Предотвращение конфликтных полномочий (SOD-конфликтов) является одним из важных процессов при формировании ролевой модели в организации. Как с помощью системы управления учетными записями и правами доступа предотвратить риски совмещения полномочий — убедимся на примере Avanpost IDM 6.0, который в том числе обеспечивает автоматизированный контроль над SoD-конфликтами.
- Введение
- Предотвращение рисков совмещения полномочий с помощью Avanpost IDM
- 2.1. Определение правил сочетания ролей в Avanpost IDM
- 2.2. Определение зависимостей роли в Avanpost IDM
- Выводы
Введение
Управление доступом к информационным ресурсам современной организации является сложным многообразием различных процессов, таких как управление ролевой моделью, предоставление доступа при приеме на работу и отзыв при увольнении, согласование заявок на доступ и их исполнение, аудит прав доступа и расследование инцидентов. От эффективности этих процессов зависит не только защищенность корпоративной информации, но и производительность работы сотрудников, а в ряде случае и контрагентов. Чтобы обеспечить компромисс между безопасностью и эффективностью бизнес-процессов, необходимо организовать единый центр управления данными процессами с максимальным сокращением числа ручных операций и минимизации человеческого фактора при принятии решений.
Внедрение ролевого управления доступом может принести много пользы, если определять роли правильно. Ролевая модель доступа позволяет предоставлять и ограничивать доступ как сотрудникам компании, так и контрактникам, аудиторам и другим временным пользователям, даже клиентам. Основная трудность при использовании ролей — правильно их определить.
В статье рассмотрим, как с помощью системы управления учетными записями и правами доступа Avanpost IDM 6.0, разработанной российской компанией «Аванпост», обеспечить предотвращение рисков совмещения полномочий. А сфокусируем внимание на реализации правил разграничения полномочий в Avanpost IDM, которые позволяют контролировать совмещение критичных функций пользователем.
Предотвращение рисков совмещения полномочий с помощью Avanpost IDM
Одним из процессов Avanpost IDM является выявление и предотвращение конфликтных полномочий, или SOD-конфликтов (Segregation of Duties). Этот процесс необходим для обеспечения принципа разделения ответственности, когда один человек не может обладать набором полномочий, например, позволяющим единолично выполнить критичную для бизнеса операцию. Иными словами, такую задачу должны выполнять два человека или более. Например, классический пример SOD в финансовых организациях — запрет совмещения должностей операциониста и контроллера при проведении банковской операции.
Конфликтовать могут как роли, настраиваемые в IDM, так и конкретные права на уровне целевой системы. Контроль SOD-конфликтов осуществляется при сертификации доступа, при запросе доступа через workflow и при назначении ролей. При этом реагирование на обнаруженные конфликты может быть разным. Например, при выявлении конфликта полномочий в ходе формирования заявки на доступ система может попросить отредактировать заявку или направить ее на дополнительное согласование. Также конфликтному набору прав может быть повышен уровень риска, что потребует более частого прохождения процедуры ресертификации.
Для осуществления подобного контроля в Avanpost IDM настраивается матрица конфликтных полномочий, где указываются, какие роли не должны быть совмещены. В Avanpost IDM это обеспечивается настройкой правил сочетаний — правил совместимости и зависимости ролей друг от друга.
В Avanpost IDM для реализации правил сочетаний определяется сочетаемость роли или каталога. Сочетаемые роли и каталоги — это роли и каталоги, которые могут быть назначены одновременно с текущей ролью. Несочетаемые роли и каталоги — это роли/каталоги, которые, соответственно, не могут быть назначены одновременно с текущей ролью.
Определение правил сочетания ролей в Avanpost IDM
Определение правил сочетания ролей производится в режиме «Настройка ролей» на вкладке «Правила сочетания». В рабочей области «Настройки совместимости с ролями» в выпадающем списке выбирается тип сочетаемости текущей роли со всеми ролями и каталогами в Avanpost IDM. Можно выбрать два варианта
- Сочетается со всеми
- Не сочетается ни с чем
Затем добавляется правило, определяющее тип политики: для роли и для каталога.
Рисунок 1. Рабочая область «Настройки совместимости с ролями» в Avanpost IDM
При настройке правил сочетаний для ролей в Avanpost IDM необходимо выбрать тип правила «Для ролей…». В нашем примере для роли «АБС Операционист» в список совместимостей добавим роли «АБС Администратор», «АБС Главный бухгалтер» и «АБС Контролер».
Для выбранных ролей необходимо определить тип сочетаемости. Есть два условия: «Не сочетается» или «Сочетается». Мы укажем «Не сочетается».
Рисунок 2. Вкладка «Правила сочетания» в Avanpost IDM
Таким образом, при запросе роли «АБС Администратор», «АБС Главный бухгалтер» или «АБС контролер» пользователем с правами «АБС Операционист» Avanpost IDM автоматически откажет в наделении прав. Кроме того, если будет запрос прав пользователя одновременно на «АБС Контролер» и «АБС Операционист» система также откажет в наделении прав, т. к. обнаружит конфликт ролей.
Рисунок 3. Запрос прав «АБС Контролер» и «АБС Операционист» в Avanpost IDM
Рисунок 4. Обнаружение конфликта запрашиваемых ролей в Avanpost IDM
При обнаружении конфликта ролей в Avanpost IDM в рамках запроса можно удалить одну из запрашиваемых ролей, например роль «АБС Операционист».
Рисунок 5. Удаление роли «АБС Операционист» из запроса в Avanpost IDM
Кроме того, если у пользователя уже есть одна из запрашиваемых ролей, система также на это укажет.
Рисунок 6. Информирование о наличии у пользователя роли «АБС Операционист» в Avanpost IDM
Конфликтующую роль можно также отозвать. Например, если пользователю в АБС необходимо иметь права «АБС Контролер», но у него уже есть права «АБС Операциониста», он может выполнить одновременно запрос на отзыв роли «АБС Операционист» и на доступ к АБС с правами «АБС Контролер».
Рисунок 7. Запрос на отзыв роли «АБС Операционист» и на доступ к АБС с правами «АБС Контролер» в Avanpost IDM
Аналогичным образом настраиваются правила для каталогов (каталогов ролей) — в форме «Выбор каталога» выбираются нужные каталоги и определяется тип сочетаемости.
Определение зависимостей роли в Avanpost IDM
Определение зависимостей роли — это создание списка ролей, без которых не может быть назначена текущая роль.
Для этого в рабочей обасти «Зависимости роли» необходимо добавить зависимости: в форме «Выбор роли» выбрать необходимые роли. Название выбранной роли будет окрашено в красный цвет. Роли добавляются в список зависимостей роли.
Например, роль «Доступ в интернет (расширенный)» требует наличие роли «Доступ в интернет (стандртный)». Если пользователь сделает запрос на роль «Доступ в интернет (расширенный)», при этом у него не будет роли «Доступ в интернет (стандртный)», то Avanpost IDM укажет на конфликт ролей.
Рисунок 8. Конфликт ролей при запросе на роль «Доступ в интернет (расширенный)» в Avanpost IDM
Система предложит добавить зависимую роль в запрос.
Рисунок 9. Добавление зависимой роли в запрос в Avanpost IDM
Выводы
В статье наглядно продемонстрировано, как с помощью Avanpost IDM предотвратить риски совмещения полномочий. Внедрение ролевого управления доступом может быть крайне полезным для бизнеса, если определять роли правильно. Avanpost IDM обеспечивает автоматизированный контроль над конфликтами полномочий (SoD-конфликтами) как при формировании ролей в виде совокупности других ролей, так и при назначении пользователю новых ролей. Настройка правил сочетаний ролей позволяет контролировать совмещение критичных функций пользователем.
