Портал №1 по управлению цифровыми
и информационными технологиями

Стороны согласования запросов по доступу

Видя, как устроены, и участвуя в процессах управления доступом в различных компаниях, я уже в который раз замечаю, что некоторые участники согласования, бывает, не понимают, по какой причине они включены в согласование, что именно даёт их согласование, какой цели служит. Природа не любит пустоты, но и излишеств тоже не терпит. Как может быть устроено согласование доступов, каков набор согласующих сторон? Давайте поразбираемся.

Предположим, что сотрудник подразделения запрашивает для себя доступ к какой-либо информационной системе. Также примем, что заранее описанных и утверждённых (предсогласованных) маршрутов получения разрешений для запросов на доступ в организации пока не имеется, они в процессе анализа / создания. Можно ли запустить подобный запрос сразу на исполнение с непосредственной выдачей доступов? Определённо, нет, поскольку при этом начинают затрагиваться интересы различных сторон, которые нужно обязательно учесть, получив их разрешение. Давайте выявим эти стороны.

Первый, кто приходит на ум — непосредственный руководитель сотрудника, запросившего себе доступ. Должен ли он знать, куда сотрудник хочет получить доступ? Да, поскольку сотрудник выполняет известные функциональные обязанности. Отклонения от них должны вызывать вопросы. Поэтому руководителю обычно поступает запрос от сотрудника с просьбой разрешить ему использовать то или иное приложение / информационный ресурс для выполнения таких-то и таких-то возложенных задач, а он уже принимает решение, разрешать ли доступ или нет, основываясь на знании профиля нагрузки своего сотрудника.

Приложение / информационный ресурс, к которому сотрудник запросил доступ, не может быть «бесхозным», и у него должен быть «хозяин» или владелец, отвечающий за соответствие и высокую готовность ресурса к выполнению бизнес-целей, его работоспособность в связанных бизнес-процессах и соответствие внешним требованиям (регуляторы). Как правило, это руководитель бизнес-подразделения. Его интерес в том, чтобы сотрудник, запросивший доступ, не нарушил бы устойчивую работу информационного ресурса, не вызвал бы нарушение требований, наложенных регулятором (например, по раскрытию информации).

Визе владельца информационного ресурса может потребоваться подкрепление от технологических подразделений: администраторов приложений, администраторов ИТ-инфраструктуры, которые должны проверить запрос на техническую реализуемость. Например, сотрудник планирует запускать «тяжёлые» SQL-запросы или скрипты — тогда, не масштабируя приложения, его работу желательно организовать во внеурочное / ночное время. Либо отказать в организации подобного доступа.

Полномочия или роли в информационных ресурсах, которые запросил сотрудник, и которыми он уже обладает в организации, могут быть несовместимы между собой. Классический уже кейс: сотрудник, имея права на формирование записей о расходе в одной системе, запрашивает себе дополнительные на их подтверждение в другой. Принцип разделения обязанностей нарушен. Запрос необходимо своевременно заметить и отклонить. Поскольку информационных ресурсов много, то принятие решения находится уже не на уровне отдельного ресурса, а всего их множества в организации. И здесь, по моей практике, этим занимается внутренний контроль (служба, управление, департамент).

Венчает всю эту цепочку владелец процесса управления доступом — подразделение информационной безопасности. Оно контролирует исполнение отдельных фаз согласований и проверяет соответствие исходного запроса на доступ утверждённым политикам информационной безопасности организации.

В итоге, полная цепочка согласующих сторон может быть такой: руководитель — владелец ресурса — технический администратор — внутренний контроль (совместимость ролей) — информационная безопасность. При этом понятно, что её стараются сделать короче, где это возможно. Например, оставляя в согласующих только руководителя. Или создавая наборы типовых полномочий в информационных ресурсах, объединяемых затем в стандартные роли в разбивке по подразделениям организации, чтобы исполнение запросов на доступ выполнять в автоматическом режиме.

Учебные курсы и сертификация
специалистов по ИТ-менеджменту

Комментариев: 3

  • Андрей другой

    Совершенно верное утверждение по поводу осмысленности выбора согласующих.

    В общем случае в процессе согласования должны быть получены ответы на следующие вопросы: Это действительно нужно для реализации бизнес функций? Это не противоречит политикам компании, в том числе и в области ИТ безопасности? Это может быть реализовано с технической точки зрения? Из это вытекают три согласующих:

    1. Первый согласующий — руководитель подразделения, в котором работает сотрудник, запросивший доступ. Почему он? -По тому, что именно он оценивает реальную необходимость доступа для реализации бизнес процессов, которыми он руководит. И еще один момент — он отвечает за бюджет. Хотя у нас во многих компаниях еще не принято раскидывать бюджеты по подразделениям, но это неизбежно в будущем. Поэтому именно руководитель решает, тратить ли ему свой бюджет на доступ или нет.

    2. Второй согласующий — руководитель ИТ подразделения., отвечающий за предоставление ИТ сервиса, к которому запрашивается доступ. Он оценивает реализуемость запроса — наличие требуемой инфраструктуры(сеть, рабочее место и т.д.), наличие ресурсов(свободные лицензии, свободные процессорные мощности и т.д.)

    3. Третий согласующий — сотрудник службы ИТ безопасности, который проверяет соответствие запрашиваемого доступа текущим политикам.

    Это общий случай. В частных случаях могут быть несколько согласующих от ИТ или службы эксплуатации, но общая логика такая. И последовательность тоже, поскольку нет смысла проверять реализуемость, если не подтверждена бизнес потребность. Нет смысла проверять соответствие ИТ безопасности, если запрос не может быть реализован.

    Часто в ситуациях с согласованием фигурирует персонаж под названием «владелец сервиса/ресурса/системы». Лично для меня это так и остается темным местом. Владелец у них — это как правило подразделение, для которого создавалась система/сервис, те, кто в основном им пользуется. И мне вот не понятна логика, на основе которой владелец решает — давать доступ или нет. Если для доступа есть реальная бизнес необходимость, доступ реализуем и на противоречит правилам ИТ безопасности, то на каком основании владелец будет давать отказ? Вразумительного ответа я так пока и не получил. И еще одно наблюдение — у многих нет нормальной IM (Identity Management) системы с ведением ролей в привязки к доступам, но есть представители ИТ безопасности, которые участвуют в процессах согласованиями. На основе каких данных, какой информации они делают вводы — полная загадка.

    • Владелец ресурса, на мой взгляд, продолжает оставаться важной стороной согласования. И не всегда и не сразу её можно вывести «за скобки», поскольку знание может не быть формализованным и, соответственно, выраженным в политиках. Решения могут приниматься в «ручном» режиме. Согласен, что постоянная работа в этом направлении снизит необходимость привлечения владельца ресурса к согласованиям.

      Представители ИБ, зачастую, берут на себя выполнение функций аналитиков бизнес-ролей. Т.е. они проверяют запрошенные доступы на совместимость на уровне всех участвующих в согласовании информационных ресурсов. Опыт, неформальное знание о ролях с точки зрения разделения обязанностей, кусочные внутренние регламенты/политики внутреннего контроля — вот их инструменты.

  • Алексей

    Все зависит от стандартности или нестандартности заявки на доступ. Если запрашивается доступ к информационной системе по стандартной роли, то владельца, технологов можно опустить из согласующих. стандартные функции, нагрузка описаны, согласованы при принятии системы в эксплуатацию. И ИТ можно пропустить: система в эксплуатации. Остаются только Руководитель заявителя и Безопасность. На это должны быть настроены стандартные шаблоны заявок и укороченные маршруты согласования. Если запрос не стандартный, то возможно ручное формирование маршрута согласования, когда каждый обязательный участник (Руководитель, ИТ, ИБ, Владелец) может привлекать дополнительных участников согласования по своему усмотрению.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Метрики потока создания ценности
      Свой первый отчёт с данными о работе процесса в ИТ я сделал где-то в самом конце 90-х годов. Я тогда работал в поддержке, мне было важно понять как быстро мы выполняем заявки,
    • Я понял только то, что ничего не понял
      На тему услуг написано довольно много самых разных статей, т.к. оказание услуг – самый распространенный вид человеческой деятельности. Банковские услуги, гостиничные услуги, юридические услуги, логистические услуги; парикмахер, курьер, айтишник – все это деятельность в сфере услуг. Моя работа тоже относится к этой же сфере, поэтому не могу не поделиться своими наблюдениями, или, как говорится, поговорить о наболевшем.
    • DevOps-путешествие American Airlines
      Несколько лет назад компания American Airlines начала путешествие, которое первоначально было направлено на преобразование DevOps в ИТ, но в дальнейшем набирало обороты и переросло в преобразование доставки продуктов, охватывающее весь бизнес.
    • Чтение признаков: Паттерны диаграммы рассеяния (Lead Time Scatterplot)
      Научившись определять общие закономерности в диаграмме рассеяния времени цикла, вы сможете заметить проблемные области до того, как они разрастутся. Сегодня мы покажем вам, как распознать наиболее распространенные модели диаграммы рассеяния и объясним, что они означают для вашего проекта.
    • Проблемные зоны цифровой трансформации
      Управление на основе гибких методологий подразумевает наличие гибкой команды, занимающейся развитием цифрового продукта. Однако, такие команды не возникают сами собой, их
    • Чтение знаков: Паттерны Канбан CFD
      Чтобы улучшить рабочие процессы, сначала нужно понять, как определить проблемные области. Метод Канбан использует визуальные методы для оценки ваших процессов. Диаграмма совокупных потоков Канбан является особенно мощным инструментом. На них фиксируется количество задач в каждом состоянии процесса через регулярные промежутки времени, как правило, ежедневно или еженедельно.
    • Краткое руководство по DevOps для не ИТ-руководителя бизнеса
      Тщательно продумайте, как выглядит успех. В цифровом мире это скорость, гибкость, контроль и оперативность, а не составление планов и следование им. Именно эти новые ИТ-практики принесут вам эти преимущества. Они уже принесли их многим другим предприятиям, которые встали на этот путь и, в некоторых случаях, разрушили отрасли.
    • 8 тенденций развития IT Service Desk в 2022 году
      Корпоративная служба поддержки ИТ в настоящее время находится в «идеальном шторме» для изменений или, точнее, в «идеальном шторме» для необходимости изменений. Случилось так
    • 6 худших вещей, которые продакт-менеджеры говорят инженерам
      Каждый хороший продакт-менеджер — полиглот. Он говорит на нескольких языках. Конечно, вы можете не говорить бегло на французском, итальянском или мандаринском. Но вы
    • На какой курс пойти, чтобы узнать про практику Х?
      Этот вопрос вы, наши слушатели, задаёте довольно часто. К тому же появились новые курсы категории VAP. Так что было бы удобно иметь под рукой справочник. Ну что же, вот оно:
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT