Портал №1 по управлению цифровыми
и информационными технологиями

CMDB как инструмент учёта прав доступа

Ярослав спрашивает авторов и читателей портала:


Просьба посоветовать хорошие практики по учету прав доступа к информационным системам (бизнес-сервисам).

Цель: учесть возможные права доступа к каждой системе и выданные права доступа каждого пользователя к каждой системе. Использовать это в заявках на запрос, изменение, отключение прав, для отчетности и аудита прав.

Сейчас это представляется мне так: для каждого права доступа к системе создается отдельный класс  CI в CMDB. К CI "Информационная система" привязываются все CI "Право доступа...", имеющие к ней отношение. Пользователи привязываются к CI "Право доступа...", в соответствии с выданными им в реальности правами.

Есть ли какой-то другой подход к решению такой задачи?

Заранее благодарю!

Учебные курсы и сертификация
специалистов по ИТ-менеджменту

Комментариев: 10

  • Есть ли какой-то другой подход к решению такой задачи?

    Есть, и более оптимальный — IDM-решение. Они специально для этого созданы и умеют это делать гораздо лучше, чем CMDB общего назначения.

  • Nargiza Suleymanova

    Пожалуй, я не буду оригинальной и просто посоветую изучить процесс Access Management. Там как раз описаны лучшие практики управления доступами. От себя добавлю, что можно этот процесс и без CMDB выстраивать.

    Если автор вопроса даст исходные данные, то можно будет конкретные советы дать по организации процесса.

  • Учитывать права доступа в CMDB, конечно, можно.

    На мой взгляд две самые неприятные проблемы будут такими:

    1. Права, учитываемые вручную, разойдутся с действительностью ещё быстрее, чем прочая информация в CMDB. То есть получится хранить в CMDB некую идеальную картину, baseline, но никак не реальную.

    2. Права доступа захочется не только учитывать, но раздавать/отзывать/аудировать/контролировать. А в этом CMDB как инструмент учёта уже не сильно поможет.

    Так что я согласен с Дмитрием, лучше смотреть в сторону специализированных IDM-решений.

  • Бекетов Вадим

    Привожу пример, как было сделано на двух комапниях с разветвленной филальной сетью.

    В старшей  версии продукта "Корп" есть подсистема, в которой реализован процесс управления доступом, и ведется матрица доступа, но в данном примере этой подсистемы не было, использовалась более доступная версия.

       Конечно, использовать специализаированную систему IDM это идеальный вариант, согласен с Романом.  Но иногда есть ограничения, не позволяющие это сделать. Возможно тогда этьот пример будет полезным.

    В даном примере использовалась версия ,в которой нет отдельного процесса Управления доступом, поэтому в справочнике CI были созданы обьекты — информационные ресурсы. В свойствах  этих обьектов, указывалось, кто является согласующим. 

    В бизнес-процесс запроса было встроено правило ( это типовые возможности, которые есть у всех профессиональных продуктов и их можно использовать), которые направляли заявку тем, кто был указан владельцем и согласующим ресурса.

    Если права можно было назначить или отозвать  автоматически с помощью скрипта, то этот скрипт встраивался в маршрут на этап выполнения, после получения согласования

     В отчете можно было уже смотреть кому и когда даны права на ресурс.

     

     

  • Ярослав Максименко

    Добрый день!

    Спасибо за оперативный отклик. 

    Дмитрий, да, идея IDM ясна, но внедрение такой системы не дешевое и не быстрое. Как вариант — привести все системы к SSO, но это тоже не сразу и не для всех систем. Поэтому и рассматриваю вариант учета выданных прав, как написал Вадим — матрицы доступа. 

    Согласен с Олегом, по сути реализую не управление правами, а учет. Приняли на работу сотрудника — выдали по заявке роли и/или права, учли. Увольняется — посмотрели, что было выдано — заблокировали. Конечно, защиты от расхождения с реальностью никакой, кроме запрета на работу с правами доступа без  поданных на это заявок. Ну и аудитов.

    По поводу Acess Management как процесса — в принципе в нем все ясно, но он не реализован в конкретной системе ITSM Service Now (да и вообще не видел такой реализации из коробки в системах ITSM). И даже понимаю почему — для этого есть IDM. Вот и приходится реализовывать его самому на уровне заявок и учета в CMDB.

    Вадим, по скриптам идея хорошая, для типовых доступов, управляемых через AD, легко сделаем. 

     

     

      

     

    • Ярослав, наверное, от числа объектов, к которым предоставляется/учитывается доступ, зависит как быстро информация в CMDB разойдётся с действительностью. А число объектов можно условно отразить через число автоматизированных рабочих мест.

      Думаю, что когда рабочих мест несколько сотен, вполне можно попробовать обойтись без IDM. А вот когда их (условно) за тысячу — будет, конечно, сложновато.

      • Ярослав Максименко

        Олег, число объектов - скорее число пользователей. ОК, спасибо, поизучаю и IDM.

  • Андрей

    Поддержу Дмитрия по поводу IDM, поскольку для раззных моделей процессов лучше испольовать инструменты, построенные для этих моделей. Если речь идет только об учете того, кому и какие права дали, то тут любая база данных подойдет, не только CMDB. На самом деле , учет выданных прав — только часть задачи. Общая концепция такая: есть бизнесс процессы, их выполняют сотрудники, которым назначены соответствующие роли. Для исполнения задач в рамках процесса у исполнителя роли, т.е. у самой роли,  должны быть соответствующие права в ИТ системах. Далее происходит следующее — сотрудника назначают на исполнение роли и вместе с ролью он получает соответствующий списк прав. При согласовании назначения роли задача согласующего от службы безопасности состоит в том, чтобы предотвратить конфликт ролей. На пример, роль заведения счетов в систему не может быть присвоена исполнителю одновременно с ролью опаты счетов. Если не использовать процессный подход и ролевой принцип назначения прав, то задачу конфликта ролей решить практически не возможно.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Новая модель предоставления ИТ-услуг: почему вам нужно ориентироваться на продукт
      Традиционно ИТ-организации делят все предоставляемые ими услуги на три уровня: инфраструктура (инфраструктура как услуга), платформа (платформа как услуга) и приложения
    • Как DevOps-командам следует использовать метрики DORA
      С момента выхода в 2018 году книги «Accelerate: Наука о бережливом программном обеспечении и DevOps», показатели DORA, которые она представила, стали популярным
    • Лучше делать хоть что-то, чем не делать ничего
      На конференциях по всяким Agile и DevOps мы часто слышим слово «unlearn» — забудьте то, что вы знали ранее! Измените свои представления о мире! Всё устроено
    • VI форум «Управление данными — 2021»: наведите порядок в данных!
      23 сентября 2021 года издательство «Открытые системы» в шестой раз проведет в Москве масштабный форум «Управление данными — 2021», объединяющий всех, кто определяет стратегию работы с данными, воплощает ее в жизнь и управляет предприятием на основе объективных достоверных данных. Участники форума обсудят не только инновационные стратегии и бизнес-модели работы с корпоративными данными, но и конкретные архитектурные и технологические решения.
    • Простые уловки, как ускорить процесс разработки программного обеспечения
      С некоторыми вещами люди из бизнеса вынуждены соглашаться, и одна из них заключается в том, что никто не хочет сердить свою команду разработчиков. Часто они являются краеугольным
    • Почему каждая инициатива DevOps должна начинаться с оценки возможностей
      Внедрение практики DevOps идет полным ходом. Организации сосредоточены на том, как внедрить возможности DevOps в командах и как масштабировать DevOps в масштабах предприятия. Но важным аспектом любого пути масштабной трансформации является оценка возможностей команды или организации на этом пути.
    • Что такое процесс и что такое практика в ITIL®4
      Продолжаем публиковать короткие видеоролики, посвященные актуальным вопросам управления ИТ. Сегодня поговорим о том, что такое процесс и что такое практика в ITIL4. Это не переименование процессов в практики, это два отдельных понятия. Рассказывает Игорь Фадеев, ITIL 4 Managing Professional и ITIL 4 Strategic Leader, аккредитованный тренер по ITIL4.
    • Аудит. Что может быть скучнее?!
      На прошедшей неделе участвовал в аудите (в качестве объекта аудита). Большинство людей, проходивших аудит, подозреваю, разделяет это ощущение: «Бюрократия, формальности и т.п.»
    • Как технический долг вредит вашей команде программистов — и вашей безопасности приложений
      Техническая долг может серьезно повлиять на здоровье организации - и на психическое здоровье ваших разработчиков. Более половины из 200+ членов инженерных команд, опрошенных в рамках отчета Stepsize "Состояние технического долга в 2021 году", считают, что технический долг негативно влияет на моральное состояние их команд.
    • Что люди не понимают в управлении потоком создания стоимости
      Нет ничего плохого в самом управлении потоками создания ценности (VSM), но есть много плохого в том, как его рассматривают и обсуждают блогеры, отраслевые маркетологи и другие, которые часто смешивают его с DevOps и Agile. Это не одно и то же.
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT