Атестація і сертифікація: навіщо це потрібно?

Багато організацій, наприклад, банки і страхові компанії, проходять встановлені процедури атестації і сертифікації, щоб підтвердити відповідність вимогам регуляторів. За кордоном це такі вимоги, як Sarbanes Oxley, HIPAA, FERC і Basel III; у нас, поряд з міжнародними стандартами, — вимоги Банку Росії і пр. Інші компанії вважають процедури атестації і сертифікації способом, що підтверджує прозорість ведення бізнесу.

Які ж підходи використовуються при атестації і сертифікації, як організовується ресертифікація, як все це влаштовано? Про це — нижче.

Атестація або сертифікація?

Хоча ці терміни часто використовують як синоніми, між ними є суттєві відмінності. Атестація, по суті, підтверджує коректність якихось фактів. Наприклад:
  • Присвоювання користувачам прав доступу (через членство в групі AD, ролі SAP або композицію ролей).
  • Присвоювання визначеними ролями технічних ролей або прав доступу / груп, наприклад, присвоювання ACL групі ОГОЛОШЕННЯ або транзакцій і кодів повноважень ролі SAP.
  • Присвоювання системних ролей певним бізнес-ролях.
  • Присвоювання бізнес-ролей конкретним співробітникам.
Крім того, процес атестації може бути більш глибоким і поширюватися на процеси управління ідентифікаційної інформацією користувачів і заклади користувачів в системі, створення акаунтів.

Приклади:
  • Підтвердження допустимості правила (такого, як конфліктний доступ).
  • Підтвердження допустимості процесів затвердження (approval) для зазначених ІТ-ресурсів.
  • Підтвердження того, що співробітник входить в структуру організації.
Ресертифікація

Ресертифікація — це поточний процес повторного підтвердження наданих користувачеві прав, привілеїв і повноважень. Вона гарантує правильність авторизації користувачів для доступу до ІТ-систем та інформації. Ресертифікація дуже важлива у сфері управління, у проектах з високими ризиками і строгими нормативними вимогами. В особливості це відноситься до банків і страхових компаній, де потрібно доводити, що процедури і методи контролю забезпечують відповідну атестацію і сертифікацію.
Нерідко це ручні процедури, коли персонал вводить детальні привілеї доступу для кожного користувача і кожного типу системи.

Рівні складності для ресертификации

У тому, що стосується ресертификации, виділяють кілька рівнів складності, як пояснює таблиця.
Рівень Опис Обмеження
Рівень 1. Немає ресертификации, немає регулярної звітності Немає ресертификации, немає звітності Немає прозорості та документування
Рівень 2. Ресертифікація як повторюваний процес ручної Організація складає щорічний звіт зі списком співробітників і їх правами в усіх системах. Керівники переглядають ці права і підтверджують або коригують їх для своїх співробітників Мінімальна прозорість та документування
Рівень 3. Ресертифікація окремих прав з допомогою автоматизованих процесів і запитів, процедури затвердження Процеси ресертификации автоматизовані і регулярні, добре документовані процедури запитів та затвердження Мінімальна прозорість, велика трудомісткість обробки запитів на надання прав
Рівень 4. Безперервна ресертифікація за кількома рівнями за допомогою бізнес-ролей Використання описових ролей для присвоювання прав помітно підвищує ефективність ресертификации Немає перспективи управління ризиками
Рівень 5. Ресертифікація з використанням принципів управління ризиками Організація може аналізувати інформацію ресертификации з точки зору ризиків Немає
Рівень 1: немає сертифікації, немає регулярної звітності за акаунтів.

Рівень 2: ресертифікація реалізована як регулярна ручна процедура.
Типовий приклад 2 рівня — коли в організації регулярно вручну складаються списки всіх співробітників і їх прав у всіх системах, а керівник підрозділу контролює списки своїх працівників, підтверджуючи і коригуючи їх права. Це дає певну ступінь прозорості і документируемости.

Недоліки підходу наступні:
  • Він трудомісткий і займає багато часу. Нерідко доводиться експортувати файли, вручну їх об'єднувати і вручати керівництву роздруківки довгих таблиць Excel. А внесення змін у структуру прав і повноважень зажадає ресертификации і значного обсягу ручних операцій.
  • Недостатня прозорість часто спричиняє зайву роботу і наділення користувачів надлишковими правами. Нерідко права у звіті описуються технічними термінами, які керівники не цілком розуміють або не розуміють зовсім. А це якраз і створює ризики: призначувані користувачам права можуть перевищувати ті, що їм необхідні для роботи.
  • Ризик неповноти картини: ресертифікація ґрунтується на правах, які не завжди включають права, надані з часу останньої сертифікації. Наприклад, важлива комбінація прав, тимчасово присвоєних персоналу після сертифікації, не включається в звіт і виявляється за рамками уваги.
Рівень 3: ресертифікація окремих прав допомогою автоматизованих процесів і запитів, а також процедур затвердження. Організації можуть підвищити коректність присвоювання прав, впровадивши процеси безперервної ресертификации. Початкові права, що визначені в цьому процесі, контролюються за допомогою добре документованих процедур запиту / затвердження, і користувачі зберігають відповідні права при ресертификации.
Безперервну сертифікацію найкраще реалізувати за допомогою автоматизованої системи управління ідентифікацією та обліковими записами (Identity Management System, IDM), що включає компоненти документообігу. Це дозволить задіяти при ресертификации ті ж процедури, які застосовувалися при присвоєнні прав. Автоматизація полегшує ручну працю. Усувається ризик отримання неповної картини, як при другому рівні, оскільки для присвоювання прав використовуються добре формалізовані і документовані процеси.

