Эволюция системы управления полномочиями

Информация о правах доступа пользователей непрерывно изменяется. В относительно небольших организациях несложно настраивать и поддерживать актуальность прав доступа вручную: добавлять и блокировать учетные записи по мере необходимости, периодически просматривать списки учетных записей и полномочий, чтобы убедиться, что нет никого лишнего, и т.п. С ростом организации количество систем и работающих с ними сотрудников увеличивается. Объем информации о разрешениях растет лавинообразно. Контроль над тысячами учетных записей в десятках информационных систем – уже очень нетривиальная задача.
name='more'>
Выполняемые вручную операции с учетными записями не застрахованы от ошибок. А то и вовсе, откладываются на потом, и так никогда и не выполняются. Постепенно накапливаются незаблокированные учетные записи давно уволенных сотрудников, не отозванные права доступа к критичным данным, оставшиеся после перевода в другое подразделение и т.п. А объем данных в системах настолько велик, что обнаружить и исправить ошибки вручную становится практически невозможно.
Если управление полномочиями все еще выполняется вручную, то особенно заметными становятся две проблемы:
1. Очень сложно контролировать факты и причины изменения прав доступа.
Если не вести учет, то совершенно невозможно понять, почему и зачем офис-менеджер Маша неожиданном имеет права доступа к персональным данным VIPклиентов.
2. Большие затраты на фактическое выполнение операций с учетными записями.
Администратор Петя вручную добавляет права доступа по звонкам сотрудников, создает учетные записи для новых сотрудников, блокирует аккаунты уволенных и т.п. Это медленно, неэффективно, ненадежно.
Рисунок 1. IT подразделение становится узким местом во всех процессах управления доступом

Автоматизация управления учетными записями

Первое и самое очевидное решение проблемы управления большим количеством учетных записей – это автоматизация процессов, связанных с предоставлением доступа. Сначала в ход идут сценарии, автоматизирующие выполнение рутинных операций с учетными записями. Теперь создание учетной записи для нового сотрудника во всех основных системах – дело одной минуты. И можно быть уверенными, что у всех созданных учетных записей будет одинаковое наименование и одинаковый пароль – ведь вводится он только один раз.
Есть простое решение и для контроля за изменениями прав доступа – это система учета и контроля исполнения заявок на предоставление доступа. Когда сотруднику требуются дополнительные полномочия, он регистрирует в системе заявку, которая проходит необходимые согласования и приходит в IT службу. Все заявки хранятся в системе, для каждой заявки определен заявитель, исполнитель, статус, запрошенное право и другие необходимые атрибуты. Теперь администратор Петя не принимает заявок на изменение прав доступа по телефону, он принимает их только в системе учета.
Используя поиск по системе учета заявок, в любой момент можно узнать:
1. Какие дополнительные права доступа были запрошены для сотрудника?
2. Кто разрешил предоставить запрошенный доступ?
3. Какие заявки на изменение прав доступа еще не выполнены?
А также ответы на многие другие, не менее актуальные вопросы.
По этому пути идут многие организации. В качестве системы учета заявок используются HPSM, AssystNET и другие средства автоматизации работы IT-службы.

Рисунок 2. Автоматизация процесса выдачи полномочий
Полученная система довольно сильно снижает издержки на управление полномочиями.

Контроль фактических полномочий

Казалось бы, все хорошо. Однако, давайте на минуту представим, что фактические полномочия уже упоминаемой выше Маши расходятся с теми, которые должны быть назначены в соответствии с зарегистрированными в системе заявками. Маша имеет доступ к информации Х, хотя нет ни одной заявки с запросом этих полномочий. Почему же так случилось, ведь процесс назначения полномочий автоматизирован? К сожалению, подобная ситуация не исключена. Вот только несколько возможных причин:
1. Система учета заявок была недоступна из-за обновления системы, в это время Пете позвонил начальник и потребовал срочно выдать Маше доступ к Х. Петя подчинился.
А точно это был начальник?
2. Петя получил заявку на предоставление доступа к Х для Миши. Но Петя сегодня не выспался, и, случайно, выдал запрошенный доступ Маше.
Миша еще потом возмущался, почему у него не появился доступ к Х. Петя удивился, но выдал права Мише еще раз. А у Маши права так и остались.
Принципиальная возможность подобных расхождений говорит нам, что полученная система управления полномочиями не является надежной. Мы можем с достаточной степенью достоверности контролировать статусы заявок. Благодаря автоматизации операций с полномочиями в информационных системах, можно быть уверенными в синхронности вносимых изменений. Однако, перенос данных между системой учета заявок и прикладными системами осуществляется только в одну сторону, причем вручную. Изменения, сделанные непосредственно в прикладных системах не будут отображены в системе управления заявками.
Средства автоматизации позволяют снизить издержки и получить контроль над заявками на предоставление доступа, но не дают контроля над фактическими полномочиями. Чтобы его получить, необходимо включить в систему средства контроля выданных прав доступа.
Идеальным вариантом была бы возможность автоматического отслеживания соответствия фактических прав доступа и согласованных заявок на предоставление полномочий. Однако, в связи с тем, что заявки на предоставление прав описываются совсем в других терминах, нежели фактические назначения полномочий в прикладных системах, эта задача довольно сложно реализуема как с технической, так и с организационной точки зрения. На практике обычно применяется другой подход: для каждого права доступа определяются ответственные сотрудники, в задачу которых входит контроль «корректности» этого назначения. Контроль осуществляется двумя путями:
1. Согласование заявок на выдачу права доступа.
2. Регулярный пересмотр выданных прав доступа.
Например, у руководителя подразделения находятся под контролем полномочия всех его подчиненных. Через руководителя проходят все заявки на предоставление доступа его подчиненным, также в его обязанности входит регулярный пересмотр фактических полномочий.
Другой пример – сотрудник, ответственный за некоторую корпоративную информационную систему. В его сфере ответственности – выданные права доступа к этой системе. Он согласует заявки на предоставление доступа к системе, периодически пересматривает и проверяет актуальные списки сотрудников, имеющих к ней доступ.

Рисунок 3. Контроль фактических полномочий с помощью регулярного пересмотра
В результате получается система, в которой все полномочия находятся под контролем у ответственных сотрудников. Если у кого-то появились «лишние» права доступа, «отклонения» будут обнаружены и устранены при следующем пересмотре полномочий. Для уменьшения вероятности ошибок, целесообразно разделять зоны контроля таким образом, чтобы одно и то же полномочие находилось под контролем нескольких сотрудников. Например, права доступа к корпоративной системе в примере выше контролируются одновременно непосредственным руководителем сотрудника и владельцем системы.

Построение процессов управления доступом

Получение контроля над полномочиями сотрудников дает возможность перейти к следующему шагу – построение таких процессов управления доступом, которые обеспечивают выполнение определенных условий. Условия могут определяться корпоративными стандартами безопасности или требованиями регуляторов. Для примера рассмотрим, как можно обеспечить выполнение следующего требования (один из пунктов требований стандарта PCI DSS 2.0):
Доступом к вычислительным ресурсам и информации о держателях карт должны обладать только те сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями. Ограничения доступа должны включать в себя:
a. Доступ пользователям предоставлен только к тем данным, которые необходимы им для выполнения своих должностных обязанностей
b. Подписание уполномоченными лицами заявки о предоставлении прав доступа
c. Внедрение автоматизированной системы контроля доступа
Допустим, что в организации уже применяется автоматизированная система контроля доступа к информации о держателях карт (пункт с). Если управление полномочиями выполняется вручную, то контролировать (и соответственно гарантировать) выполнение указанных ограничений практически невозможно. Применение системы учета и согласования заявок на предоставление доступа позволяет обеспечить выполнение пункта b. Без контроля фактических полномочий мы не можем гарантировать соответствие полномочий каким-либо условиям. Для полного соответствия указанному требованию необходимо, чтобы права доступа к информации о держателях карт контролировались, например, непосредственными руководителями сотрудников, которые будут периодически пересматривать и контролировать соответствие выданных полномочий и должностных обязанностей подчиненных.
При построении сложных процессов управления доступом на базе полученной системы в большой организации неизбежно сталкиваемся с проблемой. Процесс пересмотра занимает так много времени, что выполнять его с требуемой частотой оказывается невозможно. Узким местом снова становится IT-подразделение, которое просто не успевает готовить списки для пересмотра полномочий достаточно регулярно. Следующим шагом оптимизации системы управления полномочиями становится внедрение комплексного IDM решения, объединяющего в себе систему управления заявками, средства автоматизации для работы с прикладными системами, а также средства для подготовки данных для регулярного пересмотра. Сотрудникам становится доступен простой, единый для всех информационных систем, пользовательский интерфейс управления полномочиями, понятный не только техническим специалистам. Теперь руководитель может самостоятельно управлять разрешениями своих подчиненных (в отведенных ему рамках), а сотрудники запрашивать себе дополнительные полномочия, не привлекая технических специалистов. Все запрошенные изменения полномочий проходят необходимые согласования и после этого операции с учетными записями выполняются автоматически.
С использованием IDM процессы управления учетными записями и полномочиями изменяются кардинальным образом. IDM становится ключевым местом для управления всеми процессами, связанными с созданием и блокированием учетных записей, изменениями их полномочий и т.п. Никто не дает поручений сотрудникам ИТ-службы о том, что необходимо создать учетную запись для нового сотрудника. Система IDM сама отслеживает изменения в кадровой системе и, пока сотрудник идет от отдела кадров до своего рабочего места, автоматически создает ему учетные записи с необходимыми привилегиями, в соответствии с его должностными обязанностями. Сотрудники IT-службы получают возможность спокойно заниматься своими непосредственными обязанностями – обеспечением работоспособности информационных ресурсов организации.
 
Рисунок 4. Все заявки на создание, блокировку и удаление учетных записей проходят через IDM систему. Сотрудники IT занимаются сопровождением и мониторингом информационных систем.

Изменение процессов управления доступом

IDM система позволяет настроить и реализовать самые сложные процессы управления доступом. Без внедрения такого центрального узла контроля полномочий почти невозможно добиться гарантии соответствия процедур управления доступом необходимым требованиям. Однако при внедрении централизованных политик управления полномочиями часто приходится сталкиваться с расхождением внедряемых процессов с уже принятыми практиками.
При «ручном» или «полуавтоматическом» управлении многие процессы формируются не так, как они могли бы быть построены при использовании IDM решения. Это может быть связано с трудоемкостью операций, недоступностью определенной информации или отсутствием необходимого уровня автоматизации.
Например, рассмотрим управление доступом к сетевым папкам общего доступа. Удобно давать разрешения на доступ целым группам – чтобы доступ к папке имели сразу все сотрудники подразделения. При необходимости можно добавлять в список доступа и индивидуальных сотрудников. Но такой подход крайне затрудняет проведение пересмотра. Чтобы выяснить, кто именно имеет доступ к конкретной папке, приходится проходить по всей иерархии вложенных групп. Еще сложнее понять к каким именно папкам имеет доступ конкретный сотрудник, ведь он может входить в множество групп, каждая из которых может быть указана в списке доступа папки. Чтобы получить список папок, к которым имеет доступ сотрудник, придется перебрать все папки и рекурсивно просмотреть список разрешений. Решение, которое позволяет контролировать связь между папкой и имеющими к ней доступ сотрудниками, состоит в том, чтобы для каждой папки завести отдельную группу и дать разрешение на доступ к папке только этой группе. Полномочия на папку выдаются пользователям путем добавления учетной записи в группу доступа, соответствующую папке. Однако, удобное для контроля, при работе «вручную», это решение неудобно с точки зрения назначения полномочий. Папки часто создаются и удаляются, нужно поддерживать синхронность папок и соответствующих им групп, нет возможность добавлять полномочия сразу группам пользователей. При работе «вручную» выбор часто делается в сторону удобного решения, в ущерб контролю. IDM позволяет выбрать вариант с удобным контролем. Все необходимые операции автоматизированы, поэтому неудобства при управлении полномочиями просто не возникают.
Когда в организации есть уже сложившиеся «ручные» процессы управления доступом, то есть большой соблазн сохранить их, просто автоматизируя некоторые операции с помощью IDM системы. Это не всегда является хорошим решением, поскольку, оптимизированные с точки зрения «ручных» операций, процессы могут быть неоптимальными в случае применения автоматизированных решений. Процессы могут включать в себя лишние шаги, не гарантировать соответствия необходимым требованиям. Кроме того, выстроенные в изоляции процессы могут плохо «ложиться» на модель управления полномочиями, принятую в IDM системе.
По мере развития системы управления правами доступа сотрудников потребуются пересмотр и существенные изменения многих существующих процессов управления полномочиями. IDM системе доступна более полная информация, что дает возможность исключить из процессов некоторые шаги, выполняя их автоматически. Без внесения изменений в бизнес-процессы управления доступом, несмотря на все связанные с ними сложности, невозможно получить все преимущества, которые можно получить используя комплексное IDM решение.