پرو ہوسٹر > بلاگ > انتظامیہ > ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

میں فی الحال ایک سافٹ ویئر وینڈر کے لیے کام کرتا ہوں، خاص طور پر ایکسیس کنٹرول سلوشنز۔ اور میرا تجربہ "گزشتہ زندگی سے" کسٹمر کے ساتھ منسلک ہے - ایک بڑی مالیاتی تنظیم۔ اس وقت، انفارمیشن سیکیورٹی ڈپارٹمنٹ میں ہمارا ایکسیس کنٹرول گروپ IDM میں بڑی قابلیت پر فخر نہیں کرسکتا تھا۔ ہم نے اس عمل میں بہت کچھ سیکھا، ہمیں کمپنی میں انفارمیشن سسٹمز میں صارف کے حقوق کا انتظام کرنے کے لیے ایک ورکنگ میکانزم بنانے کے لیے بہت سی مشکلات کا سامنا کرنا پڑا۔
ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری
وینڈر کے علم اور قابلیت کے ساتھ اپنے محنت سے کمائے ہوئے کسٹمر کے تجربے کو یکجا کرتے ہوئے، میں آپ کے ساتھ بنیادی طور پر مرحلہ وار ہدایات کا اشتراک کرنا چاہتا ہوں: ایک بڑی کمپنی میں رول پر مبنی رسائی کنٹرول ماڈل کیسے بنایا جائے، اور اس کے نتیجے میں کیا ملے گا۔ . میری ہدایات دو حصوں پر مشتمل ہیں: پہلا ماڈل بنانے کے لیے تیار ہو رہا ہے، دوسرا اصل میں تعمیر کر رہا ہے۔ یہاں پہلا حصہ ہے، تیاری کا حصہ۔

این بی ایک رول ماڈل بنانا، بدقسمتی سے، نتیجہ نہیں، بلکہ ایک عمل ہے۔ یا بلکہ، کمپنی میں ایکسیس کنٹرول ماحولیاتی نظام بنانے کے عمل کا بھی حصہ۔ تو ایک طویل وقت کے لئے کھیل کے لئے تیار ہو جاؤ.

سب سے پہلے، آئیے اس کی وضاحت کرتے ہیں - رول پر مبنی رسائی کنٹرول کیا ہے؟ فرض کریں کہ آپ کے پاس دسیوں، یا یہاں تک کہ لاکھوں ملازمین (اداروں) کے ساتھ ایک بڑا بینک ہے، جن میں سے ہر ایک کو سینکڑوں اندرونی بینک انفارمیشن سسٹم (آبجیکٹ) تک رسائی کے درجنوں حقوق حاصل ہیں۔ اب اشیاء کی تعداد کو مضامین کی تعداد سے ضرب دیں - یہ کنکشنز کی کم از کم تعداد ہے جو آپ کو پہلے بنانے اور پھر کنٹرول کرنے کی ضرورت ہے۔ کیا یہ واقعی دستی طور پر کرنا ممکن ہے؟ بالکل نہیں - اس مسئلے کو حل کرنے کے لیے کردار بنائے گئے تھے۔

ایک کردار اجازتوں کا ایک مجموعہ ہے جو کسی صارف یا صارفین کے گروپ کو کچھ کام کے کام انجام دینے کے لیے درکار ہے۔ ہر ملازم کے ایک یا زیادہ کردار ہو سکتے ہیں، اور ہر کردار میں ایک سے لے کر کئی اجازتیں ہو سکتی ہیں جو اس کردار کے اندر صارف کو دی جاتی ہیں۔ کرداروں کو مخصوص عہدوں، محکموں یا ملازمین کے فعال کاموں سے جوڑا جا سکتا ہے۔

ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

کردار عام طور پر ہر معلوماتی نظام میں انفرادی ملازم کی اجازتوں سے بنائے جاتے ہیں۔ پھر ہر نظام کے کرداروں سے عالمی کاروباری کردار بنتے ہیں۔ مثال کے طور پر، کاروباری کردار "کریڈٹ مینیجر" میں انفارمیشن سسٹمز میں کئی الگ الگ کردار شامل ہوں گے جو بینک کے کسٹمر آفس میں استعمال ہوتے ہیں۔ مثال کے طور پر، مرکزی خودکار بینکنگ سسٹم، کیش ماڈیول، الیکٹرانک دستاویز مینجمنٹ سسٹم، سروس مینیجر اور دیگر۔ کاروباری کردار، ایک اصول کے طور پر، تنظیمی ڈھانچے سے منسلک ہوتے ہیں - دوسرے الفاظ میں، کمپنی کی تقسیم اور ان میں عہدوں کے سیٹ سے۔ اس طرح ایک عالمی رول میٹرکس بنتا ہے (میں نیچے دیئے گئے جدول میں ایک مثال دیتا ہوں)۔

ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

یہ بات قابل غور ہے کہ تجارتی ڈھانچے میں ہر عہدے کے ملازمین کے لیے تمام ضروری حقوق فراہم کرتے ہوئے 100% رول ماڈل بنانا محض ناممکن ہے۔ ہاں، یہ ضروری نہیں ہے۔ سب کے بعد، ایک رول ماڈل جامد نہیں ہوسکتا، کیونکہ یہ مسلسل بدلتے ہوئے ماحول پر منحصر ہے. اور کمپنی کی کاروباری سرگرمیوں میں تبدیلیوں سے، جو، اس کے مطابق، تنظیمی ڈھانچے اور فعالیت میں تبدیلیوں کو متاثر کرتی ہے۔ اور وسائل کی مکمل فراہمی کے فقدان سے، اور ملازمت کی تفصیل کی عدم تعمیل سے، اور حفاظت کی قیمت پر منافع کی خواہش، اور بہت سے دوسرے عوامل سے۔ لہذا، ایک ایسا رول ماڈل بنانا ضروری ہے جو کسی عہدے پر تفویض کیے جانے پر ضروری بنیادی حقوق کے لیے صارف کی 80% ضروریات کو پورا کر سکے۔ اور اگر ضروری ہو تو وہ بقیہ 20% بعد میں علیحدہ درخواستوں پر درخواست کر سکتے ہیں۔

یقینا، آپ پوچھ سکتے ہیں: "کیا 100% رول ماڈل جیسی کوئی چیز نہیں ہے؟" ٹھیک ہے، کیوں، ایسا ہوتا ہے، مثال کے طور پر، غیر منافع بخش ڈھانچے میں جو اکثر تبدیلیوں کے تابع نہیں ہوتے ہیں - کچھ تحقیقی ادارے میں۔ یا ملٹری-صنعتی کمپلیکس تنظیموں میں اعلی سطح کی حفاظت کے ساتھ، جہاں حفاظت سب سے پہلے آتی ہے۔ یہ ایک تجارتی ڈھانچے میں ہوتا ہے، لیکن ایک علیحدہ تقسیم کے فریم ورک کے اندر، جس کا کام کافی مستحکم اور پیش گوئی کرنے والا عمل ہے۔

کردار پر مبنی نظم و نسق کا بنیادی فائدہ حقوق کے اجراء کو آسان بنانا ہے، کیونکہ کرداروں کی تعداد انفارمیشن سسٹم کے صارفین کی تعداد سے نمایاں طور پر کم ہے۔ اور یہ کسی بھی صنعت کے لئے سچ ہے.

آئیے ایک ریٹیل کمپنی کو لے لیں: یہ ہزاروں سیلز لوگوں کو ملازمت دیتی ہے، لیکن سسٹم N میں ان کے حقوق کا ایک ہی سیٹ ہے، اور ان کے لیے صرف ایک کردار بنایا جائے گا۔ جب کوئی نیا سیلز پرسن کمپنی میں آتا ہے، تو اسے خود بخود سسٹم میں مطلوبہ کردار تفویض کر دیا جاتا ہے، جس کے پاس پہلے سے ہی تمام ضروری حکام موجود ہوتے ہیں۔ اس کے علاوہ، ایک کلک میں آپ ایک ساتھ ہزاروں سیلرز کے حقوق تبدیل کر سکتے ہیں، مثال کے طور پر، رپورٹ بنانے کے لیے ایک نیا آپشن شامل کریں۔ ایک ہزار آپریشن کرنے کی ضرورت نہیں ہے، ہر ایک اکاؤنٹ سے ایک نیا حق منسلک کریں - بس اس آپشن کو رول میں شامل کریں، اور یہ ایک ہی وقت میں تمام فروخت کنندگان کے لیے ظاہر ہوگا۔

کردار پر مبنی نظم و نسق کا ایک اور فائدہ غیر مطابقت پذیر اجازتوں کے اجراء کا خاتمہ ہے۔ یعنی ایک ملازم جس کا نظام میں ایک خاص کردار ہے بیک وقت دوسرا کردار نہیں رکھ سکتا، جس کے حقوق کو پہلے حقوق کے ساتھ نہیں ملایا جانا چاہیے۔ ایک شاندار مثال مالیاتی لین دین کے ان پٹ اور کنٹرول کے افعال کو یکجا کرنے پر پابندی ہے۔

کوئی بھی جو اس میں دلچسپی رکھتا ہے کہ رول پر مبنی رسائی کنٹرول کیسے آیا
تاریخ میں ڈوبیں
اگر ہم تاریخ پر نظر ڈالیں تو آئی ٹی کمیونٹی نے سب سے پہلے 70ویں صدی کے XNUMX کی دہائی میں رسائی کنٹرول کے طریقوں کے بارے میں سوچا۔ اگرچہ اس وقت ایپلیکیشنز کافی آسان تھیں، بالکل اب کی طرح، ہر کوئی واقعی ان تک رسائی کا آسانی سے انتظام کرنا چاہتا تھا۔ صارف کے حقوق عطا کریں، تبدیل کریں اور کنٹرول کریں - صرف یہ سمجھنے کے لیے کہ ان میں سے ہر ایک کو کیا رسائی حاصل ہے۔ لیکن اس وقت کوئی عام معیار نہیں تھے، پہلے رسائی کنٹرول سسٹم تیار کیے جا رہے تھے، اور ہر کمپنی اپنے اپنے خیالات اور اصولوں پر مبنی تھی۔

بہت سے مختلف رسائی کنٹرول ماڈل اب معلوم ہیں، لیکن وہ فوری طور پر ظاہر نہیں ہوئے۔ آئیے ہم ان لوگوں پر توجہ دیں جنہوں نے اس علاقے کی ترقی میں اہم کردار ادا کیا ہے۔

پہلا اور شاید سب سے آسان ماڈل ہے۔ صوابدیدی (انتخابی) رسائی کنٹرول (DAC – صوابدیدی رسائی کنٹرول)۔ اس ماڈل کا مطلب رسائی کے عمل میں تمام شرکاء کی طرف سے حقوق کا اشتراک ہے۔ ہر صارف کو مخصوص اشیاء یا آپریشنز تک رسائی حاصل ہوتی ہے۔ خلاصہ یہ کہ یہاں حقوق کے مضامین کا مجموعہ اشیاء کے مجموعے سے مطابقت رکھتا ہے۔ یہ ماڈل بہت لچکدار اور برقرار رکھنے میں بہت مشکل پایا گیا: رسائی کی فہرستیں آخرکار بہت بڑی اور کنٹرول کرنا مشکل ہو جاتی ہیں۔

دوسرا ماڈل ہے۔ لازمی رسائی کنٹرول (MAC - لازمی رسائی کنٹرول). اس ماڈل کے مطابق، ہر صارف کو ڈیٹا کی رازداری کی ایک خاص سطح تک جاری کردہ رسائی کے مطابق کسی چیز تک رسائی حاصل ہوتی ہے۔ اس کے مطابق، اشیاء کو ان کی رازداری کی سطح کے مطابق درجہ بندی کیا جانا چاہئے۔ پہلے لچکدار ماڈل کے برعکس، یہ، اس کے برعکس، بہت سخت اور پابندی والا نکلا۔ جب کمپنی کے پاس بہت سے مختلف معلوماتی وسائل ہوں تو اس کا استعمال جائز نہیں ہے: مختلف وسائل تک رسائی میں فرق کرنے کے لیے، آپ کو بہت سے زمرے متعارف کروانے ہوں گے جو اوورلیپ نہیں ہوں گے۔

ان دو طریقوں کی واضح خامیوں کی وجہ سے، IT کمیونٹی نے ایسے ماڈلز تیار کرنا جاری رکھے ہیں جو زیادہ لچکدار ہوں اور ساتھ ہی ساتھ کم و بیش آفاقی بھی ہوں تاکہ مختلف قسم کی تنظیمی رسائی کنٹرول پالیسیوں کی حمایت کی جا سکے۔ اور پھر ظاہر ہوا۔ تیسرے رول پر مبنی رسائی کنٹرول ماڈل! یہ نقطہ نظر سب سے زیادہ امید افزا ثابت ہوا ہے کیونکہ اس کے لیے نہ صرف صارف کی شناخت کی اجازت درکار ہوتی ہے بلکہ سسٹمز میں اس کے آپریشنل افعال کی بھی ضرورت ہوتی ہے۔

پہلا واضح طور پر بیان کردہ رول ماڈل ڈھانچہ امریکی سائنسدانوں ڈیوڈ فیریلو اور رچرڈ کوہن نے 1992 میں یو ایس نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی سے تجویز کیا تھا۔ پھر اصطلاح پہلی بار ظاہر ہوئی۔ RBAC (رول پر مبنی رسائی کنٹرول)۔ ان مطالعات اور اہم اجزاء کی وضاحتوں کے ساتھ ساتھ ان کے تعلقات نے INCITS 359-2012 معیار کی بنیاد بنائی، جو آج بھی نافذ ہے، جسے بین الاقوامی کمیٹی برائے انفارمیشن ٹیکنالوجی کے معیارات (INCITS) نے منظور کیا ہے۔

اسٹینڈرڈ ایک کردار کی وضاحت کرتا ہے "کسی تنظیم کے تناظر میں کام کا فنکشن جس میں اس کردار کو تفویض کردہ صارف کو تفویض کردہ اختیار اور ذمہ داری کے بارے میں کچھ وابستہ الفاظ کے ساتھ"۔ دستاویز RBAC کے بنیادی عناصر - صارفین، سیشنز، کردار، اجازت، آپریشنز اور اشیاء کے ساتھ ساتھ ان کے درمیان تعلقات اور باہمی روابط کو قائم کرتی ہے۔

معیار رول ماڈل بنانے کے لیے کم از کم ضروری ڈھانچہ فراہم کرتا ہے - کرداروں میں حقوق کو یکجا کرنا اور پھر ان کرداروں کے ذریعے صارفین تک رسائی فراہم کرنا۔ اشیاء اور کارروائیوں سے کرداروں کی تشکیل کے طریقہ کار کا خاکہ پیش کیا گیا ہے، کرداروں کا درجہ بندی اور اختیارات کی وراثت کو بیان کیا گیا ہے۔ بہر حال، کسی بھی کمپنی میں ایسے کردار ہوتے ہیں جو بنیادی طاقتوں کو یکجا کرتے ہیں جو کمپنی کے تمام ملازمین کے لیے ضروری ہیں۔ یہ ای میل، EDMS، کارپوریٹ پورٹل وغیرہ تک رسائی ہو سکتی ہے۔ ان اجازتوں کو ایک عمومی کردار میں شامل کیا جا سکتا ہے جسے "ملازم" کہا جاتا ہے، اور ہر ایک اعلیٰ سطحی کردار میں تمام بنیادی حقوق کو بار بار درج کرنے کی ضرورت نہیں ہوگی۔ صرف "ملازم" کے کردار کی وراثت کی خصوصیت کی نشاندہی کرنا کافی ہے۔

ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

بعد میں، معیار کو مسلسل بدلتے ہوئے ماحول سے متعلق نئی رسائی کی خصوصیات کے ساتھ پورا کیا گیا۔ جامد اور متحرک پابندیوں کو متعارف کرانے کی صلاحیت شامل کی گئی ہے۔ جامد کرداروں کو یکجا کرنے کی ناممکنات کو ظاہر کرتا ہے (اوپر ذکر کردہ آپریشنز کا وہی ان پٹ اور کنٹرول)۔ متحرک پابندیوں کا تعین پیرامیٹرز کو تبدیل کر کے کیا جا سکتا ہے، مثال کے طور پر، وقت (کام کرنے والے/غیر کام کے اوقات یا دن)، مقام (دفتر/گھر) وغیرہ۔

اس کا الگ سے ذکر کرنا ضروری ہے۔ وصف پر مبنی رسائی کنٹرول (ABAC - انتساب پر مبنی رسائی کنٹرول)۔ نقطہ نظر انتساب کے اشتراک کے قواعد کا استعمال کرتے ہوئے رسائی دینے پر مبنی ہے۔ یہ ماڈل الگ الگ استعمال کیا جا سکتا ہے، لیکن اکثر یہ فعال طور پر کلاسک رول ماڈل کی تکمیل کرتا ہے: صارفین کی خصوصیات، وسائل اور آلات کے ساتھ ساتھ وقت یا مقام کو ایک خاص کردار میں شامل کیا جا سکتا ہے۔ یہ آپ کو کم کردار استعمال کرنے، اضافی پابندیاں متعارف کرانے اور رسائی کو کم سے کم کرنے کی اجازت دیتا ہے، اور اس وجہ سے سیکورٹی کو بہتر بناتا ہے۔

مثال کے طور پر، ایک اکاؤنٹنٹ کو اکاؤنٹس تک رسائی کی اجازت دی جاسکتی ہے اگر وہ کسی مخصوص علاقے میں کام کرتا ہے۔ اس کے بعد ماہر کے مقام کا موازنہ ایک خاص حوالہ قدر سے کیا جائے گا۔ یا آپ اکاؤنٹس تک رسائی صرف اسی صورت میں دے سکتے ہیں جب صارف اجازت والے کی فہرست میں شامل کسی ڈیوائس سے لاگ ان ہو۔ ایک رول ماڈل میں ایک اچھا اضافہ، لیکن بہت سے اصولوں اور اجازتوں یا پابندیوں کی میزیں بنانے کی ضرورت کی وجہ سے شاذ و نادر ہی خود استعمال ہوتا ہے۔

میں آپ کو اپنی "پچھلی زندگی" سے ABAC استعمال کرنے کی ایک مثال دیتا ہوں۔ ہمارے بینک کی کئی شاخیں تھیں۔ ان شاخوں میں کلائنٹ کے دفاتر کے ملازمین نے بالکل وہی کام انجام دیا، لیکن انہیں صرف اپنے علاقے میں اکاؤنٹس کے ساتھ مرکزی نظام میں کام کرنا تھا۔ سب سے پہلے، ہم نے ہر علاقے کے لیے الگ الگ کردار بنانا شروع کیے - اور اس طرح کے بہت سے کردار دہرانے والی فعالیت کے ساتھ تھے، لیکن مختلف اکاؤنٹس تک رسائی کے ساتھ! اس کے بعد، صارف کے لیے مقام کی خصوصیت کا استعمال کرتے ہوئے اور اسے اکاؤنٹس کی ایک مخصوص رینج کے ساتھ منسلک کرکے، ہم نے سسٹم میں کرداروں کی تعداد کو نمایاں طور پر کم کردیا۔ نتیجے کے طور پر، کردار صرف ایک شاخ کے لیے رہ گئے، جو بینک کے دیگر تمام علاقائی ڈویژنوں میں متعلقہ عہدوں کے لیے نقل کیے گئے تھے۔

اب ہم ضروری تیاری کے اقدامات کے بارے میں بات کرتے ہیں، جس کے بغیر کام کرنے والے رول ماڈل کی تعمیر کرنا ناممکن ہے.

مرحلہ 1۔ ایک فعال ماڈل بنائیں

آپ کو ایک فنکشنل ماڈل بنا کر شروع کرنا چاہئے - ایک اعلی درجے کی دستاویز جو ہر شعبہ اور ہر پوزیشن کی فعالیت کو تفصیل سے بیان کرتی ہے۔ ایک اصول کے طور پر، معلومات مختلف دستاویزات سے اس میں داخل ہوتی ہیں: ملازمت کی تفصیل اور انفرادی اکائیوں کے لیے ضابطے - محکمے، ڈویژن، محکمے۔ فنکشنل ماڈل پر تمام دلچسپی رکھنے والے محکموں (کاروبار، اندرونی کنٹرول، سیکورٹی) کے ساتھ متفق ہونا چاہیے اور کمپنی کی انتظامیہ کی طرف سے منظور شدہ ہونا چاہیے۔ یہ دستاویز کس کے لیے ہے؟ تاکہ رول ماڈل اس کا حوالہ دے سکے۔ مثال کے طور پر، آپ ملازمین کے موجودہ حقوق کی بنیاد پر ایک رول ماڈل بنانے جا رہے ہیں - سسٹم سے اتار کر "ایک مشترکہ ڈینومینیٹر پر کم کر دیا گیا"۔ پھر، نظام کے کاروباری مالک کے ساتھ موصولہ کردار پر اتفاق کرتے وقت، آپ فنکشنل ماڈل میں ایک مخصوص نقطہ کا حوالہ دے سکتے ہیں، جس کی بنیاد پر یہ یا وہ حق کردار میں شامل ہے۔

مرحلہ 2۔ ہم آئی ٹی سسٹمز کا آڈٹ کرتے ہیں اور ایک ترجیحی منصوبہ تیار کرتے ہیں۔

دوسرے مرحلے پر، آپ کو یہ سمجھنے کے لیے IT سسٹمز کا آڈٹ کرنا چاہیے کہ ان تک رسائی کیسے منظم ہے۔ مثال کے طور پر، میری مالیاتی کمپنی کئی سو انفارمیشن سسٹم چلاتی ہے۔ تمام سسٹمز میں کردار پر مبنی نظم و نسق کے کچھ بنیادی اصول تھے، زیادہ تر کے کچھ کردار تھے، لیکن زیادہ تر کاغذ پر یا سسٹم ڈائرکٹری میں - وہ بہت پرانے تھے، اور ان تک رسائی اصل صارف کی درخواستوں کی بنیاد پر دی گئی تھی۔ قدرتی طور پر، ایک ساتھ کئی سو سسٹمز میں رول ماڈل بنانا ناممکن ہے؛ آپ کو کہیں سے شروع کرنا ہوگا۔ ہم نے اس کی پختگی کی سطح کا تعین کرنے کے لیے رسائی کنٹرول کے عمل کا گہرائی سے تجزیہ کیا۔ تجزیہ کے عمل کے دوران، معلوماتی نظام کو ترجیح دینے کے لیے معیار تیار کیے گئے تھے - تنقیدی، تیاری، ختم کرنے کے منصوبے، وغیرہ۔ ان کی مدد سے، ہم نے ان سسٹمز کے لیے رول ماڈلز کی ترقی/اپ ڈیٹنگ کو ترتیب دیا۔ اور پھر ہم نے خودکار رسائی کنٹرول کے لیے شناختی انتظام کے حل کے ساتھ انضمام کے منصوبے میں رول ماڈلز کو شامل کیا۔

تو آپ کس طرح نظام کی تنقید کا تعین کرتے ہیں؟ اپنے آپ کو درج ذیل سوالات کے جواب دیں:

  • کیا نظام آپریشنل عمل سے منسلک ہے جس پر کمپنی کی بنیادی سرگرمیاں منحصر ہیں؟
  • کیا نظام میں خلل کمپنی کے اثاثوں کی سالمیت کو متاثر کرے گا؟
  • سسٹم کا زیادہ سے زیادہ جائز ڈاؤن ٹائم کیا ہے، جس تک پہنچنے کے بعد کسی رکاوٹ کے بعد سرگرمی کو بحال کرنا ناممکن ہے؟
  • کیا نظام میں معلومات کی سالمیت کی خلاف ورزی مالی اور ساکھ دونوں، ناقابل واپسی نتائج کا باعث بن سکتی ہے؟
  • دھوکہ دہی کی تنقید۔ فعالیت کی موجودگی، اگر مناسب طریقے سے کنٹرول نہ کیا جائے تو، اندرونی/بیرونی دھوکہ دہی کی کارروائیوں کا باعث بن سکتا ہے۔
  • ان نظاموں کے لیے قانونی تقاضے اور داخلی اصول اور طریقہ کار کیا ہیں؟ کیا عدم تعمیل پر ریگولیٹرز سے جرمانے ہوں گے؟

ہماری مالیاتی کمپنی میں، ہم نے اس طرح کا آڈٹ کیا۔ انتظامیہ نے رسائی کے حقوق کے جائزے کے آڈٹ کا طریقہ کار تیار کیا تاکہ پہلے ان معلوماتی نظاموں میں موجودہ صارفین اور حقوق کو دیکھا جا سکے جو سب سے زیادہ ترجیحی فہرست میں تھے۔ سیکیورٹی ڈیپارٹمنٹ کو اس عمل کے مالک کے طور پر تفویض کیا گیا تھا۔ لیکن کمپنی میں رسائی کے حقوق کی مکمل تصویر حاصل کرنے کے لیے، اس عمل میں آئی ٹی اور کاروباری محکموں کو شامل کرنا ضروری تھا۔ اور یہاں تنازعات، غلط فہمیاں اور بعض اوقات تخریب کاری بھی شروع ہو گئی: کوئی بھی اپنی موجودہ ذمہ داریوں سے الگ نہیں ہونا چاہتا اور پہلی نظر میں ناقابل فہم سرگرمیوں میں ملوث ہونا چاہتا ہے۔

این بی ترقی یافتہ آئی ٹی پروسیسز والی بڑی کمپنیاں ممکنہ طور پر آئی ٹی آڈٹ کے طریقہ کار سے واقف ہیں - آئی ٹی جنرل کنٹرولز (آئی ٹی جی سی)، جو آپ کو آئی ٹی کے عمل میں کوتاہیوں کی نشاندہی کرنے اور کنٹرول قائم کرنے کی اجازت دیتا ہے تاکہ بہترین پریکٹس (آئی ٹی آئی ایل، سی او بی آئی ٹی، آئی ٹی) کے مطابق عمل کو بہتر بنایا جا سکے۔ گورننس وغیرہ) اس طرح کا آڈٹ آئی ٹی اور کاروبار کو ایک دوسرے کو بہتر طور پر سمجھنے اور مشترکہ ترقیاتی حکمت عملی تیار کرنے، خطرات کا تجزیہ کرنے، لاگت کو بہتر بنانے، اور کام کرنے کے لیے زیادہ مؤثر طریقے تیار کرنے کی اجازت دیتا ہے۔

ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

آڈٹ کے شعبوں میں سے ایک معلوماتی نظام تک منطقی اور جسمانی رسائی کے پیرامیٹرز کا تعین کرنا ہے۔ ہم نے حاصل کردہ ڈیٹا کو رول ماڈل بنانے میں مزید استعمال کی بنیاد کے طور پر لیا۔ اس آڈٹ کے نتیجے میں، ہمارے پاس آئی ٹی سسٹمز کا ایک رجسٹر تھا، جس میں ان کے تکنیکی پیرامیٹرز کا تعین کیا گیا تھا اور تفصیل دی گئی تھی۔ اس کے علاوہ، ہر نظام کے لیے، ایک مالک کی شناخت کاروباری سمت سے کی گئی تھی جس کے مفادات میں یہ کام کیا گیا تھا: یہ وہی تھا جو کاروباری عمل کے لیے ذمہ دار تھا۔ ایک IT سروس مینیجر کو بھی مقرر کیا گیا تھا، جو ایک مخصوص IS کے لیے کاروباری ضروریات کے تکنیکی نفاذ کے لیے ذمہ دار تھا۔ کمپنی کے لیے انتہائی اہم نظام اور ان کے تکنیکی پیرامیٹرز، کمیشننگ اور ڈیکمیشننگ کی شرائط وغیرہ کو ریکارڈ کیا گیا تھا۔یہ پیرامیٹرز ایک رول ماڈل کی تیاری کے عمل میں بہت مددگار ثابت ہوئے۔

مرحلہ 3 ایک طریقہ کار بنائیں

کسی بھی کاروبار کی کامیابی کی کلید صحیح طریقہ ہے۔ لہذا، ایک رول ماڈل بنانے اور آڈٹ کرنے کے لیے، ہمیں ایک طریقہ کار بنانے کی ضرورت ہے جس میں ہم محکموں کے درمیان تعامل کو بیان کریں، کمپنی کے ضوابط میں ذمہ داری قائم کریں، وغیرہ۔
سب سے پہلے آپ کو تمام دستیاب دستاویزات کی جانچ پڑتال کرنے کی ضرورت ہے جو رسائی اور حقوق دینے کے طریقہ کار کو قائم کرتی ہیں۔ اچھے طریقے سے، عمل کو کئی سطحوں پر دستاویزی کیا جانا چاہیے:

  • عام کارپوریٹ ضروریات؛
  • معلومات کے تحفظ کے علاقوں کے لیے تقاضے (تنظیم کی سرگرمیوں کے شعبوں پر منحصر ہے)؛
  • تکنیکی عمل کی ضروریات (ہدایات، رسائی میٹرکس، رہنما خطوط، ترتیب کی ضروریات)۔

ہماری مالیاتی کمپنی میں، ہمیں بہت سی پرانی دستاویزات ملی ہیں؛ ہمیں انہیں لاگو کیے جانے والے نئے عمل کے مطابق لانا تھا۔

انتظامیہ کے حکم سے، ایک ورکنگ گروپ بنایا گیا، جس میں سیکورٹی، آئی ٹی، بزنس اور انٹرنل کنٹرول کے نمائندے شامل تھے۔ آرڈر میں گروپ بنانے کے اہداف، سرگرمی کی سمت، وجود کی مدت اور ہر طرف سے ذمہ داروں کی وضاحت کی گئی ہے۔ اس کے علاوہ، ہم نے ایک آڈٹ کا طریقہ کار اور ایک رول ماڈل بنانے کا طریقہ کار تیار کیا: ان پر علاقوں کے تمام ذمہ دار نمائندوں نے اتفاق کیا اور کمپنی کی انتظامیہ سے اس کی منظوری دی گئی۔

دستاویزات جو کام، ڈیڈ لائن، ذمہ داریاں، وغیرہ کو انجام دینے کے طریقہ کار کو بیان کرتی ہیں۔ - ایک گارنٹی کہ پیارے مقصد کے راستے پر، جو پہلے سب کے لیے واضح نہیں ہے، کسی کے ذہن میں یہ سوال نہیں ہوگا کہ "ہم یہ کیوں کر رہے ہیں، ہمیں اس کی ضرورت کیوں ہے، وغیرہ۔" اور "چھلانگ لگانے" یا عمل کو سست کرنے کا کوئی موقع نہیں ملے گا۔

ہم رول پر مبنی رسائی کنٹرول ماڈل بنا رہے ہیں۔ پہلا حصہ، تیاری

مرحلہ 4۔ موجودہ رسائی کنٹرول ماڈل کے پیرامیٹرز کو درست کریں۔

ہم رسائی کنٹرول کے لحاظ سے ایک نام نہاد "سسٹم پاسپورٹ" تیار کر رہے ہیں۔ خلاصہ یہ کہ یہ ایک مخصوص انفارمیشن سسٹم پر ایک سوالنامہ ہے، جو اس تک رسائی کو کنٹرول کرنے کے لیے تمام الگورتھم کو ریکارڈ کرتا ہے۔ وہ کمپنیاں جنہوں نے پہلے سے ہی IDM کلاس کے حل کو لاگو کیا ہے وہ شاید اس طرح کے سوالنامے سے واقف ہیں، کیونکہ یہیں سے سسٹمز کا مطالعہ شروع ہوتا ہے۔

سسٹم اور مالکان کے بارے میں کچھ پیرامیٹرز آئی ٹی رجسٹری سے سوالنامے میں داخل ہوئے (مرحلہ 2، آڈٹ دیکھیں)، لیکن نئے بھی شامل کیے گئے:

  • اکاؤنٹس کا انتظام کیسے کیا جاتا ہے (براہ راست ڈیٹا بیس میں یا سافٹ ویئر انٹرفیس کے ذریعے)؛
  • صارف سسٹم میں کیسے لاگ ان ہوتے ہیں (الگ اکاؤنٹ استعمال کرتے ہوئے یا AD اکاؤنٹ، LDAP، وغیرہ)؛
  • سسٹم تک رسائی کی کونسی سطحیں استعمال کی جاتی ہیں (ایپلی کیشن لیول، سسٹم لیول، نیٹ ورک فائل ریسورسز کا سسٹم استعمال)؛
  • ان سرورز کی تفصیل اور پیرامیٹرز جن پر سسٹم چلتا ہے۔
  • اکاؤنٹ مینجمنٹ کے کون سے آپریشنز سپورٹ ہوتے ہیں (بلاک کرنا، نام تبدیل کرنا وغیرہ)؛
  • سسٹم صارف شناخت کنندہ بنانے کے لیے کون سے الگورتھم یا قواعد استعمال کیے جاتے ہیں؛
  • پرسنل سسٹم میں ملازم کے ریکارڈ کے ساتھ کنکشن قائم کرنے کے لیے کون سی صفت استعمال کی جا سکتی ہے (پورا نام، عملے کا نمبر، وغیرہ)؛
  • اکاؤنٹ کی تمام ممکنہ خصوصیات اور ان کو پُر کرنے کے قواعد؛
  • سسٹم میں رسائی کے کون سے حقوق موجود ہیں (کردار، گروپس، جوہری حقوق، وغیرہ، کیا نیسٹڈ یا درجہ بندی کے حقوق ہیں)؛
  • رسائی کے حقوق کو تقسیم کرنے کا طریقہ کار (مقام، شعبہ، فعالیت وغیرہ کے لحاظ سے)؛
  • کیا نظام کے پاس حقوق کی علیحدگی کے اصول ہیں (SOD – فرائض کی علیحدگی)، اور وہ کیسے کام کرتے ہیں؛
  • سسٹم میں غیر حاضری، ٹرانسفر، برطرفی، ملازمین کے ڈیٹا کو اپ ڈیٹ کرنے وغیرہ کے واقعات کو کیسے پروسیس کیا جاتا ہے۔

اس فہرست کو جاری رکھا جا سکتا ہے، مختلف پیرامیٹرز اور دیگر اشیاء کی تفصیل کے ساتھ جو رسائی کنٹرول کے عمل میں شامل ہیں۔

مرحلہ 5۔ اجازتوں کی ایک کاروبار پر مبنی تفصیل بنائیں

ایک اور دستاویز جس کی ہمیں رول ماڈل بناتے وقت ضرورت ہو گی وہ تمام ممکنہ اختیارات (حقوق) پر ایک حوالہ کتاب ہے جو انفارمیشن سسٹم میں صارفین کو فراہم کی جا سکتی ہے اور اس کے پیچھے کھڑے کاروباری فنکشن کی تفصیلی وضاحت کے ساتھ۔ اکثر، نظام میں حکام حروف اور اعداد پر مشتمل مخصوص ناموں کے ساتھ خفیہ کردہ ہوتے ہیں، اور کاروباری ملازمین یہ نہیں جان سکتے کہ ان علامتوں کے پیچھے کیا ہے۔ پھر وہ IT سروس پر جاتے ہیں، اور وہاں... وہ سوال کا جواب بھی نہیں دے سکتے، مثال کے طور پر، شاذ و نادر ہی استعمال ہونے والے حقوق کے بارے میں۔ اس کے بعد اضافی ٹیسٹ کرنا پڑتا ہے۔

یہ اچھا ہے اگر پہلے سے ہی کاروباری تفصیل موجود ہو یا ان حقوق کا گروپوں اور کرداروں میں امتزاج بھی ہو۔ کچھ ایپلی کیشنز کے لیے، بہترین عمل یہ ہے کہ ترقی کے مرحلے پر اس طرح کا حوالہ تیار کیا جائے۔ لیکن ایسا اکثر نہیں ہوتا، اس لیے ہم تمام ممکنہ حقوق کے بارے میں معلومات جمع کرنے اور ان کی وضاحت کرنے کے لیے دوبارہ آئی ٹی ڈیپارٹمنٹ میں جاتے ہیں۔ ہمارے گائیڈ میں بالآخر مندرجہ ذیل شامل ہوں گے:

  • اتھارٹی کا نام، بشمول وہ اعتراض جس پر رسائی کا حق لاگو ہوتا ہے۔
  • ایک ایسا عمل جو کسی چیز کے ساتھ کرنے کی اجازت ہے (دیکھنا، تبدیل کرنا، وغیرہ، پابندی کا امکان، مثال کے طور پر، علاقائی بنیادوں پر یا گاہکوں کے گروپ کے ذریعے)؛
  • اجازت کا کوڈ (سسٹم فنکشن/درخواست کا کوڈ اور نام جو اجازت کے استعمال سے عمل میں لایا جا سکتا ہے)؛
  • اتھارٹی کی تفصیل (آئی ایس میں کارروائیوں کی تفصیلی وضاحت جب اتھارٹی کو لاگو کرتے ہوئے اور اس عمل کے لیے ان کے نتائج؛
  • اجازت کی حیثیت: "فعال" (اگر اجازت کم از کم ایک صارف کو تفویض کی گئی ہے) یا "فعال نہیں" (اگر اجازت استعمال نہیں کی گئی ہے)۔

مرحلہ 6 ہم سسٹمز سے صارفین اور حقوق کے بارے میں ڈیٹا ڈاؤن لوڈ کرتے ہیں اور عملے کے ذریعہ ان کا موازنہ کرتے ہیں۔

تیاری کے آخری مرحلے پر، آپ کو انفارمیشن سسٹمز سے تمام صارفین اور ان کے حقوق کے بارے میں ڈیٹا ڈاؤن لوڈ کرنے کی ضرورت ہے۔ یہاں دو ممکنہ منظرنامے ہیں۔ پہلا: سیکورٹی ڈیپارٹمنٹ کو سسٹم تک براہ راست رسائی حاصل ہے اور اس کے پاس متعلقہ رپورٹس ڈاؤن لوڈ کرنے کے ذرائع ہیں، جو اکثر نہیں ہوتا، لیکن بہت آسان ہے۔ دوسرا: ہم مطلوبہ فارمیٹ میں رپورٹس حاصل کرنے کے لیے IT کو درخواست بھیجتے ہیں۔ تجربہ بتاتا ہے کہ پہلی بار IT کے ساتھ معاہدہ کرنا اور ضروری ڈیٹا حاصل کرنا ممکن نہیں ہے۔ مطلوبہ شکل اور فارمیٹ میں معلومات موصول ہونے تک متعدد طریقے اختیار کرنے کی ضرورت ہے۔

کون سا ڈیٹا ڈاؤن لوڈ کرنے کی ضرورت ہے:

  • کھاتے کا نام
  • اس ملازم کا پورا نام جس کو یہ تفویض کیا گیا ہے۔
  • حیثیت (فعال یا مسدود)
  • اکاؤنٹ بنانے کی تاریخ
  • آخری استعمال کی تاریخ
  • دستیاب حقوق/گروپ/کردار کی فہرست

لہذا، ہمیں سسٹم سے تمام صارفین کے ساتھ ڈاؤن لوڈز موصول ہوئے اور وہ تمام حقوق جو انہیں عطا کیے گئے تھے۔ اور انہوں نے فوری طور پر تمام بلاک شدہ اکاؤنٹس کو ایک طرف رکھ دیا، کیونکہ رول ماڈل بنانے کا کام صرف فعال صارفین کے لیے کیا جائے گا۔

پھر، اگر آپ کی کمپنی کے پاس برطرف ملازمین تک رسائی کو روکنے کے خود کار طریقے نہیں ہیں (ایسا اکثر ہوتا ہے) یا پیچ ورک آٹومیشن ہے جو ہمیشہ صحیح طریقے سے کام نہیں کرتا ہے، تو آپ کو تمام "مردہ روحوں" کی شناخت کرنے کی ضرورت ہے۔ ہم پہلے ہی برطرف ملازمین کے اکاؤنٹس کے بارے میں بات کر رہے ہیں، جن کے حقوق کسی وجہ سے بلاک نہیں ہوئے ہیں - انہیں بلاک کرنے کی ضرورت ہے۔ ایسا کرنے کے لیے، ہم اپ لوڈ کردہ ڈیٹا کا پرسنل سورس سے موازنہ کرتے ہیں۔ عملے کے ڈیٹا بیس کو برقرار رکھنے والے محکمے سے عملے کی اتار چڑھاؤ بھی پیشگی حاصل کرنا ضروری ہے۔

علیحدہ طور پر، ایسے اکاؤنٹس کو الگ کرنا ضروری ہے جن کے مالکان پرسنل ڈیٹا بیس میں نہیں ملے تھے، کسی کو تفویض نہیں کیے گئے تھے - یعنی مالک کے بغیر۔ اس فہرست کا استعمال کرتے ہوئے، ہمیں آخری استعمال کی تاریخ کی ضرورت ہوگی: اگر یہ کافی حالیہ ہے، تو ہمیں پھر بھی مالکان کو تلاش کرنا پڑے گا۔ اس میں بیرونی ٹھیکیداروں کے اکاؤنٹس یا سروس اکاؤنٹس شامل ہوسکتے ہیں جو کسی کو تفویض نہیں کیے گئے ہیں، لیکن کسی بھی عمل سے وابستہ ہیں۔ یہ جاننے کے لیے کہ اکاؤنٹس کس کے ہیں، آپ تمام محکموں کو خط بھیج سکتے ہیں جس میں ان سے جواب طلب کیا جائے۔ جب مالکان مل جاتے ہیں، تو ہم ان کے بارے میں ڈیٹا سسٹم میں داخل کرتے ہیں: اس طرح، تمام فعال اکاؤنٹس کی شناخت ہو جاتی ہے، اور باقی کو بلاک کر دیا جاتا ہے۔

جیسے ہی ہمارے اپ لوڈز کو غیر ضروری ریکارڈ سے پاک کر دیا جاتا ہے اور صرف فعال اکاؤنٹس باقی رہ جاتے ہیں، ہم ایک مخصوص معلوماتی نظام کے لیے ایک رول ماڈل بنانا شروع کر سکتے ہیں۔ لیکن میں آپ کو اگلے مضمون میں اس کے بارے میں بتاؤں گا۔

مصنف: لیوڈمیلا سیواسٹیانووا، پروموشن مینیجر سولر ان رائٹس

ماخذ: www.habr.com

نیا تبصرہ شامل کریں