Портал №1 по управлению цифровыми
и информационными технологиями

Стороны согласования запросов по доступу

Видя, как устроены, и участвуя в процессах управления доступом в различных компаниях, я уже в который раз замечаю, что некоторые участники согласования, бывает, не понимают, по какой причине они включены в согласование, что именно даёт их согласование, какой цели служит. Природа не любит пустоты, но и излишеств тоже не терпит. Как может быть устроено согласование доступов, каков набор согласующих сторон? Давайте поразбираемся.

Предположим, что сотрудник подразделения запрашивает для себя доступ к какой-либо информационной системе. Также примем, что заранее описанных и утверждённых (предсогласованных) маршрутов получения разрешений для запросов на доступ в организации пока не имеется, они в процессе анализа / создания. Можно ли запустить подобный запрос сразу на исполнение с непосредственной выдачей доступов? Определённо, нет, поскольку при этом начинают затрагиваться интересы различных сторон, которые нужно обязательно учесть, получив их разрешение. Давайте выявим эти стороны.

Первый, кто приходит на ум — непосредственный руководитель сотрудника, запросившего себе доступ. Должен ли он знать, куда сотрудник хочет получить доступ? Да, поскольку сотрудник выполняет известные функциональные обязанности. Отклонения от них должны вызывать вопросы. Поэтому руководителю обычно поступает запрос от сотрудника с просьбой разрешить ему использовать то или иное приложение / информационный ресурс для выполнения таких-то и таких-то возложенных задач, а он уже принимает решение, разрешать ли доступ или нет, основываясь на знании профиля нагрузки своего сотрудника.

Приложение / информационный ресурс, к которому сотрудник запросил доступ, не может быть «бесхозным», и у него должен быть «хозяин» или владелец, отвечающий за соответствие и высокую готовность ресурса к выполнению бизнес-целей, его работоспособность в связанных бизнес-процессах и соответствие внешним требованиям (регуляторы). Как правило, это руководитель бизнес-подразделения. Его интерес в том, чтобы сотрудник, запросивший доступ, не нарушил бы устойчивую работу информационного ресурса, не вызвал бы нарушение требований, наложенных регулятором (например, по раскрытию информации).

Визе владельца информационного ресурса может потребоваться подкрепление от технологических подразделений: администраторов приложений, администраторов ИТ-инфраструктуры, которые должны проверить запрос на техническую реализуемость. Например, сотрудник планирует запускать «тяжёлые» SQL-запросы или скрипты — тогда, не масштабируя приложения, его работу желательно организовать во внеурочное / ночное время. Либо отказать в организации подобного доступа.

Полномочия или роли в информационных ресурсах, которые запросил сотрудник, и которыми он уже обладает в организации, могут быть несовместимы между собой. Классический уже кейс: сотрудник, имея права на формирование записей о расходе в одной системе, запрашивает себе дополнительные на их подтверждение в другой. Принцип разделения обязанностей нарушен. Запрос необходимо своевременно заметить и отклонить. Поскольку информационных ресурсов много, то принятие решения находится уже не на уровне отдельного ресурса, а всего их множества в организации. И здесь, по моей практике, этим занимается внутренний контроль (служба, управление, департамент).

Венчает всю эту цепочку владелец процесса управления доступом — подразделение информационной безопасности. Оно контролирует исполнение отдельных фаз согласований и проверяет соответствие исходного запроса на доступ утверждённым политикам информационной безопасности организации.

В итоге, полная цепочка согласующих сторон может быть такой: руководитель — владелец ресурса — технический администратор — внутренний контроль (совместимость ролей) — информационная безопасность. При этом понятно, что её стараются сделать короче, где это возможно. Например, оставляя в согласующих только руководителя. Или создавая наборы типовых полномочий в информационных ресурсах, объединяемых затем в стандартные роли в разбивке по подразделениям организации, чтобы исполнение запросов на доступ выполнять в автоматическом режиме.

Учебные курсы и сертификация
специалистов по ИТ-менеджменту

Комментариев: 3

  • Андрей другой

    Совершенно верное утверждение по поводу осмысленности выбора согласующих.

    В общем случае в процессе согласования должны быть получены ответы на следующие вопросы: Это действительно нужно для реализации бизнес функций? Это не противоречит политикам компании, в том числе и в области ИТ безопасности? Это может быть реализовано с технической точки зрения? Из это вытекают три согласующих:

    1. Первый согласующий — руководитель подразделения, в котором работает сотрудник, запросивший доступ. Почему он? -По тому, что именно он оценивает реальную необходимость доступа для реализации бизнес процессов, которыми он руководит. И еще один момент — он отвечает за бюджет. Хотя у нас во многих компаниях еще не принято раскидывать бюджеты по подразделениям, но это неизбежно в будущем. Поэтому именно руководитель решает, тратить ли ему свой бюджет на доступ или нет.

    2. Второй согласующий — руководитель ИТ подразделения., отвечающий за предоставление ИТ сервиса, к которому запрашивается доступ. Он оценивает реализуемость запроса — наличие требуемой инфраструктуры(сеть, рабочее место и т.д.), наличие ресурсов(свободные лицензии, свободные процессорные мощности и т.д.)

    3. Третий согласующий — сотрудник службы ИТ безопасности, который проверяет соответствие запрашиваемого доступа текущим политикам.

    Это общий случай. В частных случаях могут быть несколько согласующих от ИТ или службы эксплуатации, но общая логика такая. И последовательность тоже, поскольку нет смысла проверять реализуемость, если не подтверждена бизнес потребность. Нет смысла проверять соответствие ИТ безопасности, если запрос не может быть реализован.

    Часто в ситуациях с согласованием фигурирует персонаж под названием «владелец сервиса/ресурса/системы». Лично для меня это так и остается темным местом. Владелец у них — это как правило подразделение, для которого создавалась система/сервис, те, кто в основном им пользуется. И мне вот не понятна логика, на основе которой владелец решает — давать доступ или нет. Если для доступа есть реальная бизнес необходимость, доступ реализуем и на противоречит правилам ИТ безопасности, то на каком основании владелец будет давать отказ? Вразумительного ответа я так пока и не получил. И еще одно наблюдение — у многих нет нормальной IM (Identity Management) системы с ведением ролей в привязки к доступам, но есть представители ИТ безопасности, которые участвуют в процессах согласованиями. На основе каких данных, какой информации они делают вводы — полная загадка.

    • Владелец ресурса, на мой взгляд, продолжает оставаться важной стороной согласования. И не всегда и не сразу её можно вывести «за скобки», поскольку знание может не быть формализованным и, соответственно, выраженным в политиках. Решения могут приниматься в «ручном» режиме. Согласен, что постоянная работа в этом направлении снизит необходимость привлечения владельца ресурса к согласованиям.

      Представители ИБ, зачастую, берут на себя выполнение функций аналитиков бизнес-ролей. Т.е. они проверяют запрошенные доступы на совместимость на уровне всех участвующих в согласовании информационных ресурсов. Опыт, неформальное знание о ролях с точки зрения разделения обязанностей, кусочные внутренние регламенты/политики внутреннего контроля — вот их инструменты.

  • Алексей

    Все зависит от стандартности или нестандартности заявки на доступ. Если запрашивается доступ к информационной системе по стандартной роли, то владельца, технологов можно опустить из согласующих. стандартные функции, нагрузка описаны, согласованы при принятии системы в эксплуатацию. И ИТ можно пропустить: система в эксплуатации. Остаются только Руководитель заявителя и Безопасность. На это должны быть настроены стандартные шаблоны заявок и укороченные маршруты согласования. Если запрос не стандартный, то возможно ручное формирование маршрута согласования, когда каждый обязательный участник (Руководитель, ИТ, ИБ, Владелец) может привлекать дополнительных участников согласования по своему усмотрению.


Добавить комментарий

Ваш адрес email не будет опубликован.

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Внедрение ИИ для вашей службы поддержкиВнедрение ИИ для вашей службы поддержки
      Но что на самом деле означает внедрение ИИ для возможностей ITSM вашей организации, особенно для службы технической поддержки?
    • Бесплатная конференция IT-Entrance для тех, кто хочет стать айтишниками
        28 мая в Минске пройдет бесплатная 11-я международная конференция IT-Entrance. Это мероприятие для тех, кто хочет попасть в IT, для начинающих IT-специалистов уровня junior с
    • ITIL 4 Specialist: High-velocity IT. Что внутри?
      В дополнение к уже опубликованным обзорам курсов по направлению Managing Professional (MP) сертификационной линейки ITIL4, сегодня мы рассмотрим еще один модуль – ITIL 4 Specialist: High-velocity IT (HVIT).
    • Весення уборка в бэклоге продукта: порядок за четыре шага!
      Каждая команда, которая ведёт разработку ПО в соответствии с практиками Agile, имеет бэклог продукта или по крайней мере думает, что он у неё есть. Кажется, что это очень простой инструмент, но на практике я регулярно сталкиваюсь с неумением им пользоваться для планирования работы разработчиков. Давайте попробуем разобраться, для чего нужен бэклог продукта и как извлечь из него максимум пользы. 
    • Warranty и Utility в ITIL4
      У услуг, которыми мы управляем в рамках Service есть две основные характеристики: гарантия — Warranty и Utility — полезность. Эти характеристики нужны нам, чтобы определить, будет ли услуга способствовать достижению результатов, которые нужны пользователю, а как следствие — создавать для них ценность.
    • Шесть практик для лучшего взаимодействия бизнеса и ИТ
      Хотели бы вы, чтобы руководители предприятий и ИТ могли лучше работать вместе, совместно работать над проектами и в полной мере обмениваться информацией? Если вы похожи на большинство ИТ-руководителей, ответ — да. Преимущества эффективного сотрудничества между бизнесом и ИТ включают в себя специальные проекты, которые лучше соответствуют бизнес-целям, улучшенное управление изменениями и более активное участие в новых инициативах.
    • Используйте технологии для повышения эффективности рабочего процесса вашей ИТ-команды
      Эффективное рабочее место создает, так сказать, хорошо смазанную машину, повышая итоговую прибыль и, как следствие, успех вашего бизнеса. Дополнительное время на работе не всегда означает большее достижение. Важно то, что вы делаете с тем временем, которое у вас есть, а это все об эффективности рабочего процесса.
    • Хранение данных и «внутренний хомяк»
      Хранение информации, которая больше не пригодится, сопряжено со огромным количеством рисков. Иллюстрация этому — череда сливов персональных данных пользователей крупных сервисов, которую мы могли наблюдать с января по март. Кажется, что предприятиям нужны правила, когда и как избавляться от данных.
    • Action BiasAction Bias — известная ловушка, в которую мы всё равно постоянно попадаем
      Action Bias: склонность к реагированию и действию, даже если это не приведёт к положительным результатам. «Делать хоть что-то» создаёт иллюзию загрузки ресурсов полезной работой.
    • бэклог27 антипаттернов бэклога продукта
      Эта статья показывает 27 распространённых антипаттернов продуктового бэклога, включая процесс уточнения бэклога продукта, ограничивающих успех вашей Скрам-команды.
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT