Строим ролевую модель управления доступом. Часть вторая, «строительная» / Комментарии / Хабр

dm_deko 21 авг 2020 в 02:08

Отличная статья, спасибо.
Разве что осталось неудовлетворенным любопытство:
Чем проводите автоматизированный Role mining?
О каких именно IdM/IGA системах речь?

SolarSecurity 21 авг 2020 в 11:04

Ранее, в финансовой компании, мы привлекали сторонних специалистов по договору на эти работы, и это были не специализированные решения IdM/IGA, а только часть автоматизации. Но теперь, по опыту в компании-вендоре, которая разрабатывает собственное решение IGA, есть понимание, что специализированный инструмент гораздо удобнее, т.к. решает задачу комплексно, встраивается в процессы по управлению доступом и приносит результат гораздо быстрее и качественнее.

Vincent47 24 авг 2020 в 16:59

Литературное творчество автора подкреплено практическими знаниями и умениями, что вызывает чувство глубокого уважения, но возникает ряд вопросов (мыслей) по реализации: 1) SOD определение запретов по пересечению ролей, как это сделать в крупной КО непонятно, аналитики и компетенций просто не у подразделений: СВА, УИБ, СВК и прочиХ, особенно это касается конфликта интересов, если с базовыми запретами на пересечения в части ИБ, например оператор/контролер -понятно, в остальном нет. 2) тему с role mining также хотелось бы попросить осветить более наглядно для народных масс, это полезно. 3) перевод функциональных обязанностей на язык прав и полномочий доступа опять же для мелких банков видится нереализуемым, ввиду отсутствия аналитиков в части АБС и мастер систем. С уважением, эксперт по ИБ при работе в условиях полной неопределенности.

SolarSecurity 25 авг 2020 в 09:36

1) Как было указано выше, тема SOD-конфликтов достаточно весомая и многогранная. Как говорит один наш коллега, потянет на диссертацию :) Она включает множество отдельных процессов: и анализ прав доступа на наличие конфликтов между ними и определение уровня риска, который может реализоваться в случае совмещения данных прав доступа. И принципы разграничения полномочий, включая не только конфликты в рамках одного процесса, но и кросс-функциональные конфликты. И назначение компенсационных процедур, т.е. действий, направленных на минимизацию рисков, возникающих в результате наличия конфликтующих полномочий, и т.п. Но необходимо понимать, что никакая автоматизация не будет эффективной, если в компании не выстроены эти процессы и не определены политики. Чтобы их правильно выстроить, конечно, нужны соответствующие компетенции, и здесь два варианта: либо выращивать свои, что может быть долго и дорого, либо воспользоваться помощью внешних профессиональных консультантов.

2) Принцип работы инструментов «role mining» состоит в том, чтобы проанализировать имеющиеся у сотрудников текущие права доступа и выявить совпадающие права для сотрудников одной должности или одного подразделения для дальнейшего объединения этих прав в роли. Чтобы поближе познакомиться с этой темой и посмотреть, как это работает на практике, нужно обратиться к компании-производителю решения по управлению доступом и запросить демонстрацию. Практически все существующие на рынке решения имеют в своём арсенале такой функционал. Посмотрев несколько решений, вы сможете их сравнить.

3) Да, действительно, иметь в своём штате аналитиков или технологов, занимающихся непосредственно разработкой ролевых моделей, может себе позволить достаточно крупная компания. Но на начальном этапе компании среднего размера могут запустить внутренний проект по наведению порядка в процессах управления доступом, со своим уставом/регламентом и рабочей группой, в которую войдут представители бизнеса, ИТ, безопасности и СВК. Или же можно воспользоваться услугами внешних компаний, предлагающих соответствующие сервисы.
В любом случае, чем раньше начинать эти процессы, тем лучше, пока состояние «полной неопределённости» не увеличилось в масштабах и не привело к негативным последствиям.

dm_deko 31 авг 2020 в 07:31

Раз уж про SOD, то давайте уточним. В вашем примере Роль_25 и Роль_3 в верхней и нижней части матрицы пересекаются по разному (2 и 26 тоже). Это опечатка или допустимый случай? Если так бывает, то можете привести пример?

SolarSecurity 31 авг 2020 в 16:13

Здравствуйте. Это ошибка, допущенная при верстке таблиц. Благодарим, что заметили, — уже исправили в статье.