فهرست مطالب این مقاله:
Access management با مدیریت امنیت اطلاعات همکاری کرده تا از این طریق اطمینان حاصل کند که قوانین دسترسی در سیاستهای امنیتی اطلاعات، اجرا میشود. درخواستهای دسترسی ممکن است با عنوان درخواستهای سرویس ایجاد شده و توسط میز خدمات اداره شوند و یا ممکن است به منظور اجرا، به یک گروه امنیتی هدایت شوند.
بخش اصلی در مدیریت امنیت اطلاعات، کنترل دسترسی به برنامه ها یا داده ها است. Access management مسئول رسیدگی به درخواستهای دسترسی کاربران است. این فرآیند شامل کنترل نام کاربری و رمز عبور است، اما شامل موارد دیگری همچون ایجاد گروه ها یا نقشها با سطح دسترسی تعریف شده و سپس کنترل دسترسی ها از طریق تعریف عضویت گروهها نیز میباشد.
مدیریت دسترسی علاوه برای اعطای مجوزهای دسترسی، در زمان تغییر وضعیت کاربر بواسطه انتقال، استعفا، یا پایان کار، مجوزهای کاربر را لغو میکند. بعلاوه access management میبایست بصورت دوره ای بر نقشها یا گروه هایی که برای کنترل دسترسی مورد استفاده قرار میگیرند، نظارت داشته تا از این طریق اطمینان حاصل کند که صرفا مجوزهای مورد نیاز تخصیص داده شده اند و هیچ گونه تداخل مجوز بین نقشها یا گروه ها وجود ندارد.
بخش اصلی در مدیریت امنیت اطلاعات، کنترل دسترسی به برنامه ها یا داده ها است. Access management مسئول رسیدگی به درخواستهای دسترسی کاربران است. این فرآیند شامل کنترل نام کاربری و رمز عبور است، اما شامل موارد دیگری همچون ایجاد گروه ها یا نقشها با سطح دسترسی تعریف شده و سپس کنترل دسترسی ها از طریق تعریف عضویت گروهها نیز میباشد.
مدیریت دسترسی علاوه برای اعطای مجوزهای دسترسی، در زمان تغییر وضعیت کاربر بواسطه انتقال، استعفا، یا پایان کار، مجوزهای کاربر را لغو میکند. بعلاوه access management میبایست بصورت دوره ای بر نقشها یا گروه هایی که برای کنترل دسترسی مورد استفاده قرار میگیرند، نظارت داشته تا از این طریق اطمینان حاصل کند که صرفا مجوزهای مورد نیاز تخصیص داده شده اند و هیچ گونه تداخل مجوز بین نقشها یا گروه ها وجود ندارد.
Access management با نام مدیریت هویت (Identity Management) یا مدیریت حقوق دسترسی (Rights Management) نیز شناخته میشود. نقش آن نیز حصول اطمینان از این است که افراد در یک سازمان قادر به استفاده از سیستم هایی هستند که به آنها کمک می کند تا کارهای خود را انجام دهند، اما دسترسی این افراد به اندازه نیاز آنها میباشد. این فرایند بر اساس قاعده امنیت اطلاعات “حداقل مجوز” (یا “حداقل حق دسترسی”) اجرا می شود، که بیان میدارد هر کاربر فقط باید بتواند به اطلاعات یا منابع لازم برای کار خود دسترسی داشته باشد. Access management سازمانها را قادر می سازد تا با حفظ یک محیط امن، نه تنها مانع از استفاده های غیر مجاز شده بلکه از نقض اطلاعات که منجر به از دست رفتن اعتماد مشتری و مجازات های مالی میشود نیز جلوگیری میکند.
تعاریف مدیریت دسترسی (Access Management Definitions)
دسترسی (Access) سطح یا میزان استفاده از قابلیتهای برنامه هایی است که کاربر مجاز به استفاده از آنها میباشد. برای مثال، دسترسی کاربر در یک فایل سرور یا سیستم مدیریت محتوا به سطوح مختلفی همچون خواندن فایل (read a file)، خواندن و نوشتن فایل (read and write a file)، ویرایش فایل (edit a file) و یا حذف فایل (delete a file) تقسیم میشود.
درخواست دسترسی (Access Request) روشی است که در آن کاربر درخواست دسترسی به یک سرویس را دارد. این معمولا یک درخواست برای ورود به سیستم از طریق یک درخواست سرویس از سمت service desk است.
سیاست امنیتی اطلاعات (Information Security Policy) سندی است که قوانین دسترسی را برای مدیریت دسترسی جهت اجرا فراهم میسازد. فرآیند مدیریت امنیت اطلاعات این سیاستها را ایجاد و نگهداری میکند. هویت (Identity) اطلاعاتی است که مشخص میکند کاربر چه کسی است. این مورد برای تأیید وضعیت کاربر در یک سازمان و تعیین سطوح دسترسی او استفاده می شود. هر کاربر یک هویت منحصر بفرد دارد.
حقوق (Rights) که “سطوح دسترسی” نیز نامیده میشوند، تنظیماتی هستند که به همراه دسترسی کاربران برای آنها ارائه میشود. برای مثال، کاربر ممکن است برای مشاهده یک wiki داخلی دسترسی داشته باشد اما ممکن است مجاز به ویرایش یا حذف هر آنچه که در ویکی وجود دارد، نباشد.
گروه های خدمات (Service Groups) مجموعه های مشابهی از سرویسها هستند. این سرویسها ممکن است بطور یکسان عمل کنند یا وظایف مرتبطی داشته باشند، مانند یک سیستم تیکتینگ و یک سیستم مرکز تماس. این کار زمانی انجام میشود که کاربران به یک گروه خاص که دسترسی های مشابه را در چندین سیستم برای آنها فراهم میکند، اضافه شوند.
فعالیتهای مدیریت دسترسی (Access Management Activities)
ITIL در مورد سلسله مراتب تصمیم گیری در خصوص دسترسی به وضوح بیان میکند که اعطای مجوز دسترسی باید مطابق با قوانین تعیین شده توسط سیاست امنیتی اطلاعات باشد. مدیریت دسترسی (Access management) نباید هیچ یک از سیاستهای امنیتی را تنظیم کند. بنابراین فعالیت های مدیریت دسترسی، پاسخگویی مطابق با قوانینی است که از قبل تنظیم شده است.
– درخواست دسترسی (Request Access)
این کار اولین قدم در اجرای مدیریت دسترسی است. درخواستها میتوانند بصورت یک درخواست سرویس از سمت service desk (در فاز service operation) یا در قالب یک درخواست تغییر (service transition) بیایند. دسترسی می تواند شامل عدم داشتن دسترسی به دسترسی و یا داشتن یک سطح دسترسی به سطوح دیگری باشد. در حالت ایده آل، سرویس کاتالوگ شامل فرآیندهایی برای پاسخگویی به درخواستها است. این فعالیت باید تعریف کند که چه کسی میتواند درخواست دسترسی داشته باشد، چه اطلاعاتی لازم است و چگونه درخواست از طریق سیستم انجام خواهد شد.
– تایید (Verification)
این فعالیت تایید میکند فردی که درخواست دسترسی دارد، دارای شرایط لازم برای چنین درخواستی است. کاربر باید هویت خود را اثبات کرده و یک دلیل کاری قانونی برای درخواست داشته باشد. سطوح مختلف دسترسی ممکن است شامل تاییدیه های متفاوتی باشند. به عنوان مثال، دسترسی به مشاهده و ویرایش گزارش های مالی نیازمند تاییدیه های بسیار متفاوتی نسبت به تأییدیه مورد نیاز برای ایجاد یک کاربر جدید با مجوزهای پیش فرض است.
– فراهم سازی حقوق دسترسی (Rights)
پس از آنکه فردی تایید میشود، زمان فراهم کردن دسترسی فرا میرسد. در این مرحله کاربر به یک گروه جدید افزوده میشود (در صورت نیاز). ممکن است مجوزهای لازم در هر سیستمی که کاربر درخواست دسترسی به آن را دارد، ایجاد شود. این وظیفه مدیریت دسترسی است که اطمینان حاصل کند دسترسی فراهم شده با سایر مجوزهای دسترسی که از قبل داده شده، تداخلی نداشته باشد. ساختن فهرستی از نقش های کاربر و پروفایلهای دسترسی کمک می کند تا گروه های مختلف را بصورت سازماندهی شده و مرتب نگهداری کنید.
– نظارت بر وضعیت هویت (Monitoring Identity Status)
تغییرات وضعیت هویت کاربران خصوصا برای سازمانهای بزرگ بسیار اهمیت دارد. این جایی است که داشتن مخزنی از دسترسی هایی که از قبل داده شده، امری حیاتی است. اگر تعداد زیادی از افراد درحال پردازش درخواستهای تغییر دسترسی باشند، این احتمال وجود دارد که بین دسترسی های داده شده تداخل بوجود آید. با نظارت خودکار تغییرات امنیتی میتوان اطمینان حاصل کرد که دسترسی فقط براساس سیاستهای تعیین شده داده میشود.
– ثبت و پیگیری دسترسی (Logging and Tracking Access)
سازمان شما میتواند از طریق ثبت و پیگیری تغییرات دسترسی اطمینان حاصل کند که دسترسی داده شده تنها بر اساس روال درنظر گرفته شده، مورد استفاده قرار میگیرد. پیگیری تغییرات، سازمان را از شکاف و خطرات امنیتی محافظت میکند. رویدادهایی همچون دسترسی غیرمجاز، فعالیت کاربردی غیر معمول و تلاش های ورود نادرست بیش از حد نیز باید جهت نقض های امنیتی مورد ارزیابی قرار گیرند.
– حذف یا محدود کردن حقوق دسترسی (Removing or Restricting Rights)
این فعالیت شامل حذف دسترسی پس از اعطای آن یا محدود کردن دسترسی بر اساس نقشهای کاربر است. این اتفاقی زمانی رخ میدهد که نقش کاربران در طول دوره اشتغال آنها و بدلیل کار کردن در دپارتمانهای مختلف یا در سیستمهای مختلف تغییر کند. در صورتیکه کاربر اخراج یا فوت شود و یا دپارتمان، نقش یا مکان فیزیکی او تغییر کند، در چنین شرایطی باید یک فرآیند وجود داشته باشد که دسترسی های مجاز برای هر نقش را به کاربر بدهد. این فعالیت ها پایه و اساس یک سیاست امنیت اطلاعات قابل اطمینان هستند. فرایندها باید هر زمان که فعالیتها به نقش هر کاربر اعمال میشود، وجود داشته باشند.
فرآیندهای مدیریت دسترسی (Access Management Processes)
Access management شامل دو زیر فرآیند است:
نگهداری فهرستی از نقشهای کاربر و پروفایلهای دسترسی: این فرآیند شامل ساخت و نگهداری مخزنی از تمامی نقشهای کاربر و پروفایلهای دسترسی در داخل سازمان است. نقشهای کاربر همان فهرستهای تعریف شده و سلسله مراتبی از همه نقش ها در یک سازمان هستند، از جمله انواع کاربران، مانند نماینده service desk، کاربر کسب و کار، فروشنده و غیره. بازدید دوره ای از این نقشها اهمیت زیادی دارد، خصوصا در زمانیکه درخواستها برای تغییردسترسی می آید که بنظر نمیرسد به نقش مرتبط باشد. دسترسی هایی که به نقشها داده میشود باید هنگام خرید یا از کار افتادن یک نرم افزار جدید، مورد ارزیابی قرار گیرند. اینکار به شما امکان میدهد تا دسترسی ها را بر اساس فرآیند (نه بر اساس درخواستهایی که تنها یکبار انجا شده اند)، اعطا و حذف کنید.
تامین درخواستهای دسترسی کاربر: این زیرفرآیند همان نقطه ای است که فعالیتهای مدیریت دسترسی وارد عمل میشود. Access management کاربر را تایید میکند، حقوق دسترسی را فراهم میکند، وضعیت هویت کاربر را مانیتور میکند، دسترسی را محدود یا حذف میکند و دسترسی را ثبت و پیگیری میکند. موفقیت این زیرفرآیند به نگهداری یک پروفایل کاربری دقیق و مخزن دسترسی وابسته است.
مدیریت دسترسی و سایر فرآیندهای ITIL
Access management با بسیاری از مراحل تعامل دارد، این مراحل عبارتند از:
- مدیریت اجزاء در داخل مدیریت ظرفیت زمانی که محدودیت مجوز وجود دارد که ایجاد ورودهای جدید به سیستم را محدود میکند.
- مدیریت مالی هنگام اضافه کردن یک کاربر اضافی که هزینه مالی در پی خواهد داشت.
- طراحی سرویس و استراتژی سرویس هنگامی که سرویسها و اجزاء در آن مورد بحث قرار میگیرند و همچنین تعداد ورودیهای مورد نیاز به سیستم که باید مورد توافق قرار گیرند.
- سایر فرآیندهای عملیات سرویس هنگامیکه service desk درخواستی را به مدیریت دسترسی ارسال میکند.
Access management تنها فرآیندی است که مسئول اجرای سیاستهای امنیتی است. همچنین به عنوان نگهبان سیستم های سازمان، برای سلامتی سازمان به عنوان قفل در بخش جلویی سازمان نیز حیاتی است. متاسفانه، این فرآیند اغلب یکی از آخرین فرآیندهای رسمی است که در مرحله عملیات سرویس چرخه حیات ITIL مورد توجه قرار میگیرد. با استفاده از یک نرم افزار مدیریت خدمات فناوری اطلاعات که بر پایه اصول ITIL طراحی شده است، می تواند مدیریت دسترسی را به صورت اصول در سازمان خود پیاده سازی کنید و از مزایای ان بهره مند شوید.