Портал №1 по управлению цифровыми
и информационными технологиями

Определение ролей для IDM. Два подхода

Опубликовано 4 февраля 2016
Рубрики: Аудит, Процессы, Технологии, автоматизация, ПО для ITSM, Управление доступом и IDM
Комментарии

Внедрение ролевого управления доступом может принести много пользы, если определять роли правильно. rbac-263x300Ролевая модель доступа позволяет предоставлять и ограничивать доступ как сотрудникам компании, так и контрактникам, аудиторам и другим временным пользователям, даже клиентам. Применение ролей в IDM системе позволяет упростить аудит и отчетность. Основная трудность при использовании ролей – правильно их определить.

Для решения этой проблемы были придуманы два подхода: первый – определение ролей сверху вниз, второй – опредление ролей снизу вверх. Использовать их необходимо последовательно.

Первый метод заключается в определении ролей совместно с владельцами систем и непосредственными руководителями сотрудников. Сначала необходимо встретиться с владельцем системы, чтобы понять, как предоставляется доступ, и кто какой доступ должен получать. На этом этапе будет ясно какие группы прав доступа уже можно выделить в роли, каким образом доступ предоставляется, есть в системе шаблоны прав или свои внутренние роли и т.д. После этого необходимо переговорить с руководителями подразделений для определения набора прав уже со стороны пользователей, какие наборы прав нужны на каких должностях для выполнения своих обязанностей. На данном этапе можно отсеять "лишние" доступы которые накопились у сотрудников, что поможет в дальнейшем при сборе ролей специальными утилитами. Так же здесь мы уже можем определить общие минимальные наборы прав для конкретных подразделений, например, роль Кассир.

Второй метод – снизу вверх, используется для определения конкретных ролей на уровне систем и дробления общих ролей на более мелкие, например, Кассир-контролер и Кассир. На этом этапе желательно пользоваться утилитами анализа данных и сбора ролей (Role mining tools). Вывод от анализа будет гораздо "чище" и более приближен к реальной ситуации функциональных ролей сотрудников, поскольку на первом этапе мы почистили лишние достпы пользователей. После получения ролей их необходимо будет проанализировать с владельцами систем и руководителями, для утверждения. Затем эти роли можно настраивать в IDM системе.

Используя два эти подхода при построении ролей, значительно уменьшается ручная работа по анализу данных от утилит построения ролей, полученные роли будут максимально актуальны, снизятся риски информационной безопасности, поскольку мы устранили "лишние" доступы.

Также по теме:

Реестр ESM- и ITSM-систем в России 2024
Из чего выбирать и на что мигрировать

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику конфиденциальности и Согласие на обработку персональных данных.
;