Процедуры изучения уже существующих ролей, определения новых, организации связи ролей с инфраструктурой ИТ, обеспечения выполнения нормативных требований и управления ролями на протяжении их естественного жизненного цикла являются слишком сложными и неудобными для того, чтобы применять их на практике. В результате многие считают концепцию управления ролями ошибочной. Но вместе с тем роли имеют весьма большое значение в процессе управления, а их правильное определение и соответствующее ограничение доступа заметно облегчают жизнь системному администратору, отвечающему за безопасность.
Для успешного применения разграничения доступа на основе ролей и соответствующего управления идентификацией необходимо соблюдать три условия.
1. Люди, отвечающие за управление ролями, должны четко понимать их. Определение ролей следует описывать в бизнес-терминах достаточно ясно, чтобы у специалистов по безопасности, аудиторов и бизнес-руководителей не возникало разночтений в отношении того, что разрешено делать сотрудникам, которым присвоена та или иная роль.
2. Роли должны упрощать пользователям понимание работы механизмов разграничения доступа. Тем, кто использует систему управления доступом на основе ролей, должно быть ясно, кто и к каким функциям имеет доступ, а также в какой степени это отвечает потребностям организации (прослеживается ли четкое соответствие между предназначением роли и определенными в ней правами; быть может, предоставленных прав недостаточно или, напротив, их слишком много, что приводит к нарушению предъявляемых к системе требований).
3. Роли должны способствовать повышению эффективности управления доступом. В общем случае роли ускоряют присвоение пользователю необходимых ему прав, поскольку при добавлении нового пользователя или изменении ранее определенных прав достаточно выбрать требуемые роли, что упрощает администрирование. Система ролей облегчает также соблюдение установленных норм, потому что соответствие и несоответствие прав доступа становится абсолютно прозрачным. При добавлении к роли новых прав или объединении ролей решение должно приниматься с учетом предварительного анализа возникающих рисков и возможного нарушения нормативных требований.
Для соблюдения перечисленных условий и определения ролей, в наибольшей степени подходящих вашей организации, необходимо придерживаться следующих правил.
Вовлекайте в определение ролей людей, отвечающих за разграничение прав доступа. Их точка зрения очень важна при формировании структуры разграничения доступа к информационным ресурсам, а также при проведении анализа и моделирования ролей. Сформулированные абстракции должны быть тесно связаны с конкретными особенностями бизнеса, регламентирующими должностные обязанности, бизнес-процессы и нормативные требования, а также с техническим контекстом, который зависит от особенностей инфраструктуры ИТ. При использовании ролей в уже введенных в эксплуатацию продуктах шансы на успех значительно возрастают в случае конструктивного взаимодействия специалистов по безопасности ИТ и представителей бизнеса.
Проводите регулярную инвентаризацию существующих прав доступа у всех пользователей. Это мероприятие имеет решающее значение для создания автоматизированной системы управления доступом, которая могла бы извлекать информацию о правах из любого хранилища данных, обеспечивать нормализацию и обобщение полученных сведений и размещать их в бизнес-контексте с дружественным интерфейсом.
Особое внимание уделите проектированию ролей, сочетанию технических и бизнес-ролей. Эффективный подход к моделированию ролей требует создания бизнес-ролей (должностных, ролей в бизнес-процессах или процедурных ролей), размещаемых поверх ролей технических (прикладных, системных или сетевых). Подобный гибридный подход обеспечивает нисходящую привязку бизнес-ролей к различным информационным ресурсам. В результате создается общий язык определения прав доступа, хорошо понятный всем заинтересованным сторонам, принимающим участие в процессе управления правами доступа (специалистам по безопасности ИТ, представителям бизнеса, командам, следящим за соблюдением нормативных требований и осуществляющим проведение аудита).
Начиная данный процесс, не забывайте о том, что сведение к минимуму количества ролей, как правило, способствует достижению более высокой эффективности. Не волнуйтесь, если с первой попытки вам не удастся добиться идеального результата. Формируйте свою первую ролевую модель на основе сведений, поданных заинтересованными сторонами. Проведите тестирование, сопоставив свои роли с реальными правами доступа, получаемыми пользователями, которым присвоена та или иная роль. Задача заключается не в том, чтобы немедленно достичь совершенства, а в том, чтобы извлекать уроки из допущенных ошибок, неуклонно продвигаясь вперед. Чем раньше вы приступите к моделированию и тестированию, тем быстрее придете к желаемой цели.
Анализируйте полученные результаты. Особое значение здесь имеет автоматизированная система моделирования ролей. Когда у вас в голове сложится общая картина распределения пользователей между определенными вами ролями, можно будет приступать к анализу каждой роли, отвечая на следующие вопросы.
- В какой степени роли упрощают процесс контроля прав доступа? Посмотрите, какому количеству пользователей присвоена данная роль. Роли, которые не присвоены ни одному пользователю, следует удалять, а роли, объединяющие минимальное число пользователей, являются первоочередными кандидатами на удаление.
- Насколько точно определена роль? Следует стремиться к минимизации количества недостающих ролей. Выявляйте пользователей, роли которых не в полной мере соответствуют их должностным обязанностям, а также тех, кто не использует права, предоставленные присвоенной им ролью.
- Является ли роль уникальной? В том случае, если имеются роли, охватывающие одних и тех же пользователей или описывающие одни и те же права доступа, вероятно, имеет смысл объединить их.
- Можно ли расширить границы роли? Поищите неохваченных пользователей, которые отвечают критериям выбранной роли, и рассмотрите возможность включения в нее новых общих прав доступа.
- Какие права доступа остаются не охваченными вашей ролевой моделью? Попытки полного избавления от них обычно приводят к чрезмерному разрастанию ролей. Наличие слишком большого числа прав, не вписывающихся ни в одну из ролей, порождает дополнительную работу. Ищите рациональное соотношение.
Периодически пересматривайте определение ролей. Моделирование ролей -- итерационный процесс. Даже если результаты внедрения первоначальной модели далеки от идеала, с каждой последующей итерацией вы приобретаете необходимый опыт и постепенно избавляетесь от недостатков. Время от времени имеет смысл проводить тонкую настройку ролей, объединяя или корректируя их с учетом числа пользователей, которым присвоена та или иная роль, количества прав доступа, не охваченных ролевой моделью, рисков, обусловленных присвоением ролей, и упрощения процедур администрирования.
Установите принадлежность ролей. В процессе перехода от технического взгляда на разграничение доступа к бизнес-представлению -- посредством применения языка бизнес-ролей, усиления ответственности и контроля за выполняемыми операциями, а также путем сертификации ролей -- соответствующие процедуры выводятся из-под крыла ИТ-службы и передаются в бизнес-подразделения. Поддержка ролей в бизнес-подразделениях представляется более логичной, потому что управляющие бизнесом лучше понимают, какой уровень доступа требуется для выполнения конкретной работы или бизнес-процесса и какое отражение изменения, происходящие в бизнесе, должны найти в изменении ролей.
Осуществляйте постоянное управление ролями на протяжении всего их жизненного цикла. Важно понимать, что управление ролями -- это не проект, имеющий свое начало и конец, а непрерывный процесс. Частые изменения являются неотъемлемым свойством самой организации, используемых ею технологий и делового климата, в условиях которого приходится работать людям. Следовательно, язык ролей и их определение также должны меняться в соответствии с происходящими вокруг переменами, с тем чтобы обеспечить адекватное отражение ролями объективной реальности в данный момент времени.
Упрощайте. Попытки внедрения ролевых систем в условиях реальной жизни без учета контекста существующей среды, политик компании, требований регулирующих органов и используемых бизнес-процессов обречены на провал. В отрыве от контекста мы получим систему, которая окажется не в состоянии угнаться за меняющимися потребностями бизнес-пользователей и будет подвергать организацию неоправданно высоким рискам.
Придерживаясь перечисленных рекомендаций, вы повышаете тем самым вероятность успешного определения набора ролей, что позволит вашей компании уменьшить риски, связанные с разграничением прав доступа, распространить созданную модель в масштабах всего предприятия и снизить нагрузку на специалистов, отвечающих за безопасность ИТ.