Zarządzanie uprawnieniami dostępu (ITIL) Przekierowano ze strony: access management ang. access management

Zarządzanie uprawnieniami dostępu
proces
Eksploatacja Usług
ITIL
Logo ITIL


Zarządzanie uprawnieniami dostępu - proces w fazie Eksploatacji Usług (ang. Service Operation) odpowiedzialny za umożliwianie użytkownikom dostępu do usług informatycznych, danych lub innych zasobów. Zarządzanie uprawnieniami dostępu pomaga w zarządzaniu poufnością, integralnością i dostępnością zasobów zapewniając, że tylko upoważnieni użytkownicy mogą mieć do nich dostęp i je modyfikować. Zarządzanie uprawnieniami dostępu wdraża polityki zarządzania bezpieczeństwem informacji a czasami odnosi się do zarządzania uprawnieniami (ang. rights management) lub tożsamością (ang. identity management).[1]

Spis treści

Cele

Celami procesu zarządzania uprawnieniami dostępu są:
  • zarządzanie dostępem do usług, opracowanych w oparciu o politykę i działania zdefiniowane w procesie zarządzania bezpieczeństwem informacji
  • sprawne odpowiadanie na wnioski o przydzielenie dostępu do usług
  • zmiana uprawnień dostęp lub jego ograniczenie
  • zapewnienie, że uprawnienia są odpowiednio udzielone
  • nadzorowanie dostępu do usług i zapewnienie, że udzielone uprawnienia nie są nieprawidłowo wykorzystywane


Zakres

Zarządzanie uprawnieniami dostępu jest efektywnym procesu egzekucji polityki ustalonej na etapie zarządzania bezpieczeństwem informacji, przez co firma zyskuje możliwość zarządzania poufnością, dostępnością oraz integralnością danych oraz własności intelektualnej organizacji.

Znaczenie dla biznesu

Znaczenie tego procesu przejawia się w:
  • zapewnieniu, że kontrolowany dostęp do usług umożliwia firmie utrzymanie efektywnego zarządzania poufnością informacji
  • zapewnieniu, że pracownicy posiadają odpowiednie poziomy dostępu, umożliwiające wykonanie ich pracy
  • redukowaniu awarii dokonanych przy wprowadzaniu danych lub przy wykorzystaniu usług, przez niewykwalifikowany personel
  • wprowadzaniu możliwości w śledzeniu działania usług oraz ich naruszeń
  • oferowaniu możliwości ograniczenia dostępów kiedy wymaga tego sytuacja, na określony czas
  • zapewnienie spójności z wymaganiami prawnymi


Opis procesu

Wyzwalacze

Wejścia

  • polityka bezpieczeństwa informacji
  • wymaganie dotyczące poziomu świadczenia usługi, potrzebne od udzielenia dostępu do usług, podejmowania się działań administracyjnych w zakresie zarządzania uprawnieniami dostępu oraz do efektywnego odpowiadania na wydarzenia powiązane z uprawnieniami dostępu
  • autoryzowane RFC
  • autoryzowany wniosek o udzielenie lub anulowanie uprawnień dostępu

Wyjścia

  • zapewnienie dostępu do usług IT na podstawie polityki bezpieczeństwa informacji
  • zapis i historia udzielanych uprawnień dostępu
  • zapis i historia odebranych uprawnień wraz z wyjaśnieniem dlaczego
  • komunikacja w zakresie naruszeń dostępu

Role

  • Menedżer ds. uprawnień dostępu (właściciel procesu) - udziela autoryzowanym użytkownikom prawo do korzystania z danej usług i jednocześnie przeciwdziała korzystaniu z nich przez osoby nie mające uprawnień. W zasadzie realizuje on politykę określoną na etapie zarządzania bezpieczeństwem informacji.

Odpowiedzialność

Macierz odpowiedzialności: Proces zarządzania uprawnieniami dostępu .

Rola ITIL/PodprocesMenedżer ds. uprawnień dostępu
Utrzymywanie katalogu ról użytkowników i profili dostępuA R
Procedowanie w zakresie rozpatrywania wniosków o dostępA R


A: (ang. Accountable) Odpowiedzialność zarządcza - zgodnie z modelem RACI, osoba ostatecznie odpowiedzialna za prawidłowość i dokładne wypełnianie procesu zarządzania uprawnieniami dostępu w ITIL.

R: (ang. Responsible) Odpowiedzialność - zgodnie z modelem RACI, osoba odpowiedzialna za realizację zadań w procesie zarządzania uprawnieniami dostępu w ITIL.

Powiązania



Krytyczne czynniki sukcesu i Kluczowe wskaźniki wydajności

Tabela zawiera przykładowe krytyczne czynniki sukcesu dla procesu zarządzania uprawnieniami dostępu oraz przykłady odpowiednich dla danego czynnika sukcesu (CSF), kluczowych wskaźników wydajności. Należy monitorować spełnienie KPI i wykorzystać tą informację do identyfikacji okazji i do usprawnień oraz zapisywać ten fakt w rejestrze CSI w celu dalszej oceny i ewentualnej implementacji.

Krytyczny czynnik sukcesuKluczowy wskaźnik wydajności
Zapewnienie, że poufność, integralność są strzeżone w zgodzie z polityką bezpieczeństwa informacji.Procentowa redukcja incydentów angażujących niepoprawne uprawnienia dostępu lub próby ich naruszeń.
Całkowita liczba audytów, które wykazały, nieprawidłowe opcje dostępów dla użytkowników, którzy zmienili role lub opuścili organizację.
Liczba incydentów wymagających zmiany wszystkich uprawnień dostępu.
Liczba incydentów wywołanych nieprawidłowym ustawieniem uprawnień.
Zapewnienie odpowiedniego dostępu do usług, zgodnego z ustalonym czasem i potrzebami firmy.Odsetek wniosków o zmianę, zgodnych z SLA oraz OLA
Zapewnienie na czas odpowiedniej komunikacji na temat nieprawidłowego wykorzystania dostępu albo jego naruszeń.Średni czas trwania czynności związanych z zarządzaniem uprawnieniami dostępu.


Wyzwania i ryzyka

Wyzwania
  • Monitorowanie i raportowanie wydarzeń związanych z uprawnieniami dostępu.
  • Weryfikowanie tożsamości wnioskodawcy/użytkownika oraz tego czy nadaje się on do posiadania dostępu do danej usługi.
  • Weryfikowanie tożsamości osoby wydającej zgodę.
  • Łączenie wielu uprawnień z jedną osobą.
  • Determinowanie statusu użytkownika.
  • Zarządzanie zmianami w zakresie potrzeb dostępowych użytkownika.
  • Budowanie i utrzymanie bazy danych wszystkich użytkowników i uprawnień jakie zostały im przydzielone.


Ryzyka
  • Brak odpowiedniej technologii wspierającej zarządzanie i kontrolowanie dostępu do usług.
  • Kontrolowanie dostępu, gwarantowanego przez usługi typu tylne drzwi np. zmian w firewallach.
  • Zarządzanie oraz kontrolowanie dostępu do usług dostawców z firm zewnętrznych.
  • Brak wsparcia kierownictwa dla procedur oraz działań procesu zarządzania uprawnieniami dostępu.
  • Zapewnienie, że wymagane poziomy dostępu do usług oraz elementy nadzoru zarządczego są wdrożone w sposób, który w żadnej mierze nie utrudnia możliwości użytkowników do prowadzenia firmy.


Zasady i podstawowe pojęcia

  • Tożsamość - unikalna nazwa, która służy do identyfikacji użytkownika, osoby lub roli.
  • Uprawnienia - prawo lub pozwolenie przyznane użytkownikowi lub roli.
  • Usługa - to sposób dostarczania wartości odbiorcy poprzez umożliwienie mu uzyskania oczekiwanych przez niego wyników. Dostęp zazwyczaj jest udzielany pewnym zdefiniowanym grupom usług, niż pojedynczym.
  • Usługa katalogowania - aplikacja, która zarządza informacjami o infrastrukturze IT dostępnej w sieci oraz odpowiednimi uprawnieniami dostępu.


Metody i techniki

Kluczowymi procedurami w procesie zarządzania uprawnieniami dostępu są:
  • Wnioskowanie o dostęp - takowy wniosek może pochodzić z System zarządzania zasobami ludzkimi lub być powiązany z RFC albo wnioskiem o usługę. Reguły wnioskowania o usługi powinny być opisane w katalogu usług.
  • Weryfikacja - zapewnia, że wnioskujący użytkownik, jest tym za kogo się podaje oraz, że posiada odpowiednie uprawnienia.
  • Zapewnienie uprawnień - sam proces nie decyduje bezpośrednio kto otrzyma prawo dostępu; zajmuje się egzekwowaniem regulacji zdefiniowanych na innych etapach życia usługi. Przykładowo w tym procesie można złożyć wniosek do innych grup wsparcia aby wprowadziły zmiany, potrzebne do udzielania danego dostęp.
  • Monitorowanie statusu tożsamości - w procesie tym zarządza się zmianami ról, spowodowanych zmianami personalnymi np. awansami, transferami, rezygnacjami/zwolnieniami, emeryturą, śmiercią.
  • Zapisywanie i kontrolowanie dostępu - kontrolowanie dostępu to kluczowa procedura i niezbędna dla wszystkich procesów eksploatacji usług. Przykładowo wszelkie naruszenia są rozpatrywane przez zarządzanie incydentami. Proces zarządzania uprawnieniami dostępu może zaoferować wtedy istotne informacje, potrzebne do przeprowadzenia analizy przypadku.
  • Anulowanie lub ograniczenie dostępu - zarządzanie uprawnieniami dostępu jest procesem odpowiedzialnym za odbierane lub redukowanie uprawnień dostępu, jak i za ich przydzielanie. Uprawnienia mogą zostać odebrany w przypadku śmierci, rezygnacji, zwolnienia użytkownika; ograniczenie może z kolei nastąpić, gdy pracownika jest poddany kontroli i wewnętrznemu śledztwu allbo gdy użytkownik zmienił role, co skutkuje potrzebą nadania innych uprawnień.


Zobacz też

Pozostałe procesy Eksploatacji Usług:

Funkcje Eksploatacji Usług:

Bibliografia

  • OGC: ITIL® Foundation Handbook - Pocketbook from the Official Publisher of ITIL, TSO, ISBN: 9780113313495

Znaki towarowe

  • IT Infrastructure Library®, ITIL® are registered trade marks of the Cabinet Office;
ostatnia modyfikacja 20 sierpnia 2016 r.