Однак, як і у випадку рівня 2, тут не вистачає прозорості. Назви прав і повноважень зрозумілі технічним фахівцям, але не керівникам, їх затверджують. Крім того, такий підхід не дуже зручний, так як вимагає індивідуальної роботи з великою кількістю прав.

Рівень 4: передбачає безперервну ресертифікацію на декількох рівнях з використанням бізнес-ролей. Для присвоювання прав використовуються описові ролі, права не потрібно призначати індивідуально. Це дає ряд переваг. Перше – прозорість. Незрозумілі технічні назви замінюються на описові ролі, тому відповідальність за надання прав та повноважень можна перекласти з ІТ-персоналу на керівників бізнесу. Останні краще розуміють, кому і який потрібен доступ. Тим самим знижується ризик призначення надмірних прав. До того ж спрощується процедура зміни прав у разі організаційних або технічних змін.
Наприклад, при переході співробітниці з фінансового в маркетинговий відділ автоматично відгукуються її права доступу до фінансових даних і забезпечується доступ до необхідної маркетингової інформації.
Застосування ролей допомагає також проводити масову атестацію, що може знадобитися, наприклад, у випадку великої реорганізації або для ресертификации великого обсягу прав. Компанії можуть використовувати поетапний процес ресертификации, заснований на ролях в організації. Керівнику достатньо просто присвоювати працівникам ролі (типу «менеджер зі закупівель»), і не потрібно навіть знати, які права реально з цими ролями пов'язані.
Нарешті, якщо необхідно, для підвищення рівня безпеки процедура ресертификации може включати визначення бізнес-ролей.


Рівень 5: ресертифікація з використанням принципів управління ризиками.
Методи ризик-менеджменту швидко стають частиною процесів атестації та ресертификации. Замість того, щоб аналізувати всіх користувачів, всі привілеї доступу або всі дані, організації фокусують увагу на галузях з найбільш високим ступенем ризику. А для цього потрібно зрозуміти:
  • Які системи містять найбільш критичні дані?
  • Хто має доступ до цих систем?
  • Які повноваження і права у них є, щоб щось там змінити?
  • Порушує користувальницький доступ принцип поділу обов'язків?
Системи сертифікації рівня 5 дозволяють організаціям відповісти на ці питання, додають в процес сертифікації елемент інтелекту.

Реалізація атестації і сертифікації Dell One Identity Manager

Як можна реалізувати сучасну архітектуру атестації і сертифікації, що використовує бізнес-ролі для управління присвоюванням прав? З допомогою Dell One Identity Manager — рішення для управління ідентифікацією та обліковими записами, розробленого не тільки для завдань ресертификации, а для управління життєвим циклом облікових записів. Identity Manager включає сукупність процесів і технологій для обслуговування і відновлення ідентифікації користувачів і облікових записів. Він дозволяє синхронізувати ідентифікаційні дані, створювати і видаляти облікові записи, управляти атрибутами, повноваженнями та правами користувачів.

Архітектура Identity Manager містить два основних компоненти:
  • Об'єкт атестації, по суті представляє собою інтерактивний звіт для атестує. Важливо, що входить у цей звіт: він відображає всю релевантну інформацію, дає чітку картину процесу.

  • Політику атестації, яка визначає, хто, як і за яких умов повинен виконувати атестацію по кожному об'єкту.
Така архітектура задовольняє строгим вимогам і забезпечує безпеку відповідно з прийнятими в різних країнах нормативами, вона також дозволяє реалізувати керування не тільки правами, але і більш складними даними, ніж дозволу, такими як:
  • Об'єкти, наприклад процеси, особисті статуси, процедури запитів та затвердження бізнес-ролі, версії веб-інтерфейсу і правила дотримання нормативних вимог.
  • Тригери, які крім звичайного планування можуть додавати, видаляти, змінювати права користувачів, додавати або відключати облікові записи.



Панелі атестації та ресертификации

Панелі атестації та ресертификации — корисні інструменти моніторингу, що допомагають організаціям контролювати стан атестації та ресертификации як безперервний процес. Вони показують стан безлічі атестаційних процесів та дають відповіді на наступні питання:
  • Скільки всього об'єктів атестовано або ресертифицировано?
  • Як це співставляється з попередніми процесами атестації та ресертификации?
  • Як порівняти різні підрозділи по ефективності роботи?

Наприклад, панелі атестації та ресертификации Identity Manager містять діаграми, що показують статус політик атестації.

Висновок

Перед багатьма організаціями зараз стоїть проблема відповідності вимогам регуляторів і зниження ризиків. Зокрема, все більш затребувані відстеження прав в ІТ-системах, і організації хочуть використати більш розвинені методи для досягнення більш високого рівня атестації та ресертификации. Передові компанії впроваджують сучасні архітектури атестації та ресертификации, де для контролю присвоєних прав застосовуються бізнес-ролі, а панелі атестації та ресертификации допомагають виявляти потенційні проблеми і контролювати процес.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.