IdM – это набор мероприятий по управлению доступом. Отсюда IdM решение – это комплексный набор технических средств. В любой компании существует комплекс механизмов управления доступом к данным, и зачастую он включает львиную долю работы вручную. Сюда входит:
- Обрабатывание обращений сотрудников на открытие доступа;
- Обнуление доступа по причине увольнения или другим причинам;
- Реакция на события вследствие излишнего или недостаточного права доступа работников к информационным данным;
- Экспертиза прав и действий работников по отношению к информационным базам.
Все эти процессы происходят на фоне личных обращений к ответственным лицам за каждую систему. Это громоздко и неудобно. И конечно же, очевидна необходимость в IdM. Для принятия решения рассмотрим эту необходимость с разных углов зрения:
Со стороны пользователя:
- Неясна процедура получения доступа
- Сама форма на получение доступа непонятна для «чайника»
- Обработка решения на получение доступа непрозрачна (кто принимает эти решения и чем мотивируются)
- Неустановленные сроки рассмотрения заявки
- Собственник не посвящается в процесс и как бы исключен из цепи принятия решения, соответственно он не видит возможных последствий
- Сотрудники могут временно получать доступ к информации (в период отпуска коллег), выполнять проекты, а затем этот временный доступ по завершению проекта остается открыт.
Со стороны IT:
- Непонятно, какого рода доступ просит работник
- Весь процесс предоставления прав и их изменение и прекращение занимает большое количество времени у ответственного работника
- Временами необходимо прорабатывать большое количество заявок на право доступа в связи с проведением каких-либо работ
- Бывают ситуации, когда непонятно кто выдал разрешение и при каких обстоятельствах, неясен принцип выдачи разрешения.
Со стороны информационной безопасности:
- Возможность получить данные ограничена либо невозможна
- Проверки права доступа к данным очень трудоемки и зачастую бесполезны ввиду неактуальности информации
- Отсутствие инструкций и политик оформления запросов на доступ
- В случае невозможности построения схемы получения доступа на основании ролей, что бы сотрудник в рамках своих полномочий мог пользоваться информацией
- Инструкции прописаны, но их не придерживаются.
Форс-мажорные ситуации:
- В момент наступления ситуаций, связанных с правом доступа нет среза данных обстоятельствах
- Нет процедуры изъятия прав доступа
- Отсутствует механизм обнаружения неправомерного доступа
Аудит:
- Стандартные требования
- По итогам проверки выявлены несоответствия, но нет рабочей схемы по исправлению
Наличие описанных ситуаций говорит о необходимости IdM решения. Опишем необходимые процессы контроля доступа.
В связи с перемещением кадров:
- Прием на работу сотрудника
- Увольнение сотрудника
- Кадровое перемещение
- Время отпусков, больничных и командировок
- Обновление данных работников
Связанные с доступом к данным:
- Выдача права доступа
- Изъятие права доступа
- Пересмотр решения о предоставлении права доступа
- Проверка прав доступа к информационным данным
В связи с предоставлением сервисов
- Процедура подачи заявки на разрешение
- Согласование разрешения
- Процедура согласования не состыковки данных
- Мониторинг запросов на выдачу и их соглассования
Реакция на форс-мажорные ситуации:
- Процедура получения данных в момент наступления форс-мажорной ситуации
- Расследование о правах доступа работника
Можно и далее раскладывать бизнес-процесс на составляющие, но у каждой компании применимы свои варианты. Но однозначно есть необходимость анализировать каждое требование под бизнес деятельность предприятия. Это необходимо и во избежание ненужных затрат. Принимая окончательное решение о внедрении IdM, собственники компании должны понимать, что на них лежит вся ответственность. Необходимо учесть все процессы, технические средства, распределить роли и организовать все действия. IdM решение это набор полезных решений – это возможность быстро реагировать на ситуации, получать актуальную информацию, проводить проверки, согласовывать доступы и даже формировать отчетность.
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.