ProHoster > Blog > Ma'muriyat > Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Men hozirda dasturiy ta'minot sotuvchisida ishlayapman, xususan, kirishni boshqarish echimlari. Va mening "o'tmishdagi hayotdagi" tajribam mijoz tomoni - yirik moliyaviy tashkilot bilan bog'liq. O'sha paytda bizning axborot xavfsizligi bo'limidagi kirishni nazorat qilish guruhimiz IdM bo'yicha katta vakolatlar bilan maqtana olmadi. Bu jarayonda biz ko‘p narsalarni o‘rgandik, kompaniyadagi axborot tizimlarida foydalanuvchi huquqlarini boshqarish bo‘yicha ishlaydigan mexanizmni yaratish uchun ko‘p to‘ntarishlarga duch keldik.
Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik
O'zimning mashaqqatli mijozlar tajribamni sotuvchi bilimi va malakasi bilan birlashtirib, men siz bilan asosan bosqichma-bosqich ko'rsatmalarni baham ko'rmoqchiman: yirik kompaniyada rolga asoslangan kirishni boshqarish modelini qanday yaratish kerak va bu natijada nima beradi . Mening ko'rsatmalarim ikki qismdan iborat: birinchisi, modelni yaratishga tayyorgarlik ko'rmoqda, ikkinchisi - aslida qurish. Mana birinchi qism, tayyorgarlik qismi.

NB O'rnak yaratish, afsuski, natija emas, balki jarayondir. To'g'rirog'i, kompaniyada kirishni boshqarish ekotizimini yaratish jarayonining bir qismi. Shunday ekan, o'yinga uzoq vaqt tayyorlaning.

Birinchidan, buni aniqlaymiz - rolga asoslangan kirishni boshqarish nima? Faraz qilaylik, sizda o'nlab, hatto yuz minglab xodimlarga (sub'ektlarga) ega yirik bankingiz bor, ularning har biri yuzlab ichki bank axborot tizimlariga (obyektlariga) o'nlab kirish huquqiga ega. Endi ob'ektlar sonini ob'ektlar soniga ko'paytiring - bu birinchi navbatda qurishingiz va keyin nazorat qilishingiz kerak bo'lgan ulanishlarning minimal soni. Buni haqiqatan ham qo'lda qilish mumkinmi? Albatta yo'q - bu muammoni hal qilish uchun rollar yaratilgan.

Rol - bu foydalanuvchi yoki foydalanuvchilar guruhiga ma'lum ish vazifalarini bajarish uchun kerak bo'lgan ruxsatlar to'plami. Har bir xodim bir yoki bir nechta rolga ega bo'lishi mumkin va har bir rol o'sha rol doirasidagi foydalanuvchiga ruxsat etilgan birdan bir nechta ruxsatlarni o'z ichiga olishi mumkin. Rollar muayyan lavozimlar, bo'limlar yoki xodimlarning funktsional vazifalari bilan bog'lanishi mumkin.

Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Rollar odatda har bir axborot tizimida xodimlarning individual ruxsatnomalaridan yaratiladi. Keyin har bir tizim rollaridan global biznes rollari shakllanadi. Masalan, "kredit menejeri" biznes roli bankning mijozlar ofisida qo'llaniladigan axborot tizimlarida bir nechta alohida rollarni o'z ichiga oladi. Masalan, asosiy avtomatlashtirilgan bank tizimi, kassa moduli, elektron hujjat aylanishi tizimi, xizmat ko'rsatish menejeri va boshqalar. Ishbilarmonlik rollari, qoida tariqasida, tashkiliy tuzilma bilan, boshqacha aytganda, kompaniya bo'linmalari va ulardagi lavozimlar to'plami bilan bog'liq. Global rol matritsasi shunday shakllanadi (men quyidagi jadvalda misol keltiraman).

Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Shunisi e'tiborga loyiqki, tijorat tuzilmasidagi har bir lavozim xodimlari uchun barcha zarur huquqlarni ta'minlab, 100% namuna yaratish mumkin emas. Ha, bu kerak emas. Axir, namuna statik bo'lishi mumkin emas, chunki u doimo o'zgaruvchan muhitga bog'liq. Va shunga mos ravishda tashkiliy tuzilma va funksionallikdagi o'zgarishlarga ta'sir qiladigan kompaniyaning biznes faoliyatidagi o'zgarishlardan. Va resurslarning to'liq ta'minlanmaganligi va ish tavsiflariga rioya qilmaslik, xavfsizlik hisobiga foyda olish istagi va boshqa ko'plab omillardan. Shu sababli, lavozimga tayinlanganda foydalanuvchining zaruriy asosiy huquqlarga bo'lgan ehtiyojlarining 80 foizini qoplay oladigan namuna yaratish kerak. Va agar kerak bo'lsa, qolgan 20% ni keyinroq alohida arizalarda so'rashlari mumkin.

Albatta, siz shunday deb so'rashingiz mumkin: "100% namunalar yo'qmi?" Xo'sh, nima uchun bu, masalan, tez-tez o'zgarib turmaydigan notijorat tuzilmalarda - ba'zi tadqiqot institutlarida sodir bo'ladi. Yoki xavfsizlik birinchi o'rinda turadigan yuqori darajadagi xavfsizlikka ega harbiy-sanoat kompleksi tashkilotlarida. Bu tijorat tuzilmasida sodir bo'ladi, lekin ishi juda statik va prognoz qilinadigan jarayon bo'lgan alohida bo'linma doirasida.

Rollarga asoslangan boshqaruvning asosiy afzalligi huquqlarni berishni soddalashtirishdir, chunki rollar soni axborot tizimi foydalanuvchilari sonidan sezilarli darajada kamroq. Va bu har qanday sanoat uchun to'g'ri keladi.

Chakana savdo kompaniyasini olaylik: unda minglab sotuvchilar ishlaydi, lekin ular N tizimida bir xil huquqlarga ega va ular uchun faqat bitta rol yaratiladi. Kompaniyaga yangi sotuvchi kelganida, unga barcha zarur vakolatlar allaqachon mavjud bo'lgan tizimda avtomatik ravishda kerakli rol tayinlanadi. Bundan tashqari, bir marta bosish bilan siz bir vaqtning o'zida minglab sotuvchilarning huquqlarini o'zgartirishingiz mumkin, masalan, hisobot yaratish uchun yangi variantni qo'shishingiz mumkin. Har bir akkauntga yangi huquqni bog'lab, minglab operatsiyalarni bajarishning hojati yo'q - shunchaki ushbu parametrni rolga qo'shing va u bir vaqtning o'zida barcha sotuvchilar uchun paydo bo'ladi.

Rollarga asoslangan boshqaruvning yana bir afzalligi - mos kelmaydigan ruxsatnomalarni berishni bartaraf etishdir. Ya'ni, tizimda ma'lum bir rolga ega bo'lgan xodim bir vaqtning o'zida boshqa rolga ega bo'lishi mumkin emas, uning huquqlari birinchisidagi huquqlar bilan birlashtirilmasligi kerak. Yorqin misol - moliyaviy operatsiyani kiritish va nazorat qilish funktsiyalarini birlashtirishni taqiqlash.

Rolga asoslangan kirishni boshqarish qanday paydo bo'lganiga qiziqqan har bir kishi buni qila oladi
tarixga sho'ng'ish
Agar tarixga nazar tashlasak, IT hamjamiyati kirishni boshqarish usullari haqida birinchi marta 70-asrning XNUMX-yillarida fikr yuritgan. Ilovalar o'sha paytda juda oddiy bo'lsa-da, xuddi hozirgidek, hamma ularga kirishni qulay boshqarishni xohlardi. Foydalanuvchi huquqlarini bering, o'zgartiring va nazorat qiling - shunchaki ularning har biriga qanday ruxsat borligini tushunishni osonlashtirish uchun. Ammo o'sha paytda umumiy standartlar yo'q edi, birinchi kirishni boshqarish tizimlari ishlab chiqildi va har bir kompaniya o'z g'oyalari va qoidalariga asoslangan edi.

Hozirgi vaqtda kirishni boshqarishning ko'plab turli modellari ma'lum, ammo ular darhol paydo bo'lmadi. Keling, ushbu soha rivojiga katta hissa qo'shganlar haqida to'xtalib o'tamiz.

Birinchi va, ehtimol, eng oddiy model Ixtiyoriy (tanlangan) kirishni boshqarish (DAC - ixtiyoriy kirishni boshqarish). Ushbu model kirish jarayonining barcha ishtirokchilari tomonidan huquqlarni taqsimlashni nazarda tutadi. Har bir foydalanuvchi ma'lum ob'ektlar yoki operatsiyalarga kirish huquqiga ega. Mohiyatiga ko'ra, bu erda huquqlar sub'ektlarining majmui ob'ektlar to'plamiga mos keladi. Ushbu model juda moslashuvchan va uni saqlash juda qiyin deb topildi: kirish ro'yxatlari oxir-oqibat katta va nazorat qilish qiyin bo'ladi.

Ikkinchi model Majburiy kirishni boshqarish (MAC - majburiy kirishni boshqarish). Ushbu modelga ko'ra, har bir foydalanuvchi ma'lumotlar maxfiyligining ma'lum bir darajasiga berilgan ruxsatga muvofiq ob'ektga kirish huquqini oladi. Shunga ko'ra, ob'ektlar maxfiylik darajasiga ko'ra tasniflanishi kerak. Birinchi moslashuvchan modeldan farqli o'laroq, bu, aksincha, juda qattiq va cheklovchi bo'lib chiqdi. Agar kompaniya juda ko'p turli xil axborot resurslariga ega bo'lsa, undan foydalanish oqlanmaydi: turli xil resurslarga kirishni farqlash uchun siz bir-biriga mos kelmaydigan ko'plab toifalarni kiritishingiz kerak bo'ladi.

Ushbu ikki usulning yaqqol nomukammalligi tufayli IT hamjamiyati turli turdagi tashkiliy kirishni boshqarish siyosatini qo'llab-quvvatlash uchun ko'proq moslashuvchan va ayni paytda ko'proq yoki kamroq universal modellarni ishlab chiqishda davom etdi. Va keyin paydo bo'ldi uchinchi rolga asoslangan kirishni boshqarish modeli! Ushbu yondashuv eng istiqbolli bo'lib chiqdi, chunki u nafaqat foydalanuvchi identifikatorini, balki tizimlardagi operatsion funktsiyalarini ham talab qiladi.

Birinchi aniq tavsiflangan namunaviy tuzilma 1992 yilda AQSh Milliy standartlar va texnologiyalar institutidan amerikalik olimlar Devid Ferraylo va Richard Kun tomonidan taklif qilingan. Keyin atama birinchi marta paydo bo'ldi RBAC (rolga asoslangan kirishni boshqarish). Ushbu tadqiqotlar va asosiy komponentlarning tavsiflari, shuningdek, ularning o'zaro bog'liqligi Xalqaro Axborot Texnologiyalari Standartlari Qo'mitasi (INCITS) tomonidan tasdiqlangan, bugungi kunda ham amalda bo'lgan INCITS 359-2012 standartining asosini tashkil etdi.

Standart rolni "rolga tayinlangan foydalanuvchiga berilgan vakolat va mas'uliyat bilan bog'liq ba'zi bir semantikaga ega bo'lgan tashkilot kontekstidagi ish funktsiyasi" sifatida belgilaydi. Hujjat RBACning asosiy elementlarini - foydalanuvchilar, seanslar, rollar, ruxsatlar, operatsiyalar va ob'ektlarni, shuningdek, ular o'rtasidagi munosabatlar va o'zaro bog'lanishlarni o'rnatadi.

Standart rol modelini yaratish uchun minimal zarur tuzilmani taqdim etadi - huquqlarni rollarga birlashtirish va keyin ushbu rollar orqali foydalanuvchilarga kirish huquqini berish. Ob'ektlar va operatsiyalardan rollarni yaratish mexanizmlari ko'rsatilgan, rollar ierarxiyasi va vakolatlarning merosxo'rligi tasvirlangan. Axir, har qanday kompaniyada kompaniyaning barcha xodimlari uchun zarur bo'lgan asosiy vakolatlarni birlashtirgan rollar mavjud. Bu elektron pochta, EDMS, korporativ portal va boshqalarga kirish bo'lishi mumkin. Ushbu ruxsatnomalar "xodim" deb nomlangan bitta umumiy rolga kiritilishi mumkin va yuqori darajadagi rollarning har birida barcha asosiy huquqlarni qayta-qayta sanab o'tishga hojat qolmaydi. "Xodim" rolining meros xususiyatini shunchaki ko'rsatish kifoya.

Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Keyinchalik, standart doimiy o'zgaruvchan muhit bilan bog'liq yangi kirish atributlari bilan to'ldirildi. Statik va dinamik cheklovlarni kiritish imkoniyati qo'shildi. Statiklar rollarni birlashtirishning mumkin emasligini anglatadi (yuqorida aytib o'tilgan operatsiyalarni bir xil kiritish va boshqarish). Dinamik cheklovlar parametrlarni o'zgartirish orqali aniqlanishi mumkin, masalan, vaqt (ish / ishlamaydigan soatlar yoki kunlar), joylashuv (ofis / uy) va boshqalar.

Bu haqda alohida-alohida aytish kerak atributga asoslangan kirishni boshqarish (ABAC - atributga asoslangan kirishni boshqarish). Yondashuv atributlarni almashish qoidalaridan foydalangan holda ruxsat berishga asoslangan. Ushbu model alohida ishlatilishi mumkin, lekin ko'pincha u klassik rol modelini faol ravishda to'ldiradi: foydalanuvchilarning atributlari, resurslari va qurilmalari, shuningdek vaqt yoki joylashuv ma'lum bir rolga qo'shilishi mumkin. Bu sizga kamroq rollardan foydalanish, qo'shimcha cheklovlar kiritish va kirishni imkon qadar minimal qilish va shuning uchun xavfsizlikni yaxshilash imkonini beradi.

Misol uchun, agar u ma'lum bir mintaqada ishlayotgan bo'lsa, buxgalterga hisoblarga kirishga ruxsat berilishi mumkin. Keyin mutaxassisning joylashuvi ma'lum bir mos yozuvlar qiymati bilan taqqoslanadi. Yoki foydalanuvchi ruxsat etilganlar ro'yxatiga kiritilgan qurilmadan tizimga kirsagina hisoblarga kirish huquqini berishingiz mumkin. Rol modeliga yaxshi qo'shimcha, lekin ko'plab qoidalar va ruxsatnomalar yoki cheklovlar jadvallarini yaratish zarurati tufayli kamdan-kam hollarda o'z-o'zidan foydalaniladi.

Sizga "o'tmishdagi hayotim" dan ABAC-dan foydalanishga misol keltiraman. Bankimizning bir nechta filiallari bor edi. Ushbu filiallardagi mijozlar ofislari xodimlari aynan bir xil operatsiyalarni bajarishgan, lekin asosiy tizimda faqat o'z mintaqalaridagi hisoblar bilan ishlashlari kerak edi. Birinchidan, biz har bir mintaqa uchun alohida rollarni yaratishni boshladik - va takrorlanadigan funksiyalarga ega, ammo turli hisoblarga kirish imkoniga ega bunday rollar juda ko'p edi! Keyin, foydalanuvchi uchun joylashuv atributidan foydalanish va uni ko'rib chiqish uchun ma'lum bir qator hisoblar bilan bog'lash orqali biz tizimdagi rollar sonini sezilarli darajada kamaytirdik. Natijada, bankning barcha boshqa hududiy bo'linmalarida tegishli lavozimlar uchun takrorlangan bitta filialda rollar saqlanib qoldi.

Keling, kerakli tayyorgarlik bosqichlari haqida gapiraylik, ularsiz ishlaydigan namunani yaratish mumkin emas.

Qadam 1. Funktsional modelni yarating

Siz funktsional modelni yaratishdan boshlashingiz kerak - har bir bo'lim va har bir pozitsiyaning funktsional imkoniyatlarini batafsil tavsiflovchi yuqori darajadagi hujjat. Qoida tariqasida, ma'lumotlar unga turli hujjatlardan kiritiladi: ish tavsiflari va alohida bo'linmalar - bo'limlar, bo'limlar, bo'limlar uchun nizomlar. Funktsional model barcha manfaatdor bo'limlar (biznes, ichki nazorat, xavfsizlik) bilan kelishilgan va kompaniya rahbariyati tomonidan tasdiqlangan bo'lishi kerak. Ushbu hujjat nima uchun? Shunday qilib, o'rnak oluvchi unga murojaat qilishi mumkin. Masalan, siz tizimdan olib tashlangan va "umumiy maxrajga qisqartirilgan" xodimlarning mavjud huquqlariga asoslangan namuna yaratmoqchisiz. Keyin, tizimning biznes egasi bilan olingan rollarni kelishib olishda siz funktsional modeldagi ma'lum bir nuqtaga murojaat qilishingiz mumkin, buning asosida u yoki bu huquq rolga kiritilgan.

2-qadam. Biz AT tizimlarini tekshiramiz va ustuvorlik rejasini tuzamiz

Ikkinchi bosqichda siz IT tizimlariga kirish qanday tashkil etilganligini tushunish uchun audit o'tkazishingiz kerak. Masalan, mening moliyaviy kompaniyam bir necha yuzlab axborot tizimlarini boshqargan. Barcha tizimlar rolga asoslangan boshqaruvning ba'zi asoslariga ega edi, aksariyati ba'zi rollarga ega edi, lekin asosan qog'ozda yoki tizim katalogida - ular uzoq vaqtdan beri eskirgan va ularga kirish haqiqiy foydalanuvchi so'rovlari asosida berilgan. Tabiiyki, bir vaqtning o'zida bir necha yuzlab tizimlarda namuna yaratishning iloji yo'q, siz biron bir joydan boshlashingiz kerak. Biz uning etuklik darajasini aniqlash uchun kirishni boshqarish jarayonini chuqur tahlil qildik. Tahlil jarayonida axborot tizimlariga ustuvorlik berish mezonlari ishlab chiqildi - tanqidiylik, tayyorlik, foydalanishdan chiqarish rejalari va boshqalar. Ularning yordami bilan biz ushbu tizimlar uchun rol modellarini ishlab chiqish/yangilash bo'yicha ishlarni amalga oshirdik. Va keyin biz kirishni boshqarishni avtomatlashtirish uchun Identity Management yechimi bilan integratsiya qilish rejasiga namunalarni kiritdik.

Xo'sh, tizimning tanqidiyligini qanday aniqlash mumkin? O'zingizga quyidagi savollarga javob bering:

  • Tizim kompaniyaning asosiy faoliyati bog'liq bo'lgan operatsion jarayonlar bilan bog'langanmi?
  • Tizimning buzilishi kompaniya aktivlarining yaxlitligiga ta'sir qiladimi?
  • Tizimning maksimal ruxsat etilgan to'xtab qolish vaqti qancha, uzilishdan keyin faollikni tiklash mumkin emas?
  • Tizimdagi ma'lumotlarning yaxlitligini buzish moliyaviy va obro'-e'tibor uchun qaytarib bo'lmaydigan oqibatlarga olib kelishi mumkinmi?
  • Firibgarlik uchun tanqidiylik. Funktsionallik mavjudligi, agar to'g'ri nazorat qilinmasa, ichki/tashqi firibgarlik harakatlariga olib kelishi mumkin;
  • Ushbu tizimlar uchun qanday qonuniy talablar va ichki qoidalar va tartiblar mavjud? Nazorat qiluvchi organlar tomonidan talablarga rioya qilmaslik uchun jarima solinadimi?

Bizning moliyaviy kompaniyamizda biz shunday audit o'tkazdik. Rahbariyat eng ustuvor ro'yxatda bo'lgan axborot tizimlarida birinchi navbatda mavjud foydalanuvchilar va huquqlarni ko'rib chiqish uchun kirish huquqlarini ko'rib chiqish auditi tartibini ishlab chiqdi. Ushbu jarayonning egasi sifatida xavfsizlik bo'limi tayinlandi. Ammo kompaniyadagi kirish huquqlari haqida to'liq tasavvurga ega bo'lish uchun jarayonga IT va biznes bo'limlarini jalb qilish kerak edi. Va bu erda tortishuvlar, tushunmovchiliklar va ba'zida hatto sabotaj ham boshlandi: hech kim o'zining hozirgi mas'uliyatidan voz kechishni va ba'zi bir, bir qarashda, tushunarsiz ishlarga aralashishni xohlamaydi.

NB Rivojlangan IT jarayonlariga ega bo'lgan yirik kompaniyalar, ehtimol, IT auditi protsedurasi - IT umumiy nazorati (ITGC) bilan tanish bo'lishi mumkin, bu sizga IT jarayonlaridagi kamchiliklarni aniqlash va jarayonlarni eng yaxshi amaliyotga (ITIL, COBIT, IT) muvofiq yaxshilash uchun nazoratni o'rnatish imkonini beradi. Boshqaruv va boshqalar) Bunday audit IT va biznesga bir-birini yaxshiroq tushunish va birgalikda rivojlanish strategiyasini ishlab chiqish, risklarni tahlil qilish, xarajatlarni optimallashtirish va ishlashga yanada samarali yondashuvlarni ishlab chiqish imkonini beradi.

Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Auditning yo'nalishlaridan biri axborot tizimlariga mantiqiy va jismoniy kirish parametrlarini aniqlashdir. Olingan ma'lumotlarni biz namuna yaratishda keyingi foydalanish uchun asos qilib oldik. Ushbu audit natijasida bizda AT tizimlarining reestri mavjud bo'lib, unda ularning texnik parametrlari aniqlangan va tavsiflari berilgan. Bundan tashqari, har bir tizim uchun u kimning manfaatlarini ko'zlab ishlayotgan biznes yo'nalishi bo'yicha egasi aniqlangan: aynan u ushbu tizim xizmat ko'rsatadigan biznes jarayonlari uchun javobgar edi. Shuningdek, ma'lum bir IS uchun biznes ehtiyojlarini texnik amalga oshirish uchun mas'ul bo'lgan IT xizmati menejeri tayinlandi. Korxona uchun eng muhim tizimlar va ularning texnik parametrlari, ishga tushirish va foydalanishdan chiqarish muddatlari va boshqalar qayd etilgan.Bu parametrlar namuna yaratishga tayyorgarlik jarayonida juda yordam berdi.

3-qadam Metodologiyani yarating

Har qanday biznes muvaffaqiyatining kaliti to'g'ri usuldir. Shuning uchun ham namuna yaratish, ham audit o'tkazish uchun biz bo'limlar o'rtasidagi o'zaro munosabatlarni tavsiflaydigan, kompaniya qoidalarida mas'uliyatni o'rnatadigan va hokazolarni tavsiflovchi metodologiyani yaratishimiz kerak.
Avval siz kirish va huquqlarni berish tartibini belgilaydigan barcha mavjud hujjatlarni ko'rib chiqishingiz kerak. Yaxshi ma'noda, jarayonlar bir necha darajalarda hujjatlashtirilishi kerak:

  • umumiy korporativ talablar;
  • axborot xavfsizligi sohalariga qo'yiladigan talablar (tashkilot faoliyati yo'nalishlariga qarab);
  • texnologik jarayonlarga qo'yiladigan talablar (ko'rsatmalar, kirish matritsalari, ko'rsatmalar, konfiguratsiya talablari).

Bizning moliyaviy kompaniyamizda biz ko'plab eskirgan hujjatlarni topdik, ularni amalga oshirilayotgan yangi jarayonlarga muvofiqlashtirishimiz kerak edi.

Rahbariyat buyrug'i bilan xavfsizlik, IT, biznes va ichki nazorat vakillaridan iborat ishchi guruh tuzildi. Buyruqda guruhni yaratish maqsadlari, faoliyat yo‘nalishi, mavjud bo‘lish davri va har tomondan mas’ul shaxslar belgilab berilgan. Bundan tashqari, biz audit metodologiyasini va namunani yaratish tartibini ishlab chiqdik: ular sohalarning barcha mas'ul vakillari tomonidan kelishilgan va kompaniya rahbariyati tomonidan tasdiqlangan.

Ishlarni bajarish tartibini, muddatlarini, majburiyatlarini va boshqalarni tavsiflovchi hujjatlar. - ezgu maqsadga erishish yo'lida, avvaliga hamma uchun ravshan bo'lmagan, hech kimda "nima uchun bunday qilyapmiz, nima uchun bu bizga kerak va hokazo" degan savollar bo'lmasligi kafolati. va jarayonni "sakrash" yoki sekinlashtirish imkoniyati bo'lmaydi.

Biz rolga asoslangan kirishni boshqarish modelini qurmoqdamiz. Birinchi qism, tayyorgarlik

Qadam 4. Mavjud kirishni boshqarish modelining parametrlarini tuzatish

Biz kirishni boshqarish nuqtai nazaridan "tizim pasporti" ni tuzmoqdamiz. Aslida, bu ma'lum bir axborot tizimi bo'yicha so'rovnoma bo'lib, unga kirishni boshqarish uchun barcha algoritmlarni qayd etadi. IdM-sinf yechimlarini allaqachon joriy etgan kompaniyalar, ehtimol, bunday so'rovnoma bilan tanish bo'lishi mumkin, chunki tizimlarni o'rganish shu erda boshlanadi.

Tizim va egalari haqidagi ba'zi parametrlar so'rovnomaga IT reestridan tushdi (2-bosqich, auditga qarang), ammo yangilari ham qo'shildi:

  • hisoblar qanday boshqariladi (to'g'ridan-to'g'ri ma'lumotlar bazasida yoki dasturiy interfeyslar orqali);
  • foydalanuvchilar tizimga qanday kirishlari (alohida hisob yoki AD hisob qaydnomasi, LDAP va boshqalar yordamida);
  • tizimga kirishning qanday darajalari qo'llaniladi (dastur darajasi, tizim darajasi, tarmoq fayl resurslaridan tizimdan foydalanish);
  • tizim ishlaydigan serverlarning tavsifi va parametrlari;
  • qanday hisobni boshqarish operatsiyalari qo'llab-quvvatlanadi (bloklash, nomini o'zgartirish va boshqalar);
  • tizim foydalanuvchi identifikatorini yaratish uchun qanday algoritmlar yoki qoidalar qo'llaniladi;
  • Xodimning kadrlar tizimidagi yozuvi bilan bog'lanish uchun qanday atributdan foydalanish mumkin (to'liq ism, xodimlar soni va boshqalar);
  • barcha mumkin bo'lgan hisob atributlari va ularni to'ldirish qoidalari;
  • tizimda qanday kirish huquqlari mavjud (rollar, guruhlar, atom huquqlari va boshqalar, ichki yoki ierarxik huquqlar mavjudmi);
  • kirish huquqlarini ajratish mexanizmlari (lavozim, bo'lim, funksionallik va boshqalar bo'yicha);
  • Tizimda huquqlarni ajratish qoidalari (SOD – Segregation of Duties) bormi va ular qanday ishlaydi;
  • ishda bo'lish, boshqa joyga ko'chirish, ishdan bo'shatish, xodimlar ma'lumotlarini yangilash va hokazolar tizimda qanday qayta ishlanadi.

Ushbu ro'yxatni kirishni boshqarish jarayonida ishtirok etadigan turli parametrlar va boshqa ob'ektlar haqida batafsil ma'lumot bilan davom ettirish mumkin.

Qadam 5. Ruxsatlarning biznesga yo'naltirilgan tavsifini yarating

Namunani yaratishda bizga kerak bo'ladigan yana bir hujjat - bu axborot tizimidagi foydalanuvchilarga berilishi mumkin bo'lgan barcha mumkin bo'lgan vakolatlar (huquqlar) to'g'risidagi ma'lumotnoma, uning orqasida turgan biznes funktsiyasining batafsil tavsifi. Ko'pincha tizimdagi ma'murlar harflar va raqamlardan iborat ma'lum nomlar bilan shifrlangan va biznes xodimlari bu belgilar ortida nima borligini aniqlay olmaydilar. Keyin ular IT xizmatiga borishadi va u erda ... ular ham savolga javob bera olmaydilar, masalan, kamdan-kam ishlatiladigan huquqlar haqida. Keyin qo'shimcha testlarni o'tkazish kerak.

Agar biznes tavsifi allaqachon mavjud bo'lsa yoki hatto ushbu huquqlarning guruhlar va rollarga kombinatsiyasi mavjud bo'lsa yaxshi bo'ladi. Ba'zi ilovalar uchun eng yaxshi amaliyot ishlab chiqish bosqichida bunday ma'lumotnomani yaratishdir. Ammo bu tez-tez sodir bo'lmaydi, shuning uchun biz barcha mumkin bo'lgan huquqlar haqida ma'lumot to'plash va ularni tavsiflash uchun yana IT bo'limiga boramiz. Bizning yo'riqnomamiz oxir-oqibat quyidagilarni o'z ichiga oladi:

  • organning nomi, shu jumladan kirish huquqi qo'llaniladigan ob'ekt;
  • ob'ekt bilan amalga oshirishga ruxsat berilgan harakat (ko'rish, o'zgartirish va h.k., cheklash imkoniyati, masalan, hududiy asosda yoki mijozlar guruhi tomonidan);
  • avtorizatsiya kodi (avtorizatsiya yordamida bajarilishi mumkin bo'lgan tizim funktsiyasi/so'rovining kodi va nomi);
  • vakolat tavsifi (vakolatni qo'llashda ATda harakatlarning batafsil tavsifi va ularning jarayon uchun oqibatlari;
  • ruxsat holati: "Faol" (agar ruxsat kamida bitta foydalanuvchiga berilgan bo'lsa) yoki "Faol emas" (ruxsat ishlatilmasa).

6-qadam Biz tizimlardan foydalanuvchilar va huquqlar haqidagi ma'lumotlarni yuklab olamiz va ularni xodimlar manbai bilan taqqoslaymiz

Tayyorgarlikning yakuniy bosqichida siz barcha foydalanuvchilar va ular hozirda mavjud bo'lgan huquqlar haqidagi axborot tizimlaridan ma'lumotlarni yuklab olishingiz kerak. Bu erda ikkita mumkin bo'lgan stsenariy mavjud. Birinchidan: xavfsizlik bo'limi tizimga to'g'ridan-to'g'ri kirish huquqiga ega va tegishli hisobotlarni yuklab olish vositalariga ega, bu tez-tez sodir bo'lmaydi, lekin juda qulay. Ikkinchidan: biz ITga kerakli formatdagi hisobotlarni olish uchun so'rov yuboramiz. Tajriba shuni ko'rsatadiki, IT bilan kelishuvga erishish va zarur ma'lumotlarni birinchi marta olish mumkin emas. Ma'lumot kerakli shakl va formatda olinmaguncha bir nechta yondashuvlarni amalga oshirish kerak.

Qanday ma'lumotlarni yuklab olish kerak:

  • Hisob nomi
  • U tayinlangan xodimning to'liq ismi
  • Holat (faol yoki bloklangan)
  • Hisob yaratish sanasi
  • Oxirgi foydalanish sanasi
  • Mavjud huquqlar/guruhlar/rollar ro'yxati

Shunday qilib, biz barcha foydalanuvchilar va ularga berilgan barcha huquqlar bilan tizimdan yuklab olishlarni oldik. Va ular darhol barcha bloklangan hisoblarni chetga surib qo'yishdi, chunki namuna yaratish bo'yicha ishlar faqat faol foydalanuvchilar uchun amalga oshiriladi.

Keyin, agar sizning kompaniyangiz ishdan bo'shatilgan xodimlarga kirishni blokirovka qilishning avtomatlashtirilgan vositalariga ega bo'lmasa (bu ko'pincha sodir bo'ladi) yoki har doim ham to'g'ri ishlamaydigan patchwork avtomatizatsiyasiga ega bo'lsa, siz barcha "o'lik jonlarni" aniqlashingiz kerak. Gap allaqachon ishdan bo'shatilgan, huquqlari ba'zi sabablarga ko'ra bloklanmagan xodimlarning hisoblari haqida bormoqda - ularni blokirovka qilish kerak. Buning uchun biz yuklangan ma'lumotlarni kadrlar manbai bilan taqqoslaymiz. Xodimlarni tushirish, shuningdek, xodimlar ma'lumotlar bazasini yurituvchi bo'limdan oldindan olinishi kerak.

Alohida-alohida, egalari kadrlar bazasida topilmagan, hech kimga biriktirilmagan, ya'ni egasiz hisoblarni ajratib qo'yish kerak. Ushbu ro'yxatdan foydalanib, bizga oxirgi foydalanish sanasi kerak bo'ladi: agar u yaqinda bo'lsa, biz hali ham egalarini izlashimiz kerak. Bunga tashqi pudratchilarning hisoblari yoki hech kimga tayinlanmagan, lekin har qanday jarayonlar bilan bog'liq bo'lgan xizmat hisoblari kirishi mumkin. Hisoblar kimga tegishli ekanligini bilish uchun siz barcha bo'limlarga javob berishni so'rab xat yuborishingiz mumkin. Egalari topilganda, biz ular haqidagi ma'lumotlarni tizimga kiritamiz: shu tarzda barcha faol hisoblar aniqlanadi, qolganlari esa bloklanadi.

Bizning yuklamalarimiz keraksiz yozuvlardan tozalanishi va faqat faol hisoblar qolishi bilanoq, biz ma'lum bir axborot tizimi uchun namuna yaratishni boshlashimiz mumkin. Ammo men bu haqda keyingi maqolada aytib beraman.

Muallif: Lyudmila Sevastyanova, Solar inRights promouterlik menejeri

Manba: www.habr.com

a Izoh qo'shish