Miért kellene a biztonsági szolgálat idm
Hogyan segítik az IdM rendszerek eszközeit az IB szolgáltatásban?
Az utóbbi időben gyorsan növekvő orosz IdM piacon még mindig nincs világos vélemény, hogy ki az IdM rendszerek: IT vagy IS számára. A gyakorlat azt mutatja, hogy a rendszer ügyfele információbiztonsági szolgáltatásként és az informatikai szolgáltatásként működik. És nincs nyilvánvaló előny az egyik irányba vagy a másikba. Ebben a cikkben megvizsgáljuk a probléma egyik aspektusát: milyen problémákkal küzdenek az alkalmazottak hozzáférési jogait az IS szolgáltatás a mindennapi munkájukban, és hogy az IdM eszközei segítenek megoldani őket.
Az IS-szolgáltatás első problémája a hozzáférés-szabályozási előírások betartásának elmulasztása. Az ilyen jellegű szabálysértésekre példa a személyzeti hatáskörök biztosítása megállapodás nélkül vagy a megállapított eljárással összhangban nem. Például egy alkalmazottat egy olyan személy koordinálhatja, aki nem formálisan vezetője: a nagyvállalatoknál nem mindig könnyű megállapítani. És csak egy incidens vizsgálata során lehet megállapítani, gyakran az aktív alkalmazottak hozzáférése is aktív marad. És előfordul, hogy ez a hozzáférés megmarad az ügyek átadásához, és a biztonsági szolgálat nem tud róla. Egyes vállalatoknál a probléma a külső alkalmazottak hozzáférése, amely időben nem vonható le. Például a vállalkozó hozzáférést kap a projekt időtartama alatt, amely még a megvalósítás után is aktív marad. Gyakran előfordul, hogy a szükséges eljárások végrehajtása napi rendszerré változik az IS szolgáltatáshoz, amely számos excel-fájl feldolgozásával jár együtt a munkavállalókkal és a számlákkal kapcsolatos adatokkal.
IdMak az automatizálási rendszer lehetővé teszi az IB szolgáltatás számára, hogy elérje az összes szükséges előírást. Az IdM-ben az alkalmazottak beléptetési folyamata automatizált: munkaerő-toborzás, munkahely-áthelyezés, további jogok kérése, gondozás, elbocsátás stb. A folyamatok teljesen automatikusak lehetnek, például megakadályozhatják a hozzáférést az elbocsátás során, és tartalmazhatják a tervezett megbékélési lépéseket, például további engedélyek igénylésekor. Ugyanakkor a rendszer a személyzeti rendszer vagy a speciális referenciakönyvek adatai alapján számítja ki, biztosítva a szabályzatban meghatározott eljárást.
Így a kérelmek átadják a szükséges engedélyezési eljárást, amelyet a hozzáférési időhöz időben kiadnak, az elbocsátott alkalmazottak hozzáférése automatikusan blokkolódik stb. A beléptetés a szabályzatoknak megfelelően teljesül.
A második probléma az első folytatása - ez a megfelelő ellenőrzési eljárások nagyfokú fáradságossága. Tehát az "elfelejtett" elszámolások és az összehangolt hatáskörök azonosítása érdekében teljes ellenőrzést kell végezni. Megtudhatja, hogy melyik fiókhoz tartozik, milyen hatásköröket rendel hozzá, és milyen alkalmazáshoz rendelik őket. De a nagyvállalatoknál annyi időbe telik, hogy az ellenőrzés befejeztével már itt az ideje, hogy újra elkezdjük, mert az adatok már nem relevánsak. Ezért gyakran ritkán és szelektíven hajtják végre, például csak bizonyos rendszerek esetében. És az információs rendszerekben "holt lelkek" és összehangolt hatalmak felhalmozódnak. Külön kérdés az, hogy a személyzet feleslegessé teszi a feleslegessé váló hatásköröket (és néha egymásnak ellentmondókat) az egységek közötti átutalás során. Valahol ez a folyamat szabályozott, valahol nem. De gyakran a fordítások nem tartoznak az IS szolgáltatás szempontjából, és ez egy bizonyos probléma. Az elbocsátott hozzáférési jogok csökkentése érdekében számos információbiztonsági szabvány előírja a vezetők hatáskörének rendszeres felülvizsgálatát. Bárki, aki valaha is próbálta ezt az eljárást speciális eszközökkel folytatni, tudja, mennyi időt és erőfeszítést igényel, és megpróbálja nem folytatni. Ezért az alkalmazottaknak gyakran több hatásköre van, mint amire valóban szükségük van.
Az IdM lehetővé teszi az IS szolgáltatás leegyszerűsítését ellenőrzési eljárások végrehajtásával. Az IdM például automatikusan észleli a következetlen engedélyeket. Ha sérülést észlel, a rendszer automatikusan fel tudja oldani, vagy erről értesíti az IB-szolgáltatást (vagy létrehoz egy alkalmazást) (természetesen egyáltalán nem tud reagálni rá). Az IdM automatizálja az alkalmazottak hozzáférési jogainak vezetők általi rendszeres felülvizsgálatának folyamatát. Mivel rendszerint az alkalmazottak alárendeltségéről és hozzáférési jogairól van információ, és a rendszer automatikusan létrehoz és hozzárendeli az alkalmazásokat, ez a folyamat meglehetősen gyors és fájdalommentes. Amikor az osztályok között mozog, az IdM lehetővé teszi, hogy újraértékelje az alkalmazottak hatáskörét. Ez vagy a hozzáférési jogok automatikus megváltoztatásával valósul meg a szerepmodell szerint, vagy a vezetők hozzáférésének felülvizsgálataként. Természetesen léteznek köztes lehetőségek, amikor például egy munkavállaló a minimális joghalmaz fölött minden hatóság átruházásakor. Természetesen az IdM-ben automatizálhatja és szabályozhatja a cég szabályzatait.
A gyakorlatban az úgynevezett megbékélési folyamat megvalósul, amikor az IdM automatikusan értesíti az IB szolgáltatást, amikor felismeri az illetéktelen hatóságokat, és létrehoz egy megfelelő döntési kérelmet. Az információbiztonsági szolgálat alkalmazottai gyorsan tájékoztatást kapnak a jogsértésekről, és lehetőségük van intézkedések megtételére: helyesbíteni vagy összeegyeztetni az illetéktelen változtatásokat. Ezt kiegészíti a megbékélési jelentés, amelyben láthatja a meg nem válaszolt hatóságok listáját a megadott időszakra vonatkozóan. Azoknál a vállalatoknál, amelyek a PCI DSS követelményei alá tartoznak, vagy megfelelő belső standardokkal rendelkeznek, automatizálják a kezelői hozzáférési jogok felülvizsgálatát. Ezt az eljárást évente egyszer vagy kétszer hajtják végre, amelyen belül minden vezetőnek ellenőriznie kell alkalmazottainak hozzáférési jogainak fontosságát. Az IdM-ben a vezetők speciális alkalmazástípusokat írnak be, ahol meg tudják jegyezni, mely jogok relevánsak, és melyeket lehet visszavonni. A szabványok követelményeinek teljesítése mellett ez az eljárás jelentősen csökkenti az alkalmazottakra vonatkozó felesleges hatáskörök számát. Fordítás munkahelyenként nagyon gyakran automatizált, de sok lehetőség van. A leggyakoribb megközelítés az, hogy az egységek közötti fordítás során a munkavállaló hozzáférési jogát az előző és az új vezetők felülvizsgálják. Ez lehetővé teszi, hogy az előző vezető mentesítse magát a felelősségtől, felidézve a munkavállaló kritikai jogosultságát és az új menedzsert - megfelelő felelősséget vállaljon egy új alárendeltséghez való hozzáférésért. Ezenkívül ez az eljárás csökkenti a munkavállalókra ruházott hatáskörök nem kívánatos kereszteződését.
Így az összes alapvető vezérlési eljárás automatizált, ezáltal csökkentve a jogsértések számát.
A harmadik probléma a szükséges információk hiánya. Először is ez hiányzik a teljes képet az információs rendszerekhez való hozzáférés jogáról. Gyakran nehéz gyorsan információt szerezni arról, hogy egy adott alkalmazott milyen hozzáféréssel rendelkezik, vagy ki férhet hozzá egy adott rendszerhez. Nagyon nehéz megérteni az alkalmazottak hozzáférési jogainak megváltoztatását annak érdekében, hogy megértsék, hogyan és milyen alapon változott az idő múlásával történő hozzáférés, és hogy miért van az a személy, akinek van hatásköre. Ha jelentős eseményekről számol be, akkor gyakorlatilag lehetetlen megmondani, hogy ki / hol rendelkezett az adott időpontban. És ez gyakran történik. Ezenkívül az IB szolgáltatás nem rendelkezhet olyan információkkal, mint az információs rendszerekhez hozzáféréssel rendelkező vállalkozók listája, a technológiai számlák listája a felelőskkel és így tovább. Ez megnehezíti az információbiztonsági szolgálat működését: bonyolítja az ellenőrzést, növeli az események vizsgálatának hosszát, és szükség esetén szükségtelenné teszi az operatív intézkedések elfogadását.
Az IdM biztosítja az IS szolgáltatást minden szükséges információval a munkavállalói hozzáférési jogok kezelésének folyamatáról. Az IdM-ben bármikor tud információt szerezni arról, hogy egy adott alkalmazott milyen hozzáféréssel rendelkezik, milyen szerepet rendel hozzá, milyen számlára és hatóságra van szüksége az információs rendszerekben. Megtudhatja, ki fér hozzá egy bizonyos információs rendszerhez, aki rendelkezik egy adott fiókkal. A rendszer történeti információkat nyújt arról, hogy mi történt a munkavállalók hozzáférési jogaival, akik kérte őket és koordinált hozzáférést. Ha meg kell vizsgálnia egy esetleges eseményt, akkor előfordulhat, hogy az IdM lehetővé teszi, hogy képet kapjon a munkavállalók hozzáférési jogairól egy adott időpontban a múltban. Ezenkívül az IdM-nek sok jelentése van minden alkalomra.
A gyakorlatban az IdM-et gyakran használják az alkalmazottak könyvtáraként, hogy megismerjék a kapcsolattartókat, vagy megtudják, ki a vezető. Gyakran megtekintik a munkavállalók jelenlegi hozzáférésének és a változás történetének adatait. Gyakran előfordul, hogy az alkalmazások jóváhagyásának történetére vonatkozó információk mind saját, mind pedig más alkalmazottak számára szükségesek. Bizonyos esetekben a munkavállalóknak a múltban meghatározott időpontra történő eléréséhez szükséges információkra van szükség. Ezenkívül szinte minden IB szolgáltatásra külön jelentést kell készíteni a hozzáférési jogok kezelési folyamatáról, amelyek a megvalósítási projektben az IdM-ben vannak beállítva.
Így az IdM biztosítja az információs biztonsági szolgálatot a munkavállalói hozzáférési jogok hatékony ellenőrzéséhez szükséges kimerítő információkkal.
Természetesen ezek nem minden olyan feladat, amelyet az IdM segít az IS szolgáltatás megoldásában. Vannak olyan eszközök is, amelyek az operatív hozzáférés blokkolását, az alkalmazások koordinációjának csökkentését, a SoD-konfliktusok ellenőrzését és még sok mást jelentenek.
Ebben a cikkben megvitattuk az IS szolgáltatás leggyakoribb problémáit a munkavállalók hozzáférési jogainak figyelemmel kísérésére az információs rendszerekben. Ezek a szabályok betartásának problémái, az ellenőrzési eljárások biztosítása és az incidensek nyomon követése és kivizsgálásához szükséges információk megszerzése. Az IdM osztály rendszerei gazdag eszközt biztosítanak az IS szolgáltatásnak, amely hatékonyan megoldja ezeket a problémákat, és teljes körű ellenőrzést biztosít a munkavállalók hozzáférési jogai iránt a vállalat információs rendszereire vonatkozóan.