Атрибутивная модель управления доступом
Узнать большеПо каждой из должностей, которые включены в штатную структуру компании важно выполнение определённых задач в рамках бизнес-процессов организации. Если эти должности вакантны, либо занимающие их сотрудники в отпуске, обязанности приходится поручать другим специалистам из команды. Такая мера называется совмещением должностей. Это нормальная, предусмотренная законодательством практика, но она сопряжена с определенными рисками ИБ. В статье рассказываем, как грамотно организовать совмещение и минимизировать вероятность внутренних нарушений.
Что такое совмещение должностей, с какими рисками оно сопряжено
Совмещением должностей называют выполнение сотрудником дополнительных обязанностей в рамках другой должности без отрыва от основной деятельности. Нюансы такой практики регулируются статьей №60.1 ТК РФ. Примеры совмещения: бухгалтер временно выполняет обязанности кассира, секретарь замещает специалиста отдела кадров, топ-менеджер — руководителя проектов.
На основании практики, регулируемой законодательством совмещение должностей происходит исключительно в рамках одной организации, поскольку сотрудник должен выполнять дополнительные задачи строго по месту трудоустройства, в рабочее время.
Риски, связанные с совмещением:
- Накопление избыточных привилегий у сотрудников, которые временно замещали других специалистов. Это происходит в случаях, если дополнительные права доступа своевременно не отзываются.
- Превышение должностных полномочий, нарушение внутренних политик безопасности. Такое возможно при недостаточном контроле за действиями сотрудников.
- Возникновение SoD-конфликтов — назначение одному специалисту полномочий, несовместимых с точки зрения ИБ. Этот сценарий возможен, если отсутствует своевременный контроль на назначениями полномочий, либо в рамках существующей ролевой модели невозможно избежать такого совмещения по объективным причинам (незаполненные вакансии, временные права и т.п.).
Чтобы минимизировать риски при совмещении должностей, целесообразно внедрить систему класса Identity Management (IdM), которая позволяет эффективно использовать ключевые механизмы управления доступом. С ее помощью можно автоматизировать назначение прав доступа, контролировать соблюдение политик предоставления полномочий, избегать SoD-конфликтов или снижать риски при их возникновении.
Роль IdM-системы Solar inRights в реализации практики совмещения должностей
С помощью IdM-системы Solar inRights можно безболезненно для бизнес-процессов управлять правами доступа и учетными записями (УЗ). Ее ключевые функции:
- Контроль жизненного цикла всех зарегистрированных в информационной инфраструктуре компании учетных записей. Solar inRights позволяет автоматизировать процессы регистрации, блокировки и разблокировки УЗ.
- Управление доступом на основе ролевой модели, предполагающей присвоение сотрудникам ролей с готовыми наборами полномочий на основании политик назначений.
- Выдача ролей осуществляется в соответствии с должностями, служебными обязанностями, актуальными бизнес-задачами.
- Автоматизация процессов назначения полномочий, благодаря чему получается минимизировать трудозатраты персонала и экономить вычислительные ресурсы компании.
- Оптимизация работы с заявками на предоставление дополнительных полномочий.
- Мониторинг доступа к корпоративной информации, отслеживание любых изменений в полномочиях. Эта функция Solar inRights позволяет выявлять отклонения от внутренних регламентов и определять виновных в инцидентах ИБ.
- Формирование информационной базы для проведения аудита прав доступа и расследований. Благодаря этим данным офицеры службы ИБ будут в курсе полномочий всех сотрудников и смогут своевременно определять источники угрозы.
В Solar inRights есть поддержка совмещения должностей. С помощью IdM-системы можно назначать полномочия для временных команд, сотрудников, замещающих других специалистов на время отпусков и т.д. Процессы выдачи прав доступа автоматизированы, что позволяет избегать простоев в деятельности организации и минимизировать влияние человеческого фактора.
С помощью IdM-системы можно управлять SoD-конфликтами, которых не всегда удается избежать при совмещении должностей. В Solar inRights можно вести специальную матрицу конфликтующих полномочий, куда вносятся роли или каталоги ролей совмещение которых может привести к негативным последствиям и инцидентам ИБ. Можно загружать матрицу конфликтующих полномочий извне, предварительно скачав шаблон её заполнения. Ведение такой матрицы позволяет отслеживать возникновение SoD-конфликтов, например, на этапе запроса полномочий и принимать соответствующие решения. Если в рамках бизнес-процессов все же приходится назначать одному сотруднику нежелательное сочетание прав доступа, Solar inRights помогает реализовать подходящий сценарий действий в таких ситуациях. Например, можно отзывать привилегии сразу после выполнения поставленных перед сотрудником задач.
Если в рамках совмещения должностей сотрудникам не хватило назначенных привилегий, можно запросить их по заявкам. Solar inRights позволит ускорить рассмотрение таких заявок, применив оптимальный маршрут согласования.
Как IdM-система управляет правами доступа при совмещении должностей
Solar inRights обеспечивает полный контроль прав доступа во всех подключенных к IdM-решению системах. Основные функции в этой части:
- Предоставление детальной картины прав доступа. Ответственные лица смогут просматривать данные как в формате отчетов, так и в интерактивном режиме в интерфейсе IdM-решения. Система отображает все актуальные доступы и историю назначения полномочий по каждому сотруднику.
- Выявление нарушений корпоративных регламентов, связанных с доступом. Solar inRights подсвечивает конфликты разделения ответственности, случаи превышения привилегий, наличие несогласованных полномочий.
- Автоматический отзыв прав доступа, когда в них отпадает необходимость. Эта функция IdM-системы позволяет избежать накопления избыточных полномочий у сотрудников, которые временно выполняли обязанности в рамках других должностей.
- Реализация сценариев оперативного реагирования на нарушения. Согласно заданным настройкам, Solar inRights может отправлять уведомления ответственным лицам, мгновенно отзывать полномочия и блокировать УЗ нарушителей.
В Solar inRights формируются карточки персонала, где отображаются все данные: трудоустройства, роли, перечни привязанных учетных записей и назначенных полномочий. Из карточки можно перейти к просмотру других смежных объектов, например к просмотру параметров или состава назначенной роли или к заявке, на основании которой были назначены дополнительные привилегии.
При совмещении должностей в карточке, в разделе «Трудоустройства», будет видно, на какие трудоустройства (подразделение, должность) принят сотрудник и в разделе «Роли» - какие права в рамках каждого трудоустройства ему предоставлены. У сотрудника может быть одно основное трудоустройство и дополнительное – по совместительству. Можно вручную внести корректировки, например, активировать или заблокировать УЗ, поменять пароли от корпоративных аккаунтов, отозвать права или запросить дополнительные привилегии. Как только сотрудник будет уволен с одного из трудоустройств у него автоматически будут отозваны только те полномочия, которые относились именно к этому трудоустройству.
Для контроля действий сотрудников, совмещающих должности, проводится аудит прав доступа. Solar inRights облегчает его реализацию, предоставляя полные данные о доступах и отчетность по всем операциям предоставления и изменения полномочий к корпоративным ресурсам.