నేను ప్రస్తుతం సాఫ్ట్వేర్ విక్రేత కోసం పని చేస్తున్నాను, ప్రత్యేకంగా నియంత్రణ పరిష్కారాలను యాక్సెస్ చేస్తున్నాను. మరియు నా అనుభవం "గత జీవితం నుండి" కస్టమర్ వైపు - ఒక పెద్ద ఆర్థిక సంస్థతో అనుసంధానించబడి ఉంది. ఆ సమయంలో, ఇన్ఫర్మేషన్ సెక్యూరిటీ డిపార్ట్మెంట్లోని మా యాక్సెస్ కంట్రోల్ గ్రూప్ IdMలో గొప్ప సామర్థ్యాల గురించి గొప్పగా చెప్పుకోలేకపోయింది. ఈ ప్రక్రియలో మేము చాలా నేర్చుకున్నాము, కంపెనీలోని సమాచార వ్యవస్థలలో వినియోగదారు హక్కులను నిర్వహించడానికి వర్కింగ్ మెకానిజంను రూపొందించడానికి మేము చాలా బంప్లను కొట్టవలసి వచ్చింది.
నేను కష్టపడి సంపాదించిన కస్టమర్ అనుభవాన్ని విక్రేత జ్ఞానం మరియు సామర్థ్యాలతో కలిపి, నేను మీతో తప్పనిసరిగా దశల వారీ సూచనలను పంచుకోవాలనుకుంటున్నాను: పెద్ద కంపెనీలో రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ మోడల్ను ఎలా సృష్టించాలి మరియు దాని ఫలితంగా ఏమి ఉంటుంది . నా సూచనలు రెండు భాగాలను కలిగి ఉంటాయి: మొదటిది మోడల్ను నిర్మించడానికి సిద్ధంగా ఉంది, రెండవది వాస్తవానికి నిర్మిస్తోంది. ఇక్కడ మొదటి భాగం, సన్నాహక భాగం.
NB రోల్ మోడల్ను నిర్మించడం, దురదృష్టవశాత్తు, ఫలితం కాదు, కానీ ఒక ప్రక్రియ. లేదా కాకుండా, కంపెనీలో యాక్సెస్ కంట్రోల్ ఎకోసిస్టమ్ను సృష్టించే ప్రక్రియలో భాగం కూడా. కాబట్టి చాలా సేపు ఆటకు సిద్ధంగా ఉండండి.
ముందుగా, దానిని నిర్వచిద్దాం - రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ అంటే ఏమిటి? మీరు పదుల సంఖ్యలో లేదా వందల వేల మంది ఉద్యోగులు (ఎంటిటీలు) ఉన్న పెద్ద బ్యాంకును కలిగి ఉన్నారని అనుకుందాం, వీరిలో ప్రతి ఒక్కరికి వందల కొద్దీ అంతర్గత బ్యాంక్ సమాచార వ్యవస్థలకు (వస్తువులు) డజన్ల కొద్దీ యాక్సెస్ హక్కులు ఉన్నాయి. ఇప్పుడు ఆబ్జెక్ట్ల సంఖ్యను సబ్జెక్ట్ల సంఖ్యతో గుణించండి - ఇది మీరు మొదట నిర్మించి, ఆపై నియంత్రించాల్సిన కనీస కనెక్షన్ల సంఖ్య. దీన్ని మానవీయంగా చేయడం నిజంగా సాధ్యమేనా? వాస్తవానికి కాదు - ఈ సమస్యను పరిష్కరించడానికి పాత్రలు సృష్టించబడ్డాయి.
రోల్ అనేది నిర్దిష్ట పని పనులను చేయడానికి వినియోగదారు లేదా వినియోగదారుల సమూహం అవసరమయ్యే అనుమతుల సమితి. ప్రతి ఉద్యోగి ఒకటి లేదా అంతకంటే ఎక్కువ పాత్రలను కలిగి ఉండవచ్చు మరియు ప్రతి పాత్రలో వినియోగదారుకు అనుమతించబడే ఒకటి నుండి అనేక అనుమతులు ఉండవచ్చు. పాత్రలు నిర్దిష్ట స్థానాలు, విభాగాలు లేదా ఉద్యోగుల ఫంక్షనల్ టాస్క్లతో ముడిపడి ఉంటాయి.
పాత్రలు సాధారణంగా ప్రతి సమాచార వ్యవస్థలో వ్యక్తిగత ఉద్యోగి అధికారాల నుండి సృష్టించబడతాయి. అప్పుడు ప్రతి వ్యవస్థ యొక్క పాత్రల నుండి ప్రపంచ వ్యాపార పాత్రలు ఏర్పడతాయి. ఉదాహరణకు, వ్యాపార పాత్ర "క్రెడిట్ మేనేజర్" అనేది బ్యాంక్ కస్టమర్ కార్యాలయంలో ఉపయోగించే సమాచార వ్యవస్థలలో అనేక ప్రత్యేక పాత్రలను కలిగి ఉంటుంది. ఉదాహరణకు, ప్రధాన ఆటోమేటెడ్ బ్యాంకింగ్ సిస్టమ్, క్యాష్ మాడ్యూల్, ఎలక్ట్రానిక్ డాక్యుమెంట్ మేనేజ్మెంట్ సిస్టమ్, సర్వీస్ మేనేజర్ మరియు ఇతరులు. వ్యాపార పాత్రలు, ఒక నియమం వలె, సంస్థాగత నిర్మాణంతో ముడిపడి ఉంటాయి - మరో మాటలో చెప్పాలంటే, కంపెనీ విభాగాలు మరియు వాటిలోని స్థానాలకు. ఈ విధంగా గ్లోబల్ రోల్ మ్యాట్రిక్స్ ఏర్పడుతుంది (నేను దిగువ పట్టికలో ఒక ఉదాహరణ ఇస్తాను).
100% రోల్ మోడల్ను నిర్మించడం అసాధ్యం అని గమనించాలి, వాణిజ్య నిర్మాణంలో ప్రతి స్థానం ఉద్యోగులకు అవసరమైన అన్ని హక్కులను అందిస్తుంది. అవును, ఇది అవసరం లేదు. అన్నింటికంటే, రోల్ మోడల్ స్థిరంగా ఉండదు, ఎందుకంటే ఇది నిరంతరం మారుతున్న వాతావరణంపై ఆధారపడి ఉంటుంది. మరియు సంస్థ యొక్క వ్యాపార కార్యకలాపాలలో మార్పుల నుండి, తదనుగుణంగా, సంస్థాగత నిర్మాణం మరియు కార్యాచరణలో మార్పులను ప్రభావితం చేస్తుంది. మరియు వనరుల పూర్తి సదుపాయం లేకపోవడం, మరియు ఉద్యోగ వివరణలను పాటించకపోవడం మరియు భద్రత యొక్క వ్యయంతో లాభం కోసం కోరిక మరియు అనేక ఇతర కారకాల నుండి. అందువల్ల, ఒక స్థానానికి కేటాయించబడినప్పుడు అవసరమైన ప్రాథమిక హక్కుల కోసం వినియోగదారు అవసరాలలో 80% వరకు కవర్ చేయగల రోల్ మోడల్ను రూపొందించడం అవసరం. మరియు వారు అవసరమైతే, మిగిలిన 20% తరువాత ప్రత్యేక అప్లికేషన్లలో అభ్యర్థించవచ్చు.
అయితే, మీరు ఇలా అడగవచ్చు: "100% రోల్ మోడల్స్ వంటివి ఏవీ లేవా?" సరే, ఎందుకు, ఇది జరుగుతుంది, ఉదాహరణకు, తరచుగా మార్పులకు లోబడి లేని లాభాపేక్షలేని నిర్మాణాలలో - కొన్ని పరిశోధనా సంస్థలో. లేదా అధిక స్థాయి భద్రత కలిగిన సైనిక-పారిశ్రామిక సముదాయ సంస్థలలో, భద్రత మొదటి స్థానంలో ఉంటుంది. ఇది వాణిజ్య నిర్మాణంలో జరుగుతుంది, కానీ ప్రత్యేక విభజన యొక్క చట్రంలో, దీని పని చాలా స్థిరమైన మరియు ఊహాజనిత ప్రక్రియ.
పాత్ర-ఆధారిత నిర్వహణ యొక్క ప్రధాన ప్రయోజనం హక్కులను జారీ చేయడం యొక్క సరళీకరణ, ఎందుకంటే సమాచార వ్యవస్థ యొక్క వినియోగదారుల సంఖ్య కంటే పాత్రల సంఖ్య గణనీయంగా తక్కువగా ఉంటుంది. మరియు ఇది ఏ పరిశ్రమకైనా వర్తిస్తుంది.
రిటైల్ కంపెనీని తీసుకుందాం: ఇది వేలాది మంది విక్రయదారులకు ఉపాధి కల్పిస్తుంది, కానీ వారు సిస్టమ్ Nలో ఒకే విధమైన హక్కులను కలిగి ఉన్నారు మరియు వారి కోసం ఒకే పాత్ర సృష్టించబడుతుంది. ఒక కొత్త విక్రయదారుడు కంపెనీకి వచ్చినప్పుడు, అతను ఇప్పటికే అవసరమైన అన్ని అధికారాలను కలిగి ఉన్న సిస్టమ్లో అవసరమైన పాత్రను స్వయంచాలకంగా కేటాయించాడు. అలాగే, ఒక క్లిక్తో మీరు ఒకేసారి వేల మంది విక్రేతల హక్కులను మార్చవచ్చు, ఉదాహరణకు, నివేదికను రూపొందించడానికి కొత్త ఎంపికను జోడించండి. ప్రతి ఖాతాకు కొత్త హక్కును లింక్ చేస్తూ, వెయ్యి కార్యకలాపాలు చేయవలసిన అవసరం లేదు - ఈ ఎంపికను పాత్రకు జోడించండి మరియు ఇది ఒకే సమయంలో అమ్మకందారులందరికీ కనిపిస్తుంది.
పాత్ర-ఆధారిత నిర్వహణ యొక్క మరొక ప్రయోజనం అననుకూల అధికారాల జారీని తొలగించడం. అంటే, వ్యవస్థలో ఒక నిర్దిష్ట పాత్రను కలిగి ఉన్న ఒక ఉద్యోగి ఏకకాలంలో మరొక పాత్రను కలిగి ఉండలేరు, దీని హక్కులు మొదటి హక్కులతో కలిపి ఉండకూడదు. ఆర్థిక లావాదేవీల ఇన్పుట్ మరియు నియంత్రణ యొక్క విధులను కలపడంపై నిషేధం ఒక అద్భుతమైన ఉదాహరణ.
పాత్ర-ఆధారిత యాక్సెస్ నియంత్రణ ఎలా వచ్చిందనే దానిపై ఆసక్తి ఉన్న ఎవరైనా చేయవచ్చు
చరిత్రలోకి ప్రవేశించండి
మనం చరిత్రను పరిశీలిస్తే, 70వ శతాబ్దపు XNUMXవ దశకంలో IT సంఘం మొదట యాక్సెస్ నియంత్రణ పద్ధతుల గురించి ఆలోచించింది. అప్లికేషన్లు అప్పటికి చాలా సరళంగా ఉన్నప్పటికీ, ఇప్పుడు వలె, ప్రతి ఒక్కరూ వాటికి ప్రాప్యతను సౌకర్యవంతంగా నిర్వహించాలని కోరుకున్నారు. వినియోగదారు హక్కులను మంజూరు చేయండి, మార్చండి మరియు నియంత్రించండి - వాటిలో ప్రతి ఒక్కటి ఏ ప్రాప్యతను కలిగి ఉందో సులభంగా అర్థం చేసుకోవడానికి. కానీ ఆ సమయంలో సాధారణ ప్రమాణాలు లేవు, మొదటి యాక్సెస్ నియంత్రణ వ్యవస్థలు అభివృద్ధి చేయబడ్డాయి మరియు ప్రతి సంస్థ దాని స్వంత ఆలోచనలు మరియు నియమాలపై ఆధారపడింది.
అనేక విభిన్న యాక్సెస్ నియంత్రణ నమూనాలు ఇప్పుడు తెలిసినవి, కానీ అవి వెంటనే కనిపించలేదు. ఈ ప్రాంత అభివృద్ధికి గణనీయమైన కృషి చేసిన వారిపై మనం నివసిద్దాం.
మొదటి మరియు బహుశా సరళమైన మోడల్ విచక్షణ (ఎంపిక) యాక్సెస్ నియంత్రణ (DAC - విచక్షణ యాక్సెస్ నియంత్రణ). ఈ మోడల్ యాక్సెస్ ప్రాసెస్లో పాల్గొనే వారందరూ హక్కులను పంచుకోవడాన్ని సూచిస్తుంది. ప్రతి వినియోగదారు నిర్దిష్ట వస్తువులు లేదా కార్యకలాపాలకు ప్రాప్యతను కలిగి ఉంటారు. సారాంశంలో, ఇక్కడ హక్కుల విషయాల సమితి వస్తువుల సమితికి అనుగుణంగా ఉంటుంది. ఈ మోడల్ చాలా అనువైనదిగా మరియు నిర్వహించడానికి చాలా కష్టంగా ఉన్నట్లు కనుగొనబడింది: యాక్సెస్ జాబితాలు చివరికి భారీగా మారతాయి మరియు నియంత్రించడం కష్టం.
రెండవ మోడల్ తప్పనిసరి యాక్సెస్ నియంత్రణ (MAC - తప్పనిసరి యాక్సెస్ నియంత్రణ). ఈ నమూనా ప్రకారం, ప్రతి వినియోగదారు ఒక నిర్దిష్ట స్థాయి డేటా గోప్యతకు జారీ చేసిన ప్రాప్యతకు అనుగుణంగా ఒక వస్తువుకు ప్రాప్యతను అందుకుంటారు. దీని ప్రకారం, వస్తువులు గోప్యత స్థాయిని బట్టి వర్గీకరించబడాలి. మొదటి సౌకర్యవంతమైన మోడల్ వలె కాకుండా, దీనికి విరుద్ధంగా, ఇది చాలా కఠినంగా మరియు నిర్బంధంగా మారింది. కంపెనీ వివిధ సమాచార వనరులను కలిగి ఉన్నప్పుడు దాని ఉపయోగం సమర్థించబడదు: విభిన్న వనరులకు ప్రాప్యతను వేరు చేయడానికి, మీరు అతివ్యాప్తి చెందని అనేక వర్గాలను పరిచయం చేయాలి.
ఈ రెండు పద్ధతుల యొక్క స్పష్టమైన అసంపూర్ణతల కారణంగా, వివిధ రకాల సంస్థాగత యాక్సెస్ నియంత్రణ విధానాలకు మద్దతు ఇవ్వడానికి IT సంఘం మరింత సరళమైన మరియు అదే సమయంలో ఎక్కువ లేదా తక్కువ సార్వత్రిక నమూనాలను అభివృద్ధి చేయడం కొనసాగించింది. ఆపై అది కనిపించింది మూడవ రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ మోడల్! ఈ విధానం అత్యంత ఆశాజనకంగా నిరూపించబడింది, ఎందుకంటే దీనికి వినియోగదారు గుర్తింపు యొక్క అధికారం మాత్రమే కాకుండా, సిస్టమ్లలో అతని కార్యాచరణ విధులు కూడా అవసరం.
1992లో US నేషనల్ ఇన్స్టిట్యూట్ ఆఫ్ స్టాండర్డ్స్ అండ్ టెక్నాలజీ నుండి అమెరికన్ శాస్త్రవేత్తలు డేవిడ్ ఫెర్రైలో మరియు రిచర్డ్ కుహ్న్ ద్వారా స్పష్టంగా వివరించబడిన మొట్టమొదటి రోల్ మోడల్ నిర్మాణాన్ని ప్రతిపాదించారు. అప్పుడు పదం మొదట కనిపించింది RBAC (పాత్ర ఆధారిత యాక్సెస్ నియంత్రణ). ఈ అధ్యయనాలు మరియు ప్రధాన భాగాల వివరణలు, అలాగే వాటి సంబంధాలు, INCITS 359-2012 ప్రమాణానికి ఆధారం, ఇది నేటికీ అమలులో ఉంది, ఇది అంతర్జాతీయ సమాచార సాంకేతిక ప్రమాణాల కమిటీ (INCITS)చే ఆమోదించబడింది.
ప్రమాణం ఒక పాత్రను నిర్వచిస్తుంది, "పాత్రకు కేటాయించిన వినియోగదారుకు కేటాయించిన అధికారం మరియు బాధ్యతకు సంబంధించి కొన్ని అనుబంధ సెమాంటిక్స్తో కూడిన సంస్థ యొక్క సందర్భంలో ఉద్యోగం ఫంక్షన్." పత్రం RBAC యొక్క ప్రాథమిక అంశాలను ఏర్పాటు చేస్తుంది - వినియోగదారులు, సెషన్లు, పాత్రలు, అనుమతులు, కార్యకలాపాలు మరియు వస్తువులు, అలాగే వాటి మధ్య సంబంధాలు మరియు ఇంటర్కనెక్షన్లు.
ప్రమాణం రోల్ మోడల్ను నిర్మించడానికి అవసరమైన కనీస నిర్మాణాన్ని అందిస్తుంది - హక్కులను పాత్రలుగా కలపడం మరియు ఈ పాత్రల ద్వారా వినియోగదారులకు ప్రాప్యతను మంజూరు చేయడం. వస్తువులు మరియు కార్యకలాపాల నుండి పాత్రలను కంపోజ్ చేసే మెకానిజమ్స్ వివరించబడ్డాయి, పాత్రల యొక్క సోపానక్రమం మరియు అధికారాల వారసత్వం వివరించబడ్డాయి. అన్నింటికంటే, ఏదైనా కంపెనీలో కంపెనీ ఉద్యోగులందరికీ అవసరమైన ప్రాథమిక అధికారాలను మిళితం చేసే పాత్రలు ఉన్నాయి. ఇది ఇమెయిల్, EDMS, కార్పొరేట్ పోర్టల్ మొదలైన వాటికి యాక్సెస్ కావచ్చు. ఈ అనుమతులను "ఉద్యోగి" అని పిలిచే ఒక సాధారణ పాత్రలో చేర్చవచ్చు మరియు ప్రతి ఉన్నత-స్థాయి పాత్రలో అన్ని ప్రాథమిక హక్కులను మళ్లీ మళ్లీ జాబితా చేయవలసిన అవసరం ఉండదు. "ఉద్యోగి" పాత్ర యొక్క వారసత్వ లక్షణాన్ని సూచించడానికి ఇది సరిపోతుంది.
తరువాత, ప్రమాణం నిరంతరం మారుతున్న వాతావరణానికి సంబంధించిన కొత్త యాక్సెస్ లక్షణాలతో అనుబంధించబడింది. స్టాటిక్ మరియు డైనమిక్ పరిమితులను ప్రవేశపెట్టే సామర్థ్యం జోడించబడింది. స్థిరమైనవి పాత్రలను కలపడం అసంభవాన్ని సూచిస్తాయి (పైన పేర్కొన్న కార్యకలాపాల యొక్క అదే ఇన్పుట్ మరియు నియంత్రణ). పారామితులను మార్చడం ద్వారా డైనమిక్ పరిమితులను నిర్ణయించవచ్చు, ఉదాహరణకు, సమయం (పని/పని చేయని గంటలు లేదా రోజులు), స్థానం (కార్యాలయం/ఇల్లు) మొదలైనవి.
ఇది విడిగా ప్రస్తావించడం విలువ లక్షణం-ఆధారిత యాక్సెస్ నియంత్రణ (ABAC - లక్షణం-ఆధారిత యాక్సెస్ నియంత్రణ). విధానం లక్షణ భాగస్వామ్య నియమాలను ఉపయోగించి యాక్సెస్ మంజూరు చేయడంపై ఆధారపడి ఉంటుంది. ఈ మోడల్ విడిగా ఉపయోగించబడుతుంది, కానీ చాలా తరచుగా ఇది క్లాసిక్ రోల్ మోడల్ను చురుకుగా పూర్తి చేస్తుంది: వినియోగదారులు, వనరులు మరియు పరికరాల లక్షణాలు, అలాగే సమయం లేదా స్థానం, ఒక నిర్దిష్ట పాత్రకు జోడించబడతాయి. ఇది తక్కువ పాత్రలను ఉపయోగించడానికి, అదనపు పరిమితులను ప్రవేశపెట్టడానికి మరియు ప్రాప్యతను వీలైనంత తక్కువగా చేయడానికి మరియు అందువల్ల భద్రతను మెరుగుపరచడానికి మిమ్మల్ని అనుమతిస్తుంది.
ఉదాహరణకు, అకౌంటెంట్ ఒక నిర్దిష్ట ప్రాంతంలో పని చేస్తే ఖాతాలకు యాక్సెస్ను అనుమతించవచ్చు. అప్పుడు నిపుణుడి స్థానం నిర్దిష్ట సూచన విలువతో పోల్చబడుతుంది. లేదా అనుమతించబడిన వాటి జాబితాలో చేర్చబడిన పరికరం నుండి వినియోగదారు లాగిన్ అయినట్లయితే మాత్రమే మీరు ఖాతాలకు యాక్సెస్ ఇవ్వగలరు. రోల్ మోడల్కు మంచి అదనంగా ఉంటుంది, కానీ చాలా నియమాలు మరియు అనుమతులు లేదా పరిమితుల పట్టికలను సృష్టించాల్సిన అవసరం ఉన్నందున చాలా అరుదుగా ఉపయోగించబడుతుంది.
నా "గత జీవితం" నుండి ABACని ఉపయోగించడం గురించి మీకు ఒక ఉదాహరణ ఇస్తాను. మా బ్యాంకుకు అనేక శాఖలు ఉన్నాయి. ఈ శాఖలలోని క్లయింట్ కార్యాలయాల ఉద్యోగులు సరిగ్గా అదే కార్యకలాపాలను నిర్వహించారు, కానీ వారి ప్రాంతంలోని ఖాతాలతో మాత్రమే ప్రధాన వ్యవస్థలో పని చేయాల్సి వచ్చింది. మొదట, మేము ప్రతి ప్రాంతానికి వేర్వేరు పాత్రలను సృష్టించడం ప్రారంభించాము - మరియు పునరావృతమయ్యే కార్యాచరణతో ఇటువంటి అనేక పాత్రలు ఉన్నాయి, కానీ విభిన్న ఖాతాలకు ప్రాప్యతతో! ఆపై, వినియోగదారు కోసం స్థాన లక్షణాన్ని ఉపయోగించడం ద్వారా మరియు దానిని సమీక్షించడానికి నిర్దిష్ట ఖాతాల పరిధితో అనుబంధించడం ద్వారా, మేము సిస్టమ్లోని పాత్రల సంఖ్యను గణనీయంగా తగ్గించాము. ఫలితంగా, ఒక శాఖకు మాత్రమే పాత్రలు మిగిలి ఉన్నాయి, ఇవి బ్యాంక్ యొక్క అన్ని ఇతర ప్రాదేశిక విభాగాలలో సంబంధిత స్థానాలకు ప్రతిరూపం చేయబడ్డాయి.
ఇప్పుడు అవసరమైన సన్నాహక చర్యల గురించి మాట్లాడుదాం, ఇది లేకుండా పని చేసే రోల్ మోడల్ను నిర్మించడం అసాధ్యం.
దశ 1. ఫంక్షనల్ మోడల్ను సృష్టించండి
మీరు ఫంక్షనల్ మోడల్ని సృష్టించడం ద్వారా ప్రారంభించాలి - ప్రతి విభాగం మరియు ప్రతి స్థానం యొక్క కార్యాచరణను వివరంగా వివరించే ఉన్నత-స్థాయి పత్రం. నియమం ప్రకారం, సమాచారం వివిధ పత్రాల నుండి ప్రవేశిస్తుంది: వ్యక్తిగత యూనిట్ల కోసం ఉద్యోగ వివరణలు మరియు నిబంధనలు - విభాగాలు, విభాగాలు, విభాగాలు. ఫంక్షనల్ మోడల్ తప్పనిసరిగా అన్ని ఆసక్తి గల విభాగాలతో (వ్యాపారం, అంతర్గత నియంత్రణ, భద్రత) అంగీకరించబడాలి మరియు కంపెనీ నిర్వహణచే ఆమోదించబడాలి. ఈ పత్రం దేనికి? తద్వారా రోల్ మోడల్ దానిని సూచించవచ్చు. ఉదాహరణకు, మీరు ఇప్పటికే ఉన్న ఉద్యోగుల హక్కుల ఆధారంగా ఒక రోల్ మోడల్ను రూపొందించబోతున్నారు - సిస్టమ్ నుండి అన్లోడ్ చేయబడి, “సాధారణ హారంకి తగ్గించబడింది”. అప్పుడు, సిస్టమ్ యొక్క వ్యాపార యజమానితో స్వీకరించబడిన పాత్రలను అంగీకరిస్తున్నప్పుడు, మీరు ఫంక్షనల్ మోడల్లో ఒక నిర్దిష్ట పాయింట్ను సూచించవచ్చు, దాని ఆధారంగా ఈ లేదా ఆ హక్కు పాత్రలో చేర్చబడుతుంది.
దశ 2. మేము IT సిస్టమ్లను ఆడిట్ చేస్తాము మరియు ప్రాధాన్యతా ప్రణాళికను రూపొందిస్తాము
రెండవ దశలో, మీరు ఐటి సిస్టమ్లకు యాక్సెస్ ఎలా నిర్వహించబడుతుందో అర్థం చేసుకోవడానికి వాటి ఆడిట్ను నిర్వహించాలి. ఉదాహరణకు, నా ఆర్థిక సంస్థ అనేక వందల సమాచార వ్యవస్థలను నిర్వహించింది. అన్ని సిస్టమ్లు రోల్-బేస్డ్ మేనేజ్మెంట్ యొక్క కొన్ని మూలాధారాలను కలిగి ఉన్నాయి, చాలా వరకు కొన్ని పాత్రలు ఉన్నాయి, కానీ ఎక్కువగా కాగితంపై లేదా సిస్టమ్ డైరెక్టరీలో - అవి చాలా కాలం చెల్లినవి మరియు వాస్తవ వినియోగదారు అభ్యర్థనల ఆధారంగా వాటికి ప్రాప్యత మంజూరు చేయబడింది. సహజంగానే, ఒకేసారి అనేక వందల సిస్టమ్లలో రోల్ మోడల్ను నిర్మించడం అసాధ్యం; మీరు ఎక్కడో ప్రారంభించాలి. మేము యాక్సెస్ నియంత్రణ ప్రక్రియ యొక్క పరిపక్వత స్థాయిని నిర్ణయించడానికి దాని యొక్క లోతైన విశ్లేషణను నిర్వహించాము. విశ్లేషణ ప్రక్రియలో, సమాచార వ్యవస్థలకు ప్రాధాన్యత ఇవ్వడానికి ప్రమాణాలు అభివృద్ధి చేయబడ్డాయి - విమర్శ, సంసిద్ధత, ఉపసంహరణ కోసం ప్రణాళికలు మొదలైనవి. వారి సహాయంతో, మేము ఈ సిస్టమ్ల కోసం రోల్ మోడల్ల అభివృద్ధి/నవీకరణను వరుసలో ఉంచాము. ఆపై యాక్సెస్ నియంత్రణను ఆటోమేట్ చేయడానికి ఐడెంటిటీ మేనేజ్మెంట్ సొల్యూషన్తో ఏకీకరణ కోసం మేము రోల్ మోడల్లను ప్లాన్లో చేర్చాము.
కాబట్టి మీరు సిస్టమ్ యొక్క క్లిష్టతను ఎలా నిర్ణయిస్తారు? ఈ క్రింది ప్రశ్నలకు మీరే సమాధానమివ్వండి:
- సంస్థ యొక్క ప్రధాన కార్యకలాపాలపై ఆధారపడిన కార్యాచరణ ప్రక్రియలకు సిస్టమ్ లింక్ చేయబడిందా?
- సిస్టమ్ అంతరాయం కంపెనీ ఆస్తుల సమగ్రతను ప్రభావితం చేస్తుందా?
- అంతరాయం తర్వాత కార్యాచరణను పునరుద్ధరించడం అసాధ్యం అయిన సిస్టమ్ యొక్క గరిష్టంగా అనుమతించదగిన పనికిరాని సమయం ఎంత?
- సిస్టమ్లోని సమాచార సమగ్రతను ఉల్లంఘించడం ఆర్థిక మరియు కీర్తి రెండింటిలోనూ కోలుకోలేని పరిణామాలకు దారితీస్తుందా?
- మోసానికి విమర్శ. కార్యాచరణ యొక్క ఉనికి, సరిగ్గా నియంత్రించబడకపోతే, అంతర్గత/బాహ్య మోసపూరిత చర్యలకు దారితీయవచ్చు;
- ఈ వ్యవస్థల కోసం చట్టపరమైన అవసరాలు మరియు అంతర్గత నియమాలు మరియు విధానాలు ఏమిటి? నిబంధనలు పాటించనందుకు రెగ్యులేటర్ల నుంచి జరిమానాలు విధిస్తారా?
మా ఆర్థిక సంస్థలో, మేము ఈ విధంగా ఆడిట్ చేసాము. అత్యధిక ప్రాధాన్యతా జాబితాలో ఉన్న సమాచార వ్యవస్థల్లో ఉన్న వినియోగదారులను మరియు హక్కులను ముందుగా చూసేందుకు మేనేజ్మెంట్ యాక్సెస్ రైట్స్ రివ్యూ ఆడిట్ విధానాన్ని అభివృద్ధి చేసింది. ఈ ప్రక్రియకు యజమానిగా భద్రతా విభాగాన్ని కేటాయించారు. కానీ కంపెనీలో యాక్సెస్ హక్కుల పూర్తి చిత్రాన్ని పొందడానికి, ప్రక్రియలో IT మరియు వ్యాపార విభాగాలను భాగస్వామ్యం చేయడం అవసరం. మరియు ఇక్కడ వివాదాలు, అపార్థాలు మరియు కొన్నిసార్లు విధ్వంసం కూడా ప్రారంభమైంది: ఎవరూ తమ ప్రస్తుత బాధ్యతల నుండి వైదొలగాలని మరియు మొదటి చూపులో, అపారమయిన కార్యకలాపాలలో పాల్గొనడానికి ఇష్టపడరు.
NB అభివృద్ధి చెందిన IT ప్రక్రియలతో కూడిన పెద్ద కంపెనీలు బహుశా IT ఆడిట్ విధానంతో సుపరిచితం - IT సాధారణ నియంత్రణలు (ITGC), ఇది IT ప్రక్రియలలోని లోపాలను గుర్తించడానికి మరియు ఉత్తమ అభ్యాసానికి (ITIL, COBIT, IT) అనుగుణంగా ప్రక్రియలను మెరుగుపరచడానికి నియంత్రణను ఏర్పాటు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. పాలన మొదలైనవి) ఇటువంటి ఆడిట్ IT మరియు వ్యాపారం ఒకరినొకరు బాగా అర్థం చేసుకోవడానికి మరియు ఉమ్మడి అభివృద్ధి వ్యూహాన్ని అభివృద్ధి చేయడానికి, నష్టాలను విశ్లేషించడానికి, ఖర్చులను అనుకూలపరచడానికి మరియు పని చేయడానికి మరింత ప్రభావవంతమైన విధానాలను అభివృద్ధి చేయడానికి అనుమతిస్తుంది.
సమాచార వ్యవస్థలకు తార్కిక మరియు భౌతిక ప్రాప్యత యొక్క పారామితులను నిర్ణయించడం ఆడిట్ యొక్క రంగాలలో ఒకటి. రోల్ మోడల్ను రూపొందించడంలో తదుపరి ఉపయోగం కోసం మేము పొందిన డేటాను ప్రాతిపదికగా తీసుకున్నాము. ఈ ఆడిట్ ఫలితంగా, మేము IT సిస్టమ్ల రిజిస్టర్ని కలిగి ఉన్నాము, అందులో వారి సాంకేతిక పారామితులు నిర్ణయించబడ్డాయి మరియు వివరణలు ఇవ్వబడ్డాయి. అదనంగా, ప్రతి సిస్టమ్ కోసం, ఒక యజమాని వ్యాపార దిశ నుండి ఎవరి ప్రయోజనాలకు అనుగుణంగా నిర్వహించబడుతుందో గుర్తించబడతాడు: ఈ వ్యవస్థ అందించే వ్యాపార ప్రక్రియలకు అతను బాధ్యత వహిస్తాడు. ఒక IT సర్వీస్ మేనేజర్ని కూడా నియమించారు, నిర్దిష్ట IS కోసం వ్యాపార అవసరాల సాంకేతిక అమలుకు బాధ్యత వహిస్తారు. కంపెనీకి అత్యంత కీలకమైన వ్యవస్థలు మరియు వాటి సాంకేతిక పారామితులు, కమీషన్ మరియు డీకమిషన్ నిబంధనలు మొదలైనవి నమోదు చేయబడ్డాయి.ఈ పారామితులు రోల్ మోడల్ సృష్టికి సిద్ధమయ్యే ప్రక్రియలో చాలా సహాయకారిగా ఉన్నాయి.
దశ 3 ఒక పద్దతిని సృష్టించండి
ఏదైనా వ్యాపారం యొక్క విజయానికి కీలకం సరైన పద్ధతి. అందువల్ల, రోల్ మోడల్ను రూపొందించడానికి మరియు ఆడిట్ నిర్వహించడానికి, మేము విభాగాల మధ్య పరస్పర చర్యను వివరించే ఒక పద్దతిని రూపొందించాలి, కంపెనీ నిబంధనలలో బాధ్యతను స్థాపించడం మొదలైనవి.
మొదట మీరు యాక్సెస్ మరియు హక్కులను మంజూరు చేసే విధానాన్ని ఏర్పాటు చేసే అన్ని అందుబాటులో ఉన్న పత్రాలను పరిశీలించాలి. మంచి మార్గంలో, ప్రక్రియలు అనేక స్థాయిలలో డాక్యుమెంట్ చేయబడాలి:
- సాధారణ కార్పొరేట్ అవసరాలు;
- సమాచార భద్రతా ప్రాంతాల అవసరాలు (సంస్థ యొక్క కార్యకలాపాల ప్రాంతాలపై ఆధారపడి);
- సాంకేతిక ప్రక్రియల అవసరాలు (సూచనలు, యాక్సెస్ మాత్రికలు, మార్గదర్శకాలు, కాన్ఫిగరేషన్ అవసరాలు).
మా ఆర్థిక సంస్థలో, మేము చాలా కాలం చెల్లిన పత్రాలను కనుగొన్నాము; మేము అమలు చేస్తున్న కొత్త ప్రక్రియలకు అనుగుణంగా వాటిని తీసుకురావాలి.
నిర్వహణ క్రమంలో, ఒక వర్కింగ్ గ్రూప్ సృష్టించబడింది, ఇందులో భద్రత, IT, వ్యాపారం మరియు అంతర్గత నియంత్రణ ప్రతినిధులు ఉన్నారు. సమూహాన్ని సృష్టించే లక్ష్యాలు, కార్యాచరణ దిశ, ఉనికి కాలం మరియు ప్రతి వైపు నుండి బాధ్యత వహించేవారిని ఆర్డర్ వివరించింది. అదనంగా, మేము ఒక ఆడిట్ మెథడాలజీని మరియు రోల్ మోడల్ను రూపొందించడానికి ఒక విధానాన్ని అభివృద్ధి చేసాము: వారు ప్రాంతాల యొక్క అన్ని బాధ్యతగల ప్రతినిధులచే అంగీకరించబడ్డారు మరియు సంస్థ యొక్క నిర్వహణచే ఆమోదించబడ్డారు.
పని, గడువులు, బాధ్యతలు మొదలైన వాటిని నిర్వహించే విధానాన్ని వివరించే పత్రాలు. - ప్రతిష్టాత్మకమైన లక్ష్యానికి వెళ్లే మార్గంలో, మొదట అందరికీ స్పష్టంగా కనిపించదు, “మేము దీన్ని ఎందుకు చేస్తున్నాము, మనకు ఇది ఎందుకు అవసరం, మొదలైనవి” అనే ప్రశ్నలు ఎవరికీ ఉండవని హామీ. మరియు ప్రక్రియను "జంప్ ఆఫ్" లేదా వేగాన్ని తగ్గించడానికి అవకాశం ఉండదు.
దశ 4. ఇప్పటికే ఉన్న యాక్సెస్ కంట్రోల్ మోడల్ యొక్క పారామితులను పరిష్కరించండి
మేము యాక్సెస్ నియంత్రణ పరంగా "సిస్టమ్ పాస్పోర్ట్" అని పిలవబడే డ్రాయింగ్ను రూపొందిస్తున్నాము. సారాంశంలో, ఇది నిర్దిష్ట సమాచార వ్యవస్థపై ప్రశ్నాపత్రం, ఇది యాక్సెస్ను నియంత్రించడానికి అన్ని అల్గారిథమ్లను రికార్డ్ చేస్తుంది. ఇప్పటికే IdM-క్లాస్ సొల్యూషన్స్ని అమలు చేసిన కంపెనీలు బహుశా అలాంటి ప్రశ్నాపత్రంతో సుపరిచితం, ఎందుకంటే ఇక్కడే సిస్టమ్ల అధ్యయనం ప్రారంభమవుతుంది.
సిస్టమ్ మరియు యజమానుల గురించి కొన్ని పారామితులు IT రిజిస్ట్రీ నుండి ప్రశ్నాపత్రంలోకి ప్రవహించాయి (దశ 2, ఆడిట్ చూడండి), కానీ కొత్తవి కూడా జోడించబడ్డాయి:
- ఖాతాలు ఎలా నిర్వహించబడతాయి (నేరుగా డేటాబేస్ లేదా సాఫ్ట్వేర్ ఇంటర్ఫేస్ల ద్వారా);
- వినియోగదారులు సిస్టమ్కి ఎలా లాగిన్ అవుతారు (ప్రత్యేక ఖాతాను ఉపయోగించడం లేదా AD ఖాతా, LDAP మొదలైనవి ఉపయోగించడం);
- సిస్టమ్కు యాక్సెస్ యొక్క ఏ స్థాయిలు ఉపయోగించబడతాయి (అప్లికేషన్ స్థాయి, సిస్టమ్ స్థాయి, నెట్వర్క్ ఫైల్ వనరుల సిస్టమ్ ఉపయోగం);
- సిస్టమ్ నడుస్తున్న సర్వర్ల వివరణ మరియు పారామితులు;
- ఏ ఖాతా నిర్వహణ కార్యకలాపాలకు మద్దతు ఉంది (నిరోధించడం, పేరు మార్చడం మొదలైనవి);
- సిస్టమ్ యూజర్ ఐడెంటిఫైయర్ను రూపొందించడానికి ఏ అల్గారిథమ్లు లేదా నియమాలు ఉపయోగించబడతాయి;
- సిబ్బంది వ్యవస్థలో (పూర్తి పేరు, సిబ్బంది సంఖ్య, మొదలైనవి) ఉద్యోగి యొక్క రికార్డుతో కనెక్షన్ను ఏర్పరచడానికి ఏ లక్షణాన్ని ఉపయోగించవచ్చు;
- అన్ని సాధ్యం ఖాతా లక్షణాలు మరియు వాటిని పూరించడానికి నియమాలు;
- సిస్టమ్లో ఏ యాక్సెస్ హక్కులు ఉన్నాయి (పాత్రలు, సమూహాలు, అణు హక్కులు మొదలైనవి, సమూహ లేదా క్రమానుగత హక్కులు ఉన్నాయి);
- యాక్సెస్ హక్కులను విభజించే విధానాలు (స్థానం, విభాగం, కార్యాచరణ, మొదలైనవి);
- సిస్టమ్లో హక్కుల విభజన (SOD - డ్యూటీల విభజన) కోసం నియమాలు ఉన్నాయా మరియు అవి ఎలా పని చేస్తాయి;
- సిస్టమ్లో గైర్హాజరు, బదిలీ, తొలగింపు, ఉద్యోగి డేటాను నవీకరించడం మొదలైన సంఘటనలు ఎలా ప్రాసెస్ చేయబడతాయి.
యాక్సెస్ నియంత్రణ ప్రక్రియలో పాల్గొన్న వివిధ పారామితులు మరియు ఇతర వస్తువులను వివరిస్తూ ఈ జాబితాను కొనసాగించవచ్చు.
దశ 5. అనుమతుల యొక్క వ్యాపార-ఆధారిత వివరణను సృష్టించండి
రోల్ మోడల్ను నిర్మించేటప్పుడు మనకు అవసరమయ్యే మరొక పత్రం సమాచార వ్యవస్థలోని వినియోగదారులకు దాని వెనుక ఉన్న వ్యాపార పనితీరు యొక్క వివరణాత్మక వివరణతో మంజూరు చేయగల అన్ని అధికారాలపై (హక్కులు) సూచన పుస్తకం. తరచుగా, సిస్టమ్లోని అధికారులు అక్షరాలు మరియు సంఖ్యలతో కూడిన నిర్దిష్ట పేర్లతో గుప్తీకరించబడతారు మరియు వ్యాపార ఉద్యోగులు ఈ చిహ్నాల వెనుక ఏమి ఉందో గుర్తించలేరు. అప్పుడు వారు IT సేవకు వెళతారు, మరియు అక్కడ ... వారు కూడా ప్రశ్నకు సమాధానం ఇవ్వలేరు, ఉదాహరణకు, అరుదుగా ఉపయోగించే హక్కుల గురించి. అప్పుడు అదనపు పరీక్ష చేయవలసి ఉంటుంది.
ఇప్పటికే వ్యాపార వివరణ ఉంటే లేదా సమూహాలు మరియు పాత్రలుగా ఈ హక్కుల కలయిక ఉంటే మంచిది. కొన్ని అనువర్తనాల కోసం, అభివృద్ధి దశలో అటువంటి సూచనను సృష్టించడం ఉత్తమ అభ్యాసం. కానీ ఇది తరచుగా జరగదు, కాబట్టి సాధ్యమయ్యే అన్ని హక్కుల గురించి సమాచారాన్ని సేకరించి వాటిని వివరించడానికి మేము మళ్లీ IT విభాగానికి వెళ్తాము. మా గైడ్ చివరికి క్రింది వాటిని కలిగి ఉంటుంది:
- యాక్సెస్ హక్కు వర్తించే వస్తువుతో సహా అధికారం పేరు;
- ఒక వస్తువుతో చేయడానికి అనుమతించబడిన చర్య (వీక్షించడం, మార్చడం మొదలైనవి, పరిమితి యొక్క అవకాశం, ఉదాహరణకు, ప్రాదేశిక ప్రాతిపదికన లేదా క్లయింట్ల సమూహం ద్వారా);
- అధికార కోడ్ (సిస్టమ్ ఫంక్షన్ యొక్క కోడ్ మరియు పేరు/అధికారాన్ని ఉపయోగించి అమలు చేయగల అభ్యర్థన);
- అధికారం యొక్క వివరణ (అధికారాన్ని వర్తింపజేసేటప్పుడు IS లో చర్యల యొక్క వివరణాత్మక వివరణ మరియు ప్రక్రియ కోసం వాటి పరిణామాలు;
- అనుమతి స్థితి: "యాక్టివ్" (అనుమతి కనీసం ఒక వినియోగదారుకు కేటాయించబడితే) లేదా "యాక్టివ్ కాదు" (అనుమతి ఉపయోగించకపోతే).
దశ 6 మేము సిస్టమ్ల నుండి వినియోగదారులు మరియు హక్కుల గురించి డేటాను డౌన్లోడ్ చేస్తాము మరియు వాటిని సిబ్బంది మూలంతో సరిపోల్చండి
తయారీ చివరి దశలో, మీరు వినియోగదారులందరి గురించి మరియు ప్రస్తుతం వారికి ఉన్న హక్కుల గురించి సమాచార వ్యవస్థల నుండి డేటాను డౌన్లోడ్ చేసుకోవాలి. ఇక్కడ రెండు సాధ్యమైన దృశ్యాలు ఉన్నాయి. మొదటిది: భద్రతా విభాగానికి సిస్టమ్కు ప్రత్యక్ష ప్రాప్యత ఉంది మరియు సంబంధిత నివేదికలను డౌన్లోడ్ చేయడానికి మార్గాలను కలిగి ఉంది, ఇది తరచుగా జరగదు, కానీ చాలా సౌకర్యవంతంగా ఉంటుంది. రెండవది: అవసరమైన ఫార్మాట్లో నివేదికలను స్వీకరించడానికి మేము ITకి అభ్యర్థనను పంపుతాము. ITతో ఒప్పందానికి రావడం మరియు అవసరమైన డేటాను మొదటిసారి పొందడం సాధ్యం కాదని అనుభవం చూపిస్తుంది. సమాచారం కావలసిన రూపంలో మరియు ఆకృతిలో స్వీకరించబడే వరకు అనేక విధానాలను రూపొందించడం అవసరం.
ఏ డేటాను డౌన్లోడ్ చేయాలి:
- ఖాతా పేరు
- ఇది కేటాయించబడిన ఉద్యోగి యొక్క పూర్తి పేరు
- స్థితి (యాక్టివ్ లేదా బ్లాక్ చేయబడింది)
- ఖాతా సృష్టి తేదీ
- చివరి ఉపయోగం తేదీ
- అందుబాటులో ఉన్న హక్కులు/సమూహాలు/పాత్రల జాబితా
కాబట్టి, మేము వినియోగదారులందరితో సిస్టమ్ నుండి డౌన్లోడ్లను మరియు వారికి మంజూరు చేసిన అన్ని హక్కులను అందుకున్నాము. మరియు వారు వెంటనే బ్లాక్ చేయబడిన అన్ని ఖాతాలను పక్కన పెట్టారు, ఎందుకంటే రోల్ మోడల్ను రూపొందించే పని క్రియాశీల వినియోగదారుల కోసం మాత్రమే జరుగుతుంది.
ఆపై, తొలగించబడిన ఉద్యోగులకు యాక్సెస్ను నిరోధించే స్వయంచాలక సాధనాలు మీ కంపెనీకి లేకుంటే (ఇది తరచుగా జరుగుతుంది) లేదా ప్యాచ్వర్క్ ఆటోమేషన్ను కలిగి ఉంటే అది ఎల్లప్పుడూ సరిగ్గా పని చేయకపోతే, మీరు అన్ని “చనిపోయిన ఆత్మలను” గుర్తించాలి. మేము ఇప్పటికే తొలగించబడిన ఉద్యోగుల ఖాతాల గురించి మాట్లాడుతున్నాము, వారి హక్కులు కొన్ని కారణాల వల్ల బ్లాక్ చేయబడవు - వారు బ్లాక్ చేయబడాలి. దీన్ని చేయడానికి, మేము అప్లోడ్ చేసిన డేటాను పర్సనల్ సోర్స్తో పోల్చాము. సిబ్బంది డేటాబేస్ను నిర్వహించే విభాగం నుండి సిబ్బంది అన్లోడ్ కూడా ముందుగానే పొందాలి.
విడిగా, పర్సనల్ డేటాబేస్లో యజమానులు కనుగొనబడని ఖాతాలను పక్కన పెట్టడం అవసరం, ఎవరికీ కేటాయించబడలేదు - అంటే యజమాని లేనిది. ఈ జాబితాను ఉపయోగించి, మాకు చివరి ఉపయోగం తేదీ అవసరం: ఇది చాలా ఇటీవలిది అయితే, మేము ఇప్పటికీ యజమానుల కోసం వెతకాలి. ఇది బాహ్య కాంట్రాక్టర్ల ఖాతాలు లేదా ఎవరికీ కేటాయించబడని సేవా ఖాతాలను కలిగి ఉండవచ్చు, కానీ ఏదైనా ప్రక్రియలతో అనుబంధించబడి ఉండవచ్చు. ఖాతాలు ఎవరికి చెందినవో తెలుసుకోవడానికి, మీరు ప్రతిస్పందించాలని కోరుతూ అన్ని విభాగాలకు లేఖలు పంపవచ్చు. యజమానులు కనుగొనబడినప్పుడు, మేము వారి గురించిన డేటాను సిస్టమ్లో నమోదు చేస్తాము: ఈ విధంగా, అన్ని సక్రియ ఖాతాలు గుర్తించబడతాయి మరియు మిగిలినవి బ్లాక్ చేయబడతాయి.
మా అప్లోడ్లు అనవసరమైన రికార్డుల నుండి క్లియర్ చేయబడి, సక్రియ ఖాతాలు మాత్రమే మిగిలిపోయిన వెంటనే, మేము నిర్దిష్ట సమాచార వ్యవస్థ కోసం రోల్ మోడల్ను రూపొందించడం ప్రారంభించవచ్చు. కానీ నేను దీని గురించి తదుపరి వ్యాసంలో మీకు చెప్తాను.
రచయిత: లియుడ్మిలా సెవస్త్యనోవా, ప్రమోషన్ మేనేజర్ సోలార్ ఇన్ రైట్స్
మూలం: www.habr.com