| Перейти к полной базе знаний Перейти к полному глоссарию | |
Управление доступом | |
Процесс, отвечающий за предоставление пользователям возможности использовать ИТ-услуги, данные или другие активы. Управление доступом помогает защищать конфиденциальность, целостность и доступность активов, обеспечивая, что только авторизованные пользователи могут получать доступ к активам или изменять их. Управление доступом иногда называют управлением правами или управлением идентификацией. | |
 | Оригинальный английский термин access management |
 | Подробности Управление доступом в ITSM — это организованный процесс предоставления, изменения и отзыва прав доступа к ИТ-услугам и связанным активам на протяжении жизненного цикла пользователя. На практике он обеспечивает, чтобы пользователь мог потреблять услугу в объёме, соответствующем его роли и служебной необходимости, а поставщик услуги мог демонстрировать контролируемость и соответствие требованиям. Чаще всего управление доступом работает как часть «цепочки» от запроса на обслуживание до фактического предоставления доступа: заявка инициируется пользователем или его руководителем, проходит согласования, затем выполняется техническое предоставление доступа (учётные записи, роли, группы, привилегии) и фиксируется как запись для последующего контроля и аудита. Процесс тесно связан с управлением информационной безопасностью и управлением сервисными конфигурациями: права должны соответствовать политике информационной безопасности, а сами доступы — быть привязаны к конкретным активам и услугам. В типичных организациях сюда входят сценарии «приём–перевод–увольнение», управление привилегированным доступом, регулярная проверка актуальности прав. Вне области этого термина обычно находятся разработка самих приложений и их модель данных, а также физический доступ в помещения и общая организация сетевой безопасности как таковой, хотя они могут использовать похожие принципы контроля. |
 | Нюансы Управление доступом часто ошибочно сводят к «выдаче паролей» или разовым действиям сервис-деска. На самом деле ключевой смысл — управляемая авторизация: кто, к каким ИТ-услугам и активам имеет доступ, с какими правами, на какой срок и на каком основании. Не стоит путать управление доступом с управлением информационной безопасностью: последнее определяет политику, требования конфиденциальности, целостности и доступности и общий контроль, а управление доступом реализует эти требования в операционной деятельности через конкретные предоставления и ограничения прав. Другая частая путаница — с управлением запросами на обслуживание: запрос на предоставление доступа обычно оформляется как запрос на обслуживание, но принятие решений о правах, их соответствие ролям, принципу наименьших привилегий и контроль «осиротевших» доступов относятся именно к управлению доступом. Также важно различать аутентификацию и доступ: многофакторная аутентификация помогает подтвердить личность, но не определяет, что именно разрешено делать. Типичные ловушки — общие учётные записи, отсутствие своевременного отзыва прав при увольнении, неограниченный по времени привилегированный доступ «для работы», а также отсутствие периодической ревалидации прав владельцами услуг. |
 | Примеры
|
 | Рекомендуемые продукты по этой теме |
Что такое управление доступом в ITIL и ITSM? Смотрите в глоссарии по управлению ИТ, входящим в бесплатную экспертную базу знаний по управлению ИТ от компании Cleverics. | |
