Атрибутивная модель управления доступом
Узнать большеУ каждого сотрудника компании есть права доступа для работы с корпоративными информационными ресурсами. Если полномочий недостаточно, можно дополнительно запросить доступ к необходимым объектам, создав заявку. В процессе рассмотрения заявка проходит несколько этапов, которые называются маршрутом согласования. Рассказываем, зачем нужны такие маршруты, как они строятся и исполняются, какую роль в их конфигурировании может сыграть система Identity Governance and Administration (далее — IGA).
Что такое маршруты согласования заявок
Чтобы минимизировать риски несанкционированного использования информационных активов, утечек данных и других инцидентов ИБ, необходимо разграничить доступ к корпоративным ресурсам. Бывают ситуации, когда сотрудникам недостаточно базовых полномочий, которые назначены им для работы в соответствии с должностью и выполняемыми задачами. В каких случаях это происходит:
- Растет количество информационных ресурсов, а постоянные права доступа не обновляются в связи с изменениями.
- Сотруднику необходимо выполнить задачи, которые не входят в перечень утвержденных служебных обязанностей в рамках должности.
- Сотруднику нужен доступ на один раз, поэтому нет смысла расширять круг выданных полномочий.
В таких случаях сотрудникам необходимо составить заявку на предоставление доступа к информационным активам. Этот документ должен быть рассмотрен ответственными лицами, например, владельцами запрашиваемых ресурсов, руководителями отделов, администраторами, сотрудниками службы ИБ и т.д. Перечень ответственных лиц организация может устанавливать самостоятельно. В процессе рассмотрения заявка переходит от одного согласующего к другому, то есть одобряется в несколько этапов. Совокупность этих этапов называется маршрутом согласования.
Компоненты маршрутов согласования:
- Участники процесса, то есть ответственные лица, рассматривающие заявку
- Порядок шагов, которые последовательно будет проходить заявка.
- Автоматизация некоторых процессов согласования.
Для удобства работы с заявками и повышения скорости обработки шаблоны маршрутов создаются заранее, но при необходимости их можно корректировать, добавляя или убирая какие-либо шаги.
Важность маршрутов согласования для информационной безопасности компании
Благодаря существованию маршрутов согласования удается отслеживать, кто из сотрудников направлял заявки и какие полномочия запрашивал. Контроль позволяет упорядочить работу с данными, снизить риски ИБ и защитить чувствительные сведения от несанкционированного использования.
Выдача дополнительных привилегий по заявкам и существование маршрутов согласования позволяет соблюсти законодательные требования и отраслевые стандарты безопасности, диктующие правила работы с конфиденциальной информацией.
Преимущества Solar inRights в настройке и исполнении маршрутов согласования
IGA-система Solar inRights предназначена для управления доступом и жизненным циклом существующих в компании учетных записей. Также решение позволяет разграничивать доступ на основе ролевой модели, предполагающей создание ролей, уже содержащих необходимые для выполнения служебных обязанностей наборы полномочий. Такой подход упрощает управление доступом, поскольку не нужно назначать права каждому сотруднику — достаточно присвоить релевантные роли.
IGA-система Solar inRights будет полезна и в работе с заявками на предоставление дополнительных прав доступа. Решаемые задачи:
- Создание маршрутов согласования через удобный интерфейс.
- Применение гибких настроек, например, возможность добавлять участников, изменять этапы, автоматизировать процессы, указывать параметры согласования (последовательное или параллельное).
- Автоматический запуск заявок по сформированным маршрутам.
- Настройка оповещения ответственных лиц о направлении заявки на согласование.
- Отправка пользователям сообщений о прекращении полномочий по истечении срока, указанного в заявке.
- Отзыв дополнительных прав доступа в случае отсутствия повторной заявки.
- Хранение истории всех созданных заявок вне зависимости от результатов их рассмотрения.
IGA-система выполняет еще две важные функции в части рассмотрения заявок, направленных по маршруту согласования. Первая — предоставление возможности принимать отдельные решения по каждому пункту, обозначенному в заявке. Вторая — делегирование заявки в случае, если к рассмотрению нужно привлечь лиц, которые изначально не были указаны в маршруте.
Если заявка не была рассмотрена по причине недостаточности указанных в ней сведений, благодаря Solar inRights заявка возвращается составителю. Инициатор получения дополнительных прав может внести дополнительную информацию или приложить документы, подтверждающие необходимость назначения запрашиваемых полномочий. После обновления заявка будет снова направлена по маршруту согласования.
Как Solar inRights ускоряет процессы согласования заявок
Solar inRights упрощает работу с заявками на доступ к информационным ресурсам за счет:
- Ускорения процесса согласования. Solar inRights позволяет применять оптимальные сценарии реагирования на задержку или приостановку процесса согласования. Например, благодаря функции тайм-аута можно настроить автоматическое отклонение заявки в случае, если она не была рассмотрена в установленные сроки. Также есть возможность автосогласования или эскалации — перенаправления заявки ответственному лицу на этап маршрута согласования, который следует за тем, где произошла задержка.
- Гибкости процессов согласования. С помощью Solar inRights можно адаптировать маршруты согласования под потребности конкретных отделов компании.
- Создания детализированных отчетов. IGA-система хранит всю историю поданных, исполненных и отклоненных заявок, поэтому ответственные лица получат полное представление о запрашиваемых полномочиях и используемых маршрутах согласования.
- Информирования всех участников процесса запроса полномочий на этапах согласования, исполнения, отклонения заявок.
Использование IGA-системы позволит автоматизировать работу с различными видами заявок на предоставление любого количества прав доступа и избежать не только задержек исполнения маршрутов согласования, но и ошибок из-за человеческого фактора при назначении полномочий.
Благодаря Solar inRights можно не опасаться, что ответственное лицо пропустит заявку — система отправит ему на корпоративную почту уведомление о поступившем документе. Чтобы открыть карточку заявки, достаточно перейти по ссылке из письма. Также ответственное лицо через карточку заявки и переход к смежным объектам увидит, какие полномочия уже назначены сотруднику-инициатору и какие запрашиваются, кто уже одобрил документ и сколько времени осталось на рассмотрение, проанализирует все параметры пользователя или запрашиваемых прав/ролей.