Портал №1 по управлению цифровыми
и информационными технологиями

Стороны согласования запросов по доступу

Видя, как устроены, и участвуя в процессах управления доступом в различных компаниях, я уже в который раз замечаю, что некоторые участники согласования, бывает, не понимают, по какой причине они включены в согласование, что именно даёт их согласование, какой цели служит. Природа не любит пустоты, но и излишеств тоже не терпит. Как может быть устроено согласование доступов, каков набор согласующих сторон? Давайте поразбираемся.

Предположим, что сотрудник подразделения запрашивает для себя доступ к какой-либо информационной системе. Также примем, что заранее описанных и утверждённых (предсогласованных) маршрутов получения разрешений для запросов на доступ в организации пока не имеется, они в процессе анализа / создания. Можно ли запустить подобный запрос сразу на исполнение с непосредственной выдачей доступов? Определённо, нет, поскольку при этом начинают затрагиваться интересы различных сторон, которые нужно обязательно учесть, получив их разрешение. Давайте выявим эти стороны.

Первый, кто приходит на ум – непосредственный руководитель сотрудника, запросившего себе доступ. Должен ли он знать, куда сотрудник хочет получить доступ? Да, поскольку сотрудник выполняет известные функциональные обязанности. Отклонения от них должны вызывать вопросы. Поэтому руководителю обычно поступает запрос от сотрудника с просьбой разрешить ему использовать то или иное приложение / информационный ресурс для выполнения таких-то и таких-то возложенных задач, а он уже принимает решение, разрешать ли доступ или нет, основываясь на знании профиля нагрузки своего сотрудника.

Приложение / информационный ресурс, к которому сотрудник запросил доступ, не может быть “бесхозным”, и у него должен быть “хозяин” или владелец, отвечающий за соответствие и высокую готовность ресурса к выполнению бизнес-целей, его работоспособность в связанных бизнес-процессах и соответствие внешним требованиям (регуляторы). Как правило, это руководитель бизнес-подразделения. Его интерес в том, чтобы сотрудник, запросивший доступ, не нарушил бы устойчивую работу информационного ресурса, не вызвал бы нарушение требований, наложенных регулятором (например, по раскрытию информации).

Визе владельца информационного ресурса может потребоваться подкрепление от технологических подразделений: администраторов приложений, администраторов ИТ-инфраструктуры, которые должны проверить запрос на техническую реализуемость. Например, сотрудник планирует запускать “тяжёлые” SQL-запросы или скрипты – тогда, не масштабируя приложения, его работу желательно организовать во внеурочное / ночное время. Либо отказать в организации подобного доступа.

Полномочия или роли в информационных ресурсах, которые запросил сотрудник, и которыми он уже обладает в организации, могут быть несовместимы между собой. Классический уже кейс: сотрудник, имея права на формирование записей о расходе в одной системе, запрашивает себе дополнительные на их подтверждение в другой. Принцип разделения обязанностей нарушен. Запрос необходимо своевременно заметить и отклонить. Поскольку информационных ресурсов много, то принятие решения находится уже не на уровне отдельного ресурса, а всего их множества в организации. И здесь, по моей практике, этим занимается внутренний контроль (служба, управление, департамент).

Венчает всю эту цепочку владелец процесса управления доступом – подразделение информационной безопасности. Оно контролирует исполнение отдельных фаз согласований и проверяет соответствие исходного запроса на доступ утверждённым политикам информационной безопасности организации.

В итоге, полная цепочка согласующих сторон может быть такой: руководитель – владелец ресурса – технический администратор – внутренний контроль (совместимость ролей) – информационная безопасность. При этом понятно, что её стараются сделать короче, где это возможно. Например, оставляя в согласующих только руководителя. Или создавая наборы типовых полномочий в информационных ресурсах, объединяемых затем в стандартные роли в разбивке по подразделениям организации, чтобы исполнение запросов на доступ выполнять в автоматическом режиме.

Комментариев: 3

  • Андрей другой

    Совершенно верное утверждение по поводу осмысленности выбора согласующих.
    В общем случае в процессе согласования должны быть получены ответы на следующие вопросы: Это действительно нужно для реализации бизнес функций? Это не противоречит политикам компании, в том числе и в области ИТ безопасности? Это может быть реализовано с технической точки зрения? Из это вытекают три согласующих:
    1. Первый согласующий – руководитель подразделения, в котором работает сотрудник, запросивший доступ. Почему он? -По тому, что именно он оценивает реальную необходимость доступа для реализации бизнес процессов, которыми он руководит. И еще один момент – он отвечает за бюджет. Хотя у нас во многих компаниях еще не принято раскидывать бюджеты по подразделениям, но это неизбежно в будущем. Поэтому именно руководитель решает, тратить ли ему свой бюджет на доступ или нет.
    2. Второй согласующий – руководитель ИТ подразделения., отвечающий за предоставление ИТ сервиса, к которому запрашивается доступ. Он оценивает реализуемость запроса – наличие требуемой инфраструктуры(сеть, рабочее место и т.д.), наличие ресурсов(свободные лицензии, свободные процессорные мощности и т.д.)
    3. Третий согласующий – сотрудник службы ИТ безопасности, который проверяет соответствие запрашиваемого доступа текущим политикам.
    Это общий случай. В частных случаях могут быть несколько согласующих от ИТ или службы эксплуатации, но общая логика такая. И последовательность тоже, поскольку нет смысла проверять реализуемость, если не подтверждена бизнес потребность. Нет смысла проверять соответствие ИТ безопасности, если запрос не может быть реализован.
    Часто в ситуациях с согласованием фигурирует персонаж под названием “владелец сервиса/ресурса/системы”. Лично для меня это так и остается темным местом. Владелец у них – это как правило подразделение, для которого создавалась система/сервис, те, кто в основном им пользуется. И мне вот не понятна логика, на основе которой владелец решает – давать доступ или нет. Если для доступа есть реальная бизнес необходимость, доступ реализуем и на противоречит правилам ИТ безопасности, то на каком основании владелец будет давать отказ? Вразумительного ответа я так пока и не получил. И еще одно наблюдение – у многих нет нормальной IM (Identity Management) системы с ведением ролей в привязки к доступам, но есть представители ИТ безопасности, которые участвуют в процессах согласованиями. На основе каких данных, какой информации они делают вводы – полная загадка.

    • Владелец ресурса, на мой взгляд, продолжает оставаться важной стороной согласования. И не всегда и не сразу её можно вывести “за скобки”, поскольку знание может не быть формализованным и, соответственно, выраженным в политиках. Решения могут приниматься в “ручном” режиме. Согласен, что постоянная работа в этом направлении снизит необходимость привлечения владельца ресурса к согласованиям.

      Представители ИБ, зачастую, берут на себя выполнение функций аналитиков бизнес-ролей. Т.е. они проверяют запрошенные доступы на совместимость на уровне всех участвующих в согласовании информационных ресурсов. Опыт, неформальное знание о ролях с точки зрения разделения обязанностей, кусочные внутренние регламенты/политики внутреннего контроля – вот их инструменты.

  • Алексей

    Все зависит от стандартности или нестандартности заявки на доступ. Если запрашивается доступ к информационной системе по стандартной роли, то владельца, технологов можно опустить из согласующих. стандартные функции, нагрузка описаны, согласованы при принятии системы в эксплуатацию. И ИТ можно пропустить: система в эксплуатации. Остаются только Руководитель заявителя и Безопасность. На это должны быть настроены стандартные шаблоны заявок и укороченные маршруты согласования. Если запрос не стандартный, то возможно ручное формирование маршрута согласования, когда каждый обязательный участник (Руководитель, ИТ, ИБ, Владелец) может привлекать дополнительных участников согласования по своему усмотрению.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM