Портал №1 по управлению цифровыми
и информационными технологиями

CMDB как инструмент учёта прав доступа

Ярослав спрашивает авторов и читателей портала:


Просьба посоветовать хорошие практики по учету прав доступа к информационным системам (бизнес-сервисам).

Цель: учесть возможные права доступа к каждой системе и выданные права доступа каждого пользователя к каждой системе. Использовать это в заявках на запрос, изменение, отключение прав, для отчетности и аудита прав.

Сейчас это представляется мне так: для каждого права доступа к системе создается отдельный класс  CI в CMDB. К CI "Информационная система" привязываются все CI "Право доступа...", имеющие к ней отношение. Пользователи привязываются к CI "Право доступа...", в соответствии с выданными им в реальности правами.

Есть ли какой-то другой подход к решению такой задачи?

Заранее благодарю!

«VAP: Управление изменениями и конфигурациями в ИТ»
Концентрация знаний и опыта без натаскивания на экзамен

Комментариев: 10

  • Есть ли какой-то другой подход к решению такой задачи?

    Есть, и более оптимальный — IDM-решение. Они специально для этого созданы и умеют это делать гораздо лучше, чем CMDB общего назначения.

  • Nargiza Suleymanova

    Пожалуй, я не буду оригинальной и просто посоветую изучить процесс Access Management. Там как раз описаны лучшие практики управления доступами. От себя добавлю, что можно этот процесс и без CMDB выстраивать.

    Если автор вопроса даст исходные данные, то можно будет конкретные советы дать по организации процесса.

  • Учитывать права доступа в CMDB, конечно, можно.

    На мой взгляд две самые неприятные проблемы будут такими:

    1. Права, учитываемые вручную, разойдутся с действительностью ещё быстрее, чем прочая информация в CMDB. То есть получится хранить в CMDB некую идеальную картину, baseline, но никак не реальную.

    2. Права доступа захочется не только учитывать, но раздавать/отзывать/аудировать/контролировать. А в этом CMDB как инструмент учёта уже не сильно поможет.

    Так что я согласен с Дмитрием, лучше смотреть в сторону специализированных IDM-решений.

  • Бекетов Вадим

    Привожу пример, как было сделано на двух комапниях с разветвленной филальной сетью.

    В старшей  версии продукта "Корп" есть подсистема, в которой реализован процесс управления доступом, и ведется матрица доступа, но в данном примере этой подсистемы не было, использовалась более доступная версия.

       Конечно, использовать специализаированную систему IDM это идеальный вариант, согласен с Романом.  Но иногда есть ограничения, не позволяющие это сделать. Возможно тогда этьот пример будет полезным.

    В даном примере использовалась версия ,в которой нет отдельного процесса Управления доступом, поэтому в справочнике CI были созданы обьекты — информационные ресурсы. В свойствах  этих обьектов, указывалось, кто является согласующим. 

    В бизнес-процесс запроса было встроено правило ( это типовые возможности, которые есть у всех профессиональных продуктов и их можно использовать), которые направляли заявку тем, кто был указан владельцем и согласующим ресурса.

    Если права можно было назначить или отозвать  автоматически с помощью скрипта, то этот скрипт встраивался в маршрут на этап выполнения, после получения согласования

     В отчете можно было уже смотреть кому и когда даны права на ресурс.

     

     

  • Ярослав Максименко

    Добрый день!

    Спасибо за оперативный отклик. 

    Дмитрий, да, идея IDM ясна, но внедрение такой системы не дешевое и не быстрое. Как вариант — привести все системы к SSO, но это тоже не сразу и не для всех систем. Поэтому и рассматриваю вариант учета выданных прав, как написал Вадим — матрицы доступа. 

    Согласен с Олегом, по сути реализую не управление правами, а учет. Приняли на работу сотрудника — выдали по заявке роли и/или права, учли. Увольняется — посмотрели, что было выдано — заблокировали. Конечно, защиты от расхождения с реальностью никакой, кроме запрета на работу с правами доступа без  поданных на это заявок. Ну и аудитов.

    По поводу Acess Management как процесса — в принципе в нем все ясно, но он не реализован в конкретной системе ITSM Service Now (да и вообще не видел такой реализации из коробки в системах ITSM). И даже понимаю почему — для этого есть IDM. Вот и приходится реализовывать его самому на уровне заявок и учета в CMDB.

    Вадим, по скриптам идея хорошая, для типовых доступов, управляемых через AD, легко сделаем. 

     

     

      

     

    • Ярослав, наверное, от числа объектов, к которым предоставляется/учитывается доступ, зависит как быстро информация в CMDB разойдётся с действительностью. А число объектов можно условно отразить через число автоматизированных рабочих мест.

      Думаю, что когда рабочих мест несколько сотен, вполне можно попробовать обойтись без IDM. А вот когда их (условно) за тысячу — будет, конечно, сложновато.

      • Ярослав Максименко

        Олег, число объектов - скорее число пользователей. ОК, спасибо, поизучаю и IDM.

  • Андрей

    Поддержу Дмитрия по поводу IDM, поскольку для раззных моделей процессов лучше испольовать инструменты, построенные для этих моделей. Если речь идет только об учете того, кому и какие права дали, то тут любая база данных подойдет, не только CMDB. На самом деле , учет выданных прав — только часть задачи. Общая концепция такая: есть бизнесс процессы, их выполняют сотрудники, которым назначены соответствующие роли. Для исполнения задач в рамках процесса у исполнителя роли, т.е. у самой роли,  должны быть соответствующие права в ИТ системах. Далее происходит следующее — сотрудника назначают на исполнение роли и вместе с ролью он получает соответствующий списк прав. При согласовании назначения роли задача согласующего от службы безопасности состоит в том, чтобы предотвратить конфликт ролей. На пример, роль заведения счетов в систему не может быть присвоена исполнителю одновременно с ролью опаты счетов. Если не использовать процессный подход и ролевой принцип назначения прав, то задачу конфликта ролей решить практически не возможно.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Куда растворился Access management в ITIL4?
      Коллеги, доброго дня. Неожиданный вопрос: куда растворился Access management в ITIL4? В практике Request Mgmt есть упоминание о том, что запросы на доступ управляются в практике Security Mgmt, но в описании этой практики нет об этом ничего, кроме управления инцидентами безопасности и аудита и ревью. Есть легкий намек, что эта практика используется в access control.
    • Конференция «Качество данных 2022. Стратегии, инструменты, практики, перспективы»
      Приглашаем принять участие в третьей ежегодной конференции «Качество данных 2022. Стратегии, инструменты, практики, перспективы». «Качество данных» – единственная в России конференция, полностью посвященная стратегии и практике обеспечения качества данных, гарантирующего высокий уровень бизнес-решений, сервисов и процессов. «Качество данных 2022» – это совершенно новые практические кейсы и проекты в развитии, привлекшие наибольший интерес участников предыдущих конференций.
    • Лучшие материалы Digital Enterprise за 2021 год
      Редакция Digital Enterprise поздравляет Вас с наступающим Новым годом! В этом посте мы собрали ТОП 5 авторских публикаций от экспертов Cleverics и 10 самых популярных статей портала в этом году.
    • Cleverics. Сколько курсов пройти, чтобы точно хватило?Сколько курсов пройти, чтобы точно хватило?
      В IT невозможно дойти до предела совершенства — всегда есть куда расти. Основная сложность в работе специалиста IT в том, что IT очень изменчивая область. Вам необходимо постоянно учиться, чтобы выжить во всем этом — и не остаться в колесе Сансары, когда оно будет делать новый оборот.
    • Почему запуск продукта проваливается (и как этого избежать)
      Сколько запусков новых продуктов происходит каждый год? По данным Nielsen около 30 000 среди товаров повседневного спроса. Для программного обеспечения гораздо труднее найти
    • Российскому стандарту ITAM быть!
      Управление ИТ-активами (ITAM), как дисциплина, существует уже не первое десятилетие. Однако в силу ряда причин именно сейчас ИТ-организации начинают проявлять к нему все больший практический интерес. Почему ИТ-менеджеры сейчас обращают на ITAM пристальное внимание?
    • Здравствуй, (VUCA) Новый год!
      Каждый раз, провожая уходящий год, хочется оглянуться назад, посмотреть на то, что было и попробовать помечтать и спрогнозировать то, что будет (или может быть) в новом году.
    • Возврат в системе канбан
      Что делать на доске канбан с задачей, по которой требуется переделка?
    • Записи вебинаров 21 сезона CleverTALK
      16 декабря завершился двадцать первый сезон вебинаров CleverTALK. Благодарим вас за интерес к нашим вебинарам и за то, что делитесь информацией о них!
    • Играйте в деловые игры ответственно
      Мы довольно давно проводим различные деловые игры. Надо сказать, что они действительно учат делать правильные выводы. И эти выводы рождаются благодаря приобретаемому опыту. Один
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT