Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Новые экзамены
по ITSM
Реестр ESM- и ITSM-систем в России 2024

Управление доступом и IDM

Управление доступом и учётными записями.
Identity and access management

Agile RBAC?

Когда мы слышим или употребляем выражение RBAC (Role-Based Access Control, ролевая модель управления доступом), какой смысл мы вкладываем в него в первую очередь? Конечно, использование ролей. Это центральный элемент данной модели управления доступом. Как показывает практика, модель, действительно, хороша. Используется сейчас очень широко, по большей части заменяя альтернативные модели – DAC (Discretionary Access Control, избирательное управление доступом), MAC (Mandatory Access Control, мандатное управление доступом). Про достоинства RBAC мы немало рассказывали на конференциях, на наших вебинарах, в заметках на портале. При всех своих преимуществах, удобстве и плюсах использования RBAC критически зависит от важной аналитической работы – проектирования или формирования ролей. Что…

Актуализация бизнес-ролей

Ролевой подход широко используется в управлении доступом. В его основе находится RBAC, или ролевая модель, обладающая многими существенными преимуществами по сравнению с другими традиционными моделями (MAC, DAC). Так, например, в мандатной (MAC) модели предполагается, что у пользователя есть мандат или допуск к определённому классу информации. Сами информационные ресурсы в этой модели классифицируются и также разделяются по уровням допуска. Грифы секретности: “особой важности”, “совершенно секретные”, “секретные” – это примеры использования данной модели. Модель довольно простая, но ей не хватает гибкости: представьте, что все информационные ресурсы одного уровня допуска доступны всем пользователям с соответствующим мандатом. Увеличивать количество классов – это снижение простоты,…

Стороны согласования запросов по доступу

Видя, как устроены, и участвуя в процессах управления доступом в различных компаниях, я уже в который раз замечаю, что некоторые участники согласования, бывает, не понимают, по какой причине они включены в согласование, что именно даёт их согласование, какой цели служит. Природа не любит пустоты, но и излишеств тоже не терпит. Как может быть устроено согласование доступов, каков набор согласующих сторон? Давайте поразбираемся. Предположим, что сотрудник подразделения запрашивает для себя доступ к какой-либо информационной системе. Также примем, что заранее описанных и утверждённых (предсогласованных) маршрутов получения разрешений для запросов на доступ в организации пока не имеется, они в процессе анализа / создания….

Как построить управление доступом “изнутри”?

На прошедшем в прошлый четверг вебинаре про управление запросами и управление доступом один из слушателей задал мне вопрос – а как организовать управление доступом в компании. С чего начать? В каком направлении двигаться? Попробую рассказать, как бы я поступал, находясь "внутри" компании. Итак, я штатный сотрудник организации. Руководство поставило передо мной задачу организации процесса управления доступом. Что делать, к чему приступать в первую очередь? Я бы для начала уточнил, а что сейчас, при текущей организации процесса (а он явно существует, поскольку в организации есть информационные ресурсы, права доступа к ним выдаются и отзываются), не устраивает в процессе. Собрал бы замечания…

Открыта регистрация участников весеннего сезона CleverTALK

2 марта начнется весенний сезон CleverTALK, бесплатных вебинаров по управлению ИТ. Программа 12-го сезона: 2 марта. Управление запросами и управление доступом: что общего и в чём разница? Ведущий Денис Денисов. Регистрация 23 марта. Сервисная экономика. Калькуляция себестоимости услуг. Ведущий Андрей Труфанов. Регистрация 13 апреля. Что такое Ops в DevOps? Ведущий Олег Скрынник. Регистрация 27 апреля. ITSM за рамками ИТ – что скрывает Enterprise Service Management. Ведущие Мария Алёхина и Елена Шушковская. Регистрация 1 июня. Управление ИТ: каким оно будет завтра? Предсказываем будущее совместно с AXELOS. Беседа с Романом Журавлёвым, менеджером по развитию ITSM-продуктов, AXELOS Ведущий Олег Скрынник. Регистрация Регистрация открыта на…

ИБ: Владение информационным ресурсом

Дорогие друзья и коллеги! Проект над которым я начал работать ещё в прошлом году и продолжаю работать в настоящее время связан с автоматизацией некоторых процессов информационной безопасности. В частности, автоматизации подлежит управление реестром информационных ресурсов подлежащих защите, формализация процедур по их классификации по уровням конфиденциальности, целостности, доступности и непрерывности, определение ответственных лиц, осуществляющих полномочия владения, процедуры выдачи и отзыва прав пользователей ресурса, процедуры периодического аудита журналов событий. Основной информацией, вокруг которой исполняются все вышеуказанные процедуры, является реестр объектов, обрабатывающих чувствительную информацию: это могут быть информационные системы с их модулями, бизнес-процессами и ролями, ресурсы общего пользования. Для каждого такого объекта определяется его владелец, обязанностью которого является защита информации хранимой…

Что сложного в управлении доступом?

Вопрос, вынесенный в заголовок, я мог бы задать и по-другому – а что, собственно, простого в управлении доступом? Как в том известном выражении про описание стакана оптимистом и пессимистом при одном и том же уровне воды в нём. Действительно, давайте посмотрим на управление доступом с этих полярных точек зрения. Ведь истина где-то посередине. Пусть они будут эдакими Сциллой и Харибдой, а я постараюсь сыграть роль Одиссея, пытающегося лавировать между ними. Начнём с первой: "управление доступом – это просто, ничего сложного в нём нет". Я полагаю, что среди приверженцев этой точки зрения есть как условные немногочисленные "гуру", давно постигшие дзэн, и…

Вопрос из зала: управление доступом – как к нему подойти

В редакцию портала Real ITSM поступил вопрос:  Добрый день! Вопрос касается области управления доступом (access control, rbac). Кто-нибудь может порекомендовать материалы: статьи, книжки, в которых описываются методологии, подходы к сбору и анализу требований по управлению доступом в процессе разработки функционала системы? В частности меня интересует какие артефакты — формы, отчеты, диаграммы имеются для формализации и фиксации правил доступа в контексте некоторой бизнес функции.  Предыстория вопроса: наш проект начинался с небольшого набора функционала для которого достаточно было 5-6 ролей. С течением времени проект разрастался и новый функционал требовал более тонкой настройки прав доступа. У команды на данный момент нет опыта работы с такими методологиями, как, например, Role engineering (top-down, bottom-up, Hybrid),…

Вопрос из зала: реализация стандарта управления доступом RBAC Policy Enhanced

Станислав задаёт вопрос по реализации стандарта управления доступом INCITS 494-2012: Добрый день! Не подскажете, на текущий момент известны какие-нибудь реализации стандарта INCITS 494-2012 (Role Based Access Control Policy Enhanced), или подходы к реализации, поддержка в фреймворках? Интересует именно реализация динамических ограничений (в частности, на основе атрибутов). Или может быть кто-то подскажет другое решение? Для нашего проекта — это насущный вопрос, поскольку новые требования расширяют настройку доступа пользователя к операциям. У нас в проекте используется классический RBAC (без расширений). Небольшой пример ролей и привилегий из нашего проекта "Роль{permission1, …}": * Врач{чтение_своих_пациентов} * Гл.Врач{чтение_своих_пациентов, чтение_пациентов_в_своей_организации} * Статистик{чтение_отчет_#1_по_своим_пациентам} * Гл. статистик{чтение_отчет_#1_по_пациентам_в_своей_организации} Динамически добавляемые…

Упрощение процесса приёма нового сотрудника с помощью IDM

Все мы знаем, что при приёме нового сотрудника ему необходимо предоставить доступ ко всем приложениям, директориям, файлам, базам данных и т.д., которые нужны для работы. Также нужно выдать сотруднику пропуск в здание, парковочный талон или электронный ключ доступа. Обычно все эти процедуры выполняются вручную и занимают достаточно много времени, в это время новый сотрудник вынужден просиживать без дела. IDM решения позволяют упростить или автоматизировать большую часть таких рутинных операций. Начать нужно с анализа существующего процесса приёма нового сотрудника: Необходимо полностью описать процесс приёма нового сотрудника. Пересмотреть и актуализировать все этапы передачи информации между заинтересованными сторонами (Отдел подбора персонала, Отдел кадров, ИТ,…

Десятый сезон вебинаров CleverTALK

Началась регистрация участников бесплатных вебинаров по управлению ИТ CleverTALK. Вебинары пройдут с 25 февраля по 2 июня. В десятом сезоне в программе: Внедрение управления ИТ-активами (ITAM) – корабль и подводные камни Процесс управления работами: помощник другим процессам или лишнее звено? Создание ролевых моделей доступа Почему ITIL не работает? Трудности восприятия и применения Модели изменений: теория, подходы и ограничения Изучаем ITIL: управление спросом PRINCE2 Agile – что даёт управлению проектами интеграция Agile и PRINCE2 Ведущие вебинаров – тренеры и консультанты Cleverics: Денис Денисов, Александр Омельченко, Павел Дёмин, Андрей Труфанов, Артём Мукосеев, Игорь Гутник, Елена Колбей. Первый вебинар, который пройдёт 25 февраля, проведёт независимый эксперт…

 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM