Comments 6
Разве что осталось неудовлетворенным любопытство:
Чем проводите автоматизированный Role mining?
О каких именно IdM/IGA системах речь?
Литературное творчество автора подкреплено практическими знаниями и умениями, что вызывает чувство глубокого уважения, но возникает ряд вопросов (мыслей) по реализации: 1) SOD определение запретов по пересечению ролей, как это сделать в крупной КО непонятно, аналитики и компетенций просто не у подразделений: СВА, УИБ, СВК и прочиХ, особенно это касается конфликта интересов, если с базовыми запретами на пересечения в части ИБ, например оператор/контролер -понятно, в остальном нет. 2) тему с role mining также хотелось бы попросить осветить более наглядно для народных масс, это полезно. 3) перевод функциональных обязанностей на язык прав и полномочий доступа опять же для мелких банков видится нереализуемым, ввиду отсутствия аналитиков в части АБС и мастер систем. С уважением, эксперт по ИБ при работе в условиях полной неопределенности.
2) Принцип работы инструментов «role mining» состоит в том, чтобы проанализировать имеющиеся у сотрудников текущие права доступа и выявить совпадающие права для сотрудников одной должности или одного подразделения для дальнейшего объединения этих прав в роли. Чтобы поближе познакомиться с этой темой и посмотреть, как это работает на практике, нужно обратиться к компании-производителю решения по управлению доступом и запросить демонстрацию. Практически все существующие на рынке решения имеют в своём арсенале такой функционал. Посмотрев несколько решений, вы сможете их сравнить.
3) Да, действительно, иметь в своём штате аналитиков или технологов, занимающихся непосредственно разработкой ролевых моделей, может себе позволить достаточно крупная компания. Но на начальном этапе компании среднего размера могут запустить внутренний проект по наведению порядка в процессах управления доступом, со своим уставом/регламентом и рабочей группой, в которую войдут представители бизнеса, ИТ, безопасности и СВК. Или же можно воспользоваться услугами внешних компаний, предлагающих соответствующие сервисы.
В любом случае, чем раньше начинать эти процессы, тем лучше, пока состояние «полной неопределённости» не увеличилось в масