June 13, 2019
Вы внедрили ITSM систему. Отлично но более 50 % запросов пользователей связаны с получением доступа. Как упорядочить процесс управление доступом.
Если Ваша организация начала понимать что ИТ это сервис, который необходимо оказывать пользователям (работникам) организации, то скорее всего у Вас существует какая то система управления обращениями пользователей в ИТ. Так ITSM-системы позволяют регистрировать и управлять (например, выставлять приоритеты обращениям) запросами пользователей в ИТ.
В общем случае (близко к ITIL) запросы пользователей в ИТ принято делить на следующие категории:
1) Запросы на обслуживание (когда пользователь желает получить некий сервис, в том числе возможно доступ к имеющемуся ИТ сервису);
2) Инциденты ИТ (у пользователя что то не работает).
Пока мы не будем заходить дальше и говорить про порождаемые изменения ИТ это отдельная тема для обсуждения.
В современных организациях принято контролировать получаемый пользователями доступ к ИТ-сервисам и ИТ-ресурсам Организации, поэтому выделение этих прав требует согласования, а значит регистрации в какой то системе (например, очень популярно: служебная записка в системе электронного документооборота) вне зависимости внедрен ли сервисный подход к организации ИТ в компании или нет.
На этом месте обычно начинают возникать следующие проблемы:
1) Масса отклоненных заявок, которые отправляются на доработку в связи с тем, что пользователь указал что то не правильно;
2) Отсутствие необходимых согласований в процессе управления доступом;
3) Увеличение количества обращений Пользователей: Пользователь может просто не знать на начальной стадии, что именно ему запросить, это вызывает обращение в ИТ не по поводу самого получения доступа, а по поводу процедуры его получения.
Системы управления доступом в информационной безопасности разделяются на следующие:
1) Дискреционные системы управления доступом (используются повсеместно, включает объекты доступа с определенными Владельцами (или суперпользователями), которые назначаются права для субъектов доступа(например, пользователей)).
2) Мандатные системы управления доступом (обычно используются в государственных учреждениях, где доступ получают после получения допуска (например, если у вас есть допуск к секретным сведениям то вы можете получить к ним доступ, но не можете получить доступ к совершенно секретным сведениям т.к. у Вас отсутствует необходимый допуск). Такие системы сложны и не используются но только для них можно доказать математически их безопасность.
3) Ролевые системы управления доступом (разграничение доступом происходит согласно назначенной Вам роли (которая имеет определенный набор прав доступа).
Обычно я рекомендую использовать следующую схему управления доступом в ITSM системах:
Таким образом мы начинаем управлять доступом в Организации. Пользователь заходя в ITSM видит какие объекты доступа он может заказать и с какими правами.
На начальном этапе необходимые объекты могут отсутствовать такие заявки проходят как и раньше оформлять как обычное обращение, маршрутизировать в изменение ИТ, которому необходимо создать необходимые объект доступа и права доступа назначить владельца и согласовать с владельцем назначение необходимых прав.
Обычно процесс управления доступом завязан на ИБ подразделении и все заявки на доступ согласовываются с ИБ подразделением. Я считаю это лишним в случае применения вышеописанной схемы. Подразделение ИБ больше не согласовывает заявки на доступ (этим занимается владелец объекта доступа).
В функции ИБ подразделения входит: