumo ya IT, ambayo vigezo vyao vya kiufundi viliamuliwa na maelezo yalitolewa. Kwa kuongeza, kwa kila mfumo, mmiliki alitambuliwa kutoka kwa mwelekeo wa biashara ambao ulifanyika kwa maslahi yake: ni yeye ambaye alikuwa na jukumu la michakato ya biashara ambayo mfumo huu ulitumikia. Meneja wa huduma ya TEHAMA pia aliteuliwa, anayehusika na utekelezaji wa kiufundi wa mahitaji ya biashara kwa IS maalum. Mifumo muhimu zaidi kwa kampuni na vigezo vyake vya kiufundi, masharti ya kuwaagiza na kukataa, nk yalirekodiwa.Vigezo hivi vilisaidia sana katika mchakato wa kuandaa kwa ajili ya kuundwa kwa mfano wa kuigwa.

Hatua ya 3 Tengeneza mbinu

Ufunguo wa mafanikio ya biashara yoyote ni njia sahihi. Kwa hivyo, ili kujenga mfano wa kuigwa na kufanya ukaguzi, tunahitaji kuunda mbinu ambayo tunaelezea mwingiliano kati ya idara, kuanzisha jukumu katika kanuni za kampuni, nk.
Kwanza unahitaji kuchunguza nyaraka zote zilizopo zinazoanzisha utaratibu wa kutoa upatikanaji na haki. Kwa njia nzuri, michakato inapaswa kurekodiwa katika viwango kadhaa:

  • mahitaji ya jumla ya ushirika;
  • mahitaji ya maeneo ya usalama wa habari (kulingana na maeneo ya shughuli za shirika);
  • mahitaji ya michakato ya kiteknolojia (maelekezo, matrices ya kufikia, miongozo, mahitaji ya usanidi).

Katika kampuni yetu ya kifedha, tulipata hati nyingi zilizopitwa na wakati; ilitubidi kuzileta kulingana na michakato mipya inayotekelezwa.

Kwa amri ya usimamizi, kikundi cha kazi kiliundwa, ambacho kilijumuisha wawakilishi kutoka kwa usalama, IT, biashara na udhibiti wa ndani. Agizo hilo lilielezea malengo ya kuunda kikundi, mwelekeo wa shughuli, kipindi cha kuwepo na wale wanaohusika kutoka kila upande. Kwa kuongeza, tulitengeneza mbinu ya ukaguzi na utaratibu wa kujenga mfano wa kuigwa: walikubaliwa na wawakilishi wote wanaohusika wa maeneo na kuidhinishwa na usimamizi wa kampuni.

Nyaraka zinazoelezea utaratibu wa kufanya kazi, tarehe za mwisho, majukumu, nk. - hakikisho kwamba njiani kuelekea lengo linalothaminiwa, ambalo mwanzoni sio wazi kwa kila mtu, hakuna mtu atakayekuwa na maswali "kwa nini tunafanya hivi, kwa nini tunaihitaji, nk." na hakutakuwa na fursa ya "kuruka mbali" au kupunguza kasi ya mchakato.

Tunaunda muundo wa udhibiti wa ufikiaji kulingana na jukumu. Sehemu ya kwanza, maandalizi

Hatua ya 4. Kurekebisha vigezo vya mtindo wa udhibiti wa upatikanaji uliopo

Tunachora kinachoitwa "pasipoti ya mfumo" kwa suala la udhibiti wa ufikiaji. Kwa asili, hii ni dodoso kwenye mfumo maalum wa habari, ambao hurekodi algorithms zote za kudhibiti ufikiaji wake. Makampuni ambayo tayari yametekeleza masuluhisho ya darasa la IdM pengine yanafahamu dodoso kama hilo, kwani hapa ndipo utafiti wa mifumo unapoanza.

Baadhi ya vigezo kuhusu mfumo na wamiliki vilitiririka kwenye dodoso kutoka kwa sajili ya TEHAMA (angalia hatua ya 2, ukaguzi), lakini vipya pia viliongezwa:

  • jinsi akaunti zinavyosimamiwa (moja kwa moja kwenye hifadhidata au kupitia miingiliano ya programu);
  • jinsi watumiaji wanavyoingia kwenye mfumo (kwa kutumia akaunti tofauti au kutumia akaunti ya AD, LDAP, nk);
  • ni viwango gani vya upatikanaji wa mfumo hutumiwa (kiwango cha maombi, kiwango cha mfumo, matumizi ya mfumo wa rasilimali za faili za mtandao);
  • maelezo na vigezo vya seva ambazo mfumo unaendesha;
  • ni shughuli gani za usimamizi wa akaunti zinasaidiwa (kuzuia, kubadilisha jina, nk);
  • ni algorithms au sheria gani zinazotumiwa kutengeneza kitambulisho cha mtumiaji wa mfumo;
  • ni sifa gani inaweza kutumika kuanzisha uhusiano na rekodi ya mfanyakazi katika mfumo wa wafanyakazi (jina kamili, nambari ya wafanyakazi, nk);
  • sifa zote zinazowezekana za akaunti na sheria za kuzijaza;
  • ni haki gani za ufikiaji zilizopo kwenye mfumo (majukumu, vikundi, haki za atomiki, n.k., kuna haki za kiota au za kidaraja);
  • njia za kugawanya haki za ufikiaji (kwa nafasi, idara, utendaji, nk);
  • Je, mfumo huo una kanuni za mgawanyo wa haki (SOD - Segregation of Duties), na zinafanyaje kazi;
  • jinsi matukio ya kutokuwepo, uhamisho, kufukuzwa, uppdatering data ya mfanyakazi, nk yanasindika katika mfumo.

Orodha hii inaweza kuendelea, ikielezea vigezo mbalimbali na vitu vingine vinavyohusika katika mchakato wa udhibiti wa ufikiaji.

Hatua ya 5. Unda maelezo yanayohusu biashara ya ruhusa

Hati nyingine ambayo tutahitaji wakati wa kujenga mfano wa kuigwa ni kitabu cha kumbukumbu juu ya mamlaka (haki) zote zinazowezekana ambazo zinaweza kutolewa kwa watumiaji katika mfumo wa habari na maelezo ya kina ya kazi ya biashara ambayo inasimama nyuma yake. Mara nyingi, mamlaka katika mfumo husimbwa kwa majina fulani yenye herufi na nambari, na wafanyikazi wa biashara hawawezi kujua ni nini kiko nyuma ya alama hizi. Kisha wanakwenda kwenye huduma ya IT, na huko ... pia hawawezi kujibu swali, kwa mfano, kuhusu haki zinazotumiwa mara chache. Kisha mtihani wa ziada unapaswa kufanywa.

Ni vyema ikiwa tayari kuna maelezo ya biashara au hata ikiwa kuna mchanganyiko wa haki hizi katika vikundi na majukumu. Kwa baadhi ya programu, mazoezi bora ni kuunda rejeleo kama hilo katika hatua ya ukuzaji. Lakini hii haifanyiki mara nyingi, kwa hiyo tunaenda tena kwa idara ya IT kukusanya taarifa kuhusu haki zote zinazowezekana na kuzielezea. Mwongozo wetu hatimaye utakuwa na yafuatayo:

  • jina la mamlaka, pamoja na kitu ambacho haki ya ufikiaji inatumika;
  • kitendo ambacho kinaruhusiwa kufanywa na kitu (kutazama, kubadilisha, nk, uwezekano wa kizuizi, kwa mfano, kwa msingi wa eneo au kwa kikundi cha wateja);
  • msimbo wa idhini (msimbo na jina la kazi ya mfumo / ombi ambalo linaweza kutekelezwa kwa kutumia idhini);
  • maelezo ya mamlaka (maelezo ya kina ya vitendo katika IS wakati wa kutumia mamlaka na matokeo yao kwa mchakato;
  • hali ya ruhusa: "Inatumika" (ikiwa ruhusa imetolewa kwa angalau mtumiaji mmoja) au "Haitumiki" (ikiwa ruhusa haijatumiwa).

Hatua ya 6 Tunapakua data kuhusu watumiaji na haki kutoka kwa mifumo na kuzilinganisha na chanzo cha wafanyikazi

Katika hatua ya mwisho ya maandalizi, unahitaji kupakua data kutoka kwa mifumo ya habari kuhusu watumiaji wote na haki ambazo wanazo kwa sasa. Kuna matukio mawili yanayowezekana hapa. Kwanza: idara ya usalama ina upatikanaji wa moja kwa moja kwenye mfumo na ina njia za kupakua ripoti zinazofaa, ambazo hazifanyiki mara nyingi, lakini ni rahisi sana. Pili: tunatuma ombi kwa IT ili kupokea ripoti katika muundo unaohitajika. Uzoefu unaonyesha kuwa haiwezekani kufikia makubaliano na IT na kupata data muhimu mara ya kwanza. Inahitajika kufanya mbinu kadhaa hadi habari itakapopokelewa kwa fomu na muundo unaotaka.

Ni data gani inapaswa kupakuliwa:

  • Jina la akaunti
  • Jina kamili la mfanyakazi ambaye amepewa
  • Hali (inatumika au imezuiwa)
  • Tarehe ya kuunda akaunti
  • Tarehe ya matumizi ya mwisho
  • Orodha ya haki/makundi/majukumu yanayopatikana

Kwa hivyo, tulipokea vipakuliwa kutoka kwa mfumo na watumiaji wote na haki zote walizopewa. Na mara moja huweka kando akaunti zote zilizozuiwa, kwa kuwa kazi ya kujenga mfano wa kuigwa itafanywa tu kwa watumiaji wanaofanya kazi.

Halafu, ikiwa kampuni yako haina njia za kiotomatiki za kuzuia ufikiaji wa wafanyikazi walioachishwa kazi (hii mara nyingi hufanyika) au ina mitambo ya kiotomatiki ambayo haifanyi kazi kwa usahihi kila wakati, unahitaji kutambua "roho zote zilizokufa." Tunazungumza juu ya akaunti za wafanyikazi waliofukuzwa tayari, ambao haki zao kwa sababu fulani hazijazuiwa - zinahitaji kuzuiwa. Ili kufanya hivyo, tunalinganisha data iliyopakiwa na chanzo cha wafanyikazi. Upakuaji wa wafanyikazi lazima pia upatikane mapema kutoka kwa idara inayotunza hifadhidata ya wafanyikazi.

Kwa kando, ni muhimu kuweka kando akaunti ambazo wamiliki hawakupatikana kwenye hifadhidata ya wafanyikazi, ambayo haijapewa mtu yeyote - ambayo ni, bila mmiliki. Kutumia orodha hii, tutahitaji tarehe ya matumizi ya mwisho: ikiwa ni ya hivi karibuni, bado tutalazimika kutafuta wamiliki. Hii inaweza kujumuisha akaunti za wakandarasi wa nje au akaunti za huduma ambazo hazijakabidhiwa mtu yeyote, lakini zinahusishwa na michakato yoyote. Ili kujua akaunti ni za nani, unaweza kutuma barua kwa idara zote ukiwauliza kujibu. Wamiliki wanapopatikana, tunaingiza data juu yao kwenye mfumo: kwa njia hii, akaunti zote zinazofanya kazi zinatambuliwa, na wengine wote wamezuiwa.

Punde tu vipakizi vyetu vinapoondolewa rekodi zisizohitajika na akaunti zinazotumika pekee zinasalia, tunaweza kuanza kuunda mfano wa kuigwa wa mfumo mahususi wa taarifa. Lakini nitakuambia kuhusu hili katika makala inayofuata.

Mwandishi: Lyudmila Sevastyanova, meneja wa kukuza Solar inRights

Chanzo: mapenzi.com

Kuongeza maoni