В редакцию портала Real ITSM поступил вопрос:
Добрый день!
Вопрос касается области управления доступом (access control, rbac). Кто-нибудь может порекомендовать материалы: статьи, книжки, в которых описываются методологии, подходы к сбору и анализу требований по управлению доступом в процессе разработки функционала системы? В частности меня интересует какие артефакты — формы, отчеты, диаграммы имеются для формализации и фиксации правил доступа в контексте некоторой бизнес функции.
Предыстория вопроса: наш проект начинался с небольшого набора функционала для которого достаточно было 5-6 ролей. С течением времени проект разрастался и новый функционал требовал более тонкой настройки прав доступа. У команды на данный момент нет опыта работы с такими методологиями, как, например, Role engineering (top-down, bottom-up, Hybrid), как описано в статье "Определение ролей предприятия: лучшие практики и подходы".
Какие бы вы дали советы команде? С чего начать (к каким материалам стоит обратиться), как понять нужен или не нужен нам Role engineering, чтобы в конце-концов выстроить грамотный процесс проектирования и поддержки подсистемы управления доступом?
