Внедрение ролевого управления доступом может принести много пользы, если определять роли правильно. Ролевая модель доступа позволяет предоставлять и ограничивать доступ как сотрудникам компании, так и контрактникам, аудиторам и другим временным пользователям, даже клиентам. Применение ролей в IDM системе позволяет упростить аудит и отчетность. Основная трудность при использовании ролей – правильно их определить.
Для решения этой проблемы были придуманы два подхода: первый – определение ролей сверху вниз, второй – опредление ролей снизу вверх. Использовать их необходимо последовательно.
Первый метод заключается в определении ролей совместно с владельцами систем и непосредственными руководителями сотрудников. Сначала необходимо встретиться с владельцем системы, чтобы понять, как предоставляется доступ, и кто какой доступ должен получать. На этом этапе будет ясно какие группы прав доступа уже можно выделить в роли, каким образом доступ предоставляется, есть в системе шаблоны прав или свои внутренние роли и т.д. После этого необходимо переговорить с руководителями подразделений для определения набора прав уже со стороны пользователей, какие наборы прав нужны на каких должностях для выполнения своих обязанностей. На данном этапе можно отсеять "лишние" доступы которые накопились у сотрудников, что поможет в дальнейшем при сборе ролей специальными утилитами. Так же здесь мы уже можем определить общие минимальные наборы прав для конкретных подразделений, например, роль Кассир.
Второй метод – снизу вверх, используется для определения конкретных ролей на уровне систем и дробления общих ролей на более мелкие, например, Кассир-контролер и Кассир. На этом этапе желательно пользоваться утилитами анализа данных и сбора ролей (Role mining tools). Вывод от анализа будет гораздо "чище" и более приближен к реальной ситуации функциональных ролей сотрудников, поскольку на первом этапе мы почистили лишние достпы пользователей. После получения ролей их необходимо будет проанализировать с владельцами систем и руководителями, для утверждения. Затем эти роли можно настраивать в IDM системе.
Используя два эти подхода при построении ролей, значительно уменьшается ручная работа по анализу данных от утилит построения ролей, полученные роли будут максимально актуальны, снизятся риски информационной безопасности, поскольку мы устранили "лишние" доступы.