Управление доступом и учётными записями.
Identity and access management
В своей ITSM практике мы часто сталкиваемся с мнением о том, что управление запросами и управление доступом очень похожи. Так ли это? В этом нам поможет разобраться вебинар “Управление запросами и управление доступом: что общего и в чем разница?”
Когда мы слышим или употребляем выражение RBAC (Role-Based Access Control, ролевая модель управления доступом), какой смысл мы вкладываем в него в первую очередь? Конечно, использование ролей. Это центральный элемент данной модели управления доступом. Как показывает практика, модель, действительно, хороша. Используется сейчас очень широко, по большей части заменяя альтернативные модели – DAC (Discretionary Access Control, избирательное управление доступом), MAC (Mandatory Access Control, мандатное управление доступом). Про достоинства RBAC мы немало рассказывали на конференциях, на наших вебинарах, в заметках на портале. При всех своих преимуществах, удобстве и плюсах использования RBAC критически зависит от важной аналитической работы – проектирования или формирования ролей. Что…
Ролевой подход широко используется в управлении доступом. В его основе находится RBAC, или ролевая модель, обладающая многими существенными преимуществами по сравнению с другими традиционными моделями (MAC, DAC). Так, например, в мандатной (MAC) модели предполагается, что у пользователя есть мандат или допуск к определённому классу информации. Сами информационные ресурсы в этой модели классифицируются и также разделяются по уровням допуска. Грифы секретности: “особой важности”, “совершенно секретные”, “секретные” – это примеры использования данной модели. Модель довольно простая, но ей не хватает гибкости: представьте, что все информационные ресурсы одного уровня допуска доступны всем пользователям с соответствующим мандатом. Увеличивать количество классов – это снижение простоты,…
Видя, как устроены, и участвуя в процессах управления доступом в различных компаниях, я уже в который раз замечаю, что некоторые участники согласования, бывает, не понимают, по какой причине они включены в согласование, что именно даёт их согласование, какой цели служит. Природа не любит пустоты, но и излишеств тоже не терпит. Как может быть устроено согласование доступов, каков набор согласующих сторон? Давайте поразбираемся. Предположим, что сотрудник подразделения запрашивает для себя доступ к какой-либо информационной системе. Также примем, что заранее описанных и утверждённых (предсогласованных) маршрутов получения разрешений для запросов на доступ в организации пока не имеется, они в процессе анализа / создания….
На прошедшем в прошлый четверг вебинаре про управление запросами и управление доступом один из слушателей задал мне вопрос – а как организовать управление доступом в компании. С чего начать? В каком направлении двигаться? Попробую рассказать, как бы я поступал, находясь "внутри" компании. Итак, я штатный сотрудник организации. Руководство поставило передо мной задачу организации процесса управления доступом. Что делать, к чему приступать в первую очередь? Я бы для начала уточнил, а что сейчас, при текущей организации процесса (а он явно существует, поскольку в организации есть информационные ресурсы, права доступа к ним выдаются и отзываются), не устраивает в процессе. Собрал бы замечания…
2 марта начнется весенний сезон CleverTALK, бесплатных вебинаров по управлению ИТ. Программа 12-го сезона: 2 марта. Управление запросами и управление доступом: что общего и в чём разница? Ведущий Денис Денисов. Регистрация 23 марта. Сервисная экономика. Калькуляция себестоимости услуг. Ведущий Андрей Труфанов. Регистрация 13 апреля. Что такое Ops в DevOps? Ведущий Олег Скрынник. Регистрация 27 апреля. ITSM за рамками ИТ – что скрывает Enterprise Service Management. Ведущие Мария Алёхина и Елена Шушковская. Регистрация 1 июня. Управление ИТ: каким оно будет завтра? Предсказываем будущее совместно с AXELOS. Беседа с Романом Журавлёвым, менеджером по развитию ITSM-продуктов, AXELOS Ведущий Олег Скрынник. Регистрация Регистрация открыта на…
Дорогие друзья и коллеги! Проект над которым я начал работать ещё в прошлом году и продолжаю работать в настоящее время связан с автоматизацией некоторых процессов информационной безопасности. В частности, автоматизации подлежит управление реестром информационных ресурсов подлежащих защите, формализация процедур по их классификации по уровням конфиденциальности, целостности, доступности и непрерывности, определение ответственных лиц, осуществляющих полномочия владения, процедуры выдачи и отзыва прав пользователей ресурса, процедуры периодического аудита журналов событий. Основной информацией, вокруг которой исполняются все вышеуказанные процедуры, является реестр объектов, обрабатывающих чувствительную информацию: это могут быть информационные системы с их модулями, бизнес-процессами и ролями, ресурсы общего пользования. Для каждого такого объекта определяется его владелец, обязанностью которого является защита информации хранимой…
Вопрос, вынесенный в заголовок, я мог бы задать и по-другому – а что, собственно, простого в управлении доступом? Как в том известном выражении про описание стакана оптимистом и пессимистом при одном и том же уровне воды в нём. Действительно, давайте посмотрим на управление доступом с этих полярных точек зрения. Ведь истина где-то посередине. Пусть они будут эдакими Сциллой и Харибдой, а я постараюсь сыграть роль Одиссея, пытающегося лавировать между ними. Начнём с первой: "управление доступом – это просто, ничего сложного в нём нет". Я полагаю, что среди приверженцев этой точки зрения есть как условные немногочисленные "гуру", давно постигшие дзэн, и…
В редакцию портала Real ITSM поступил вопрос: Добрый день! Вопрос касается области управления доступом (access control, rbac). Кто-нибудь может порекомендовать материалы: статьи, книжки, в которых описываются методологии, подходы к сбору и анализу требований по управлению доступом в процессе разработки функционала системы? В частности меня интересует какие артефакты — формы, отчеты, диаграммы имеются для формализации и фиксации правил доступа в контексте некоторой бизнес функции. Предыстория вопроса: наш проект начинался с небольшого набора функционала для которого достаточно было 5-6 ролей. С течением времени проект разрастался и новый функционал требовал более тонкой настройки прав доступа. У команды на данный момент нет опыта работы с такими методологиями, как, например, Role engineering (top-down, bottom-up, Hybrid),…
Станислав задаёт вопрос по реализации стандарта управления доступом INCITS 494-2012: Добрый день! Не подскажете, на текущий момент известны какие-нибудь реализации стандарта INCITS 494-2012 (Role Based Access Control Policy Enhanced), или подходы к реализации, поддержка в фреймворках? Интересует именно реализация динамических ограничений (в частности, на основе атрибутов). Или может быть кто-то подскажет другое решение? Для нашего проекта — это насущный вопрос, поскольку новые требования расширяют настройку доступа пользователя к операциям. У нас в проекте используется классический RBAC (без расширений). Небольшой пример ролей и привилегий из нашего проекта "Роль{permission1, …}": * Врач{чтение_своих_пациентов} * Гл.Врач{чтение_своих_пациентов, чтение_пациентов_в_своей_организации} * Статистик{чтение_отчет_#1_по_своим_пациентам} * Гл. статистик{чтение_отчет_#1_по_пациентам_в_своей_организации} Динамически добавляемые…
Все мы знаем, что при приёме нового сотрудника ему необходимо предоставить доступ ко всем приложениям, директориям, файлам, базам данных и т.д., которые нужны для работы. Также нужно выдать сотруднику пропуск в здание, парковочный талон или электронный ключ доступа. Обычно все эти процедуры выполняются вручную и занимают достаточно много времени, в это время новый сотрудник вынужден просиживать без дела. IDM решения позволяют упростить или автоматизировать большую часть таких рутинных операций. Начать нужно с анализа существующего процесса приёма нового сотрудника: Необходимо полностью описать процесс приёма нового сотрудника. Пересмотреть и актуализировать все этапы передачи информации между заинтересованными сторонами (Отдел подбора персонала, Отдел кадров, ИТ,…