混乱を避けるため、すぐに指摘する必要があります。「IdM」という用語は、アクセス制御手段の全範囲を指し、「IdMソリューション」は、システムとハードウェアのクラスを指します。
何らかの形で、あなたは間違いなくアクセス制御プロセスのセットを持っています。 そして、多くの場合、多くの手作りの作業が必要です。
- アクセスのためのアプリケーションの処理。
- 解雇または転職に関連する従業員のアクセスのブロック。
- 情報システム、リソース、およびそのコンテンツへの従業員の不十分または過剰なアクセスに関連するさまざまなインシデントへの対応。
- 各情報システムなどにおける従業員のアクセス権の監査
原則として、これらすべてには、異なるコンソールを見るだけでなく、各システムの管理者に行って必要な情報を尋ねる必要もあります。 部門間の困難な関係という形で複雑な問題が発生することがあります。「 誰でもここで従業員のタスクを設定します!」 「そして」 あなたのためにあなたの仕事をする時間はありません 。」
すべてが必ずしも暗いとは限りませんが、これらの状況の少なくとも1つを認識した場合、IdMが必要です。 むしろ、資格情報とユーザー権利を管理するために何かをする必要があります。 未決定の人のために、状況の変更について考える必要性を示すマーカー状況のチェックリストを提供します(もちろん、無期限に拡張できます)。
1.ユーザーとビジネスの観点から:
- アクセスをリクエストする方法は明確ではありません。
- 「上級ユーザー」のアクセスリクエストフォームは複雑でわかりにくいものです。
- アクセスに関連するリクエストを処理するプロセスは不透明です。請負業者は、リクエストされたアクセスパラメータを提供できることを誰がどのように決定するかを理解していません。
- アプリケーションを処理するための条件を決定することはできません(つまり、5分で完了するか、5日で完了することができます)。
- リソースのビジネス所有者は、ユーザーの要求に応じて意思決定プロセスから除外され、ビジネスに起こりうる結果に対して責任を負いません。
- アクセスするには、「admin Vasya」に電話して尋ねるだけです。
- 従業員は一時的に別の責任尺度でプロジェクトに含めることができます。不在の同僚のために定期的にタスクを実行する義務があり、Xシステムへのアクセス権が与えられます。
2. ITの観点から:
- アプリケーションは、自由形式で、いくつかのチャネル(メール、ServiceDesk、EDSなど)を介して実行されます。
- ユーザーがどのような種類のアクセスを要求するのかを理解することは困難です(「 Peter Ivanovichのような 」、「 Startボタンが表示されるように 」、「 to work 」など)。
- アカウントの作成、アクセス権の付与、変更、取り消しは、管理者の作業時間のかなりの部分を占めます。
- アクセス(監査、システムの新機能など)を提供するために、ユーザーからの大量の要求を処理する必要がある場合があります。
- 場合によっては、管理者がユーザーにどのアクセスを許可し、どのような基準で許可したかを理解するのが難しい場合があります。
- 管理者は、アプリケーションが承認された原則を常に理解しているわけではありません。
3.情報セキュリティの観点から:
- 一部のシステムへのアクセスは制限されています(文字通り:読むことさえできず、信頼できる完全な情報を迅速に取得することは不可能です)。
- アクセス権の監査と順序の復元の試行は、プロセスの複雑さと期間のために実行されないか、非常に長い時間実行されます(監査の開始時に収集された情報は、終了するまでに古くなる時間があります)。
- アプリケーションを処理するための明確な手順とルールはありません(要求に関する情報はありますが、アクセスを提供するかどうかの理解はありません)。
- アクセスマトリックスやロールモデルはありません。少なくともいくつかの領域に存在することを本当に望んでいます。 (従業員が職務を果たすために最低限必要なことが明確な場合、ロールベースのアクセスが便利に許可されます。ただし、これは、役割とともにシステムでより広範な権限を提供することを妨げるものではありません。
- 管理と制御の手順が整っており、文書で詳しく説明されていますが、実行されていません。
4.インシデント:
- 情報システムのユーザー権利に関連するインシデントでは、何が起こっているのかについての完全な状況はなく、インシデントの時点での権利の状態に関する情報はありません(一般的に、現在のロールモデルまたはアクセスマトリックスでは過去の任意の時点で)。
- 従業員のアクセス権の付与または取り消しの承認の証拠はありません。
- 従業員のアクセス権の不正な(一貫性のない)変更を識別する方法はありません。
5.監査とコンプライアンス:
- 規制要件と標準は、アクセス制御の必要性を示しています。
- 監査人は不一致を解消するための命令を発行します(たとえば、長時間にわたって会社で働いていない従業員のブロックされていないアカウントがあります)が、修正するツールはありません。
- 要件(内部、規制当局、標準など)への準拠を監視するなど、内部監査が実行されますが、不一致は毎回検出されます。 管理プロセスはありません。
説明されている状況を認識したら、それらを既存としてマークし、何かを変更する準備ができたら、次に進みます。
ここで、 どのアクセス制御プロセスが最も頻繁に必要かを判断することが重要です 。
1.人事ローテーションに関連するプロセス:
- 新しい従業員の仕事を入力するプロセス(職場の組織化、情報システムでのアカウントの作成、パスワードの発行、ロールモデルによるプライマリアクセスとアクセスの提供)。
- 従業員を解雇するプロセス(アクセスのブロック/取り消し/制限、アカウントのブロックなど)。
- 従業員の別のポジションへの異動(昇進、別のユニットへの異動、持ち株会社または支店)。
- 職場に従業員がいない(休暇、病気休暇、出張など)。
- 従業員に関する情報の更新(姓の変更、役職の変更、電話番号、勤務先など)
2.情報リソースおよびシステムへの従業員のアクセスに関連するプロセス
- アクセスを提供するプロセス(ユーザー要求、承認、実行、制御)。
- アクセス取り消しプロセス(要求時、ポリシー別、転送時、解任時、システムの廃止時など)。
- アクセス権を変更するプロセス(転送中、解雇時、スケジュールなど)。
- アクセス監査プロセス
3.ユーザーへのサービスの提供に関連するプロセス
- 申請プロセス(どのような形式で、どのような手順で、など)。
- アプリケーションの承認プロセス(誰が、どの順序で、いつ、など)。
- 不一致を処理するプロセス(「 アクセスがあり、その後消失しました。昨日できました... 」、「 ペトロフのボタンがアクティブになっていますが、同じアクセスが要求されていません... 」など)。
- 要求され同意されたアクセス権の提供を制御するプロセス(ユーザー満足度)。
4.インシデント対応とリスク管理プロセス
- インシデント発生時に従業員のアクセス情報を取得するプロセス
- 従業員のアクセス権を調査するプロセス(SoDの競合、ロールモデルとアクセスマトリックスの変更など)
5.関連プロセスの監査
- コンプライアンス監査プロセス(内部標準およびポリシー、規制当局、国際標準など)
- 研究またはその他の目的のための監査プロセス。
リストは何度でも変更でき、必要に応じて微調整およびスケーリングできます。 しかし、あなたの会社とあなたが働かなければならない環境を知っているあなた以外の誰も、あなたが絶対にすべきこととそうでないことを正確に言うことはありません。 これをお客様と一緒に分析し、開発の方向性とオプションを提供できます。
アクセス制御プロセスを含む何かを実装するプロセスは、標準と「ベストプラクティス」およびリスク評価の実装に明確に関連しています。 場合によっては、企業は標準を採用し、そこに書かれているすべての内容(および私が出会ったもの)を実装するために、ポイントごとに系統的かつ一貫して試行します。 同時に、標準の各 「要件」 に従って、この要件が会社のビジネスのコンテキストに「適合する」かどうか、ボーイングの翼のように特定の各アイテムに費用がかかるかどうかを分析および評価する必要があることを認識していません利益をもたらします。
ユーザーの資格情報とユーザーの権利を管理する一連のプロセスを実装するかどうかを決定する負担は、ビジネス担当者にあります。 チームのためにそのような決定を準備するプロセス(はい、チームなしで行うことは不可能です)では、ITおよび情報セキュリティの専門家が、すべての関連プロセス、従業員の役割、技術的手段、および組織的措置を考慮した新しい管理モデルへの移行計画を作成することが重要です。
技術的手段(特にIdMソリューションは、単独で、または他のクラスのシステムと組み合わせて)多くの操作を自動化することにより、ITおよび情報セキュリティサービスの寿命を延ばすことができます。 彼らは何が起こっているかを制御し、システム内のイベントにできるだけ早く応答する機能を提供し、ユーザーアカウントとアクセス権に関する情報を1つのコンソールですばやく取得し、監査を実施し、システムで指定された形式で自動生成されたレポートを受信できるようにします。
IdM-solution-ITおよび情報セキュリティのためのツール。 同時に、会社のすべての従業員がそれを使用できます。この場合、ITおよびISサービスによって提供されるサービスになります。 これにより、ユーザーはアクセスの承認を要求し、プロファイルを変更して情報を更新し、セルフサービスサービスにアクセスできます。 管理者、人事担当者、およびビジネスシステムの所有者については、会社の従業員によるシステムのアクセスおよび使用に関するレポートを生成できます。 したがって、IdMソリューションおよびアクセス制御プロセスの実装へのアプローチは、とりわけ、会社のすべての従業員(およびビジネスユニット、IT、および情報セキュリティ)の利便性と利益の観点から検討する必要があります。
次の記事では、アクセス制御プロセスの計画と実装にアプローチする方法を検討し、このストーリーでIdMソリューションの場所を見つけます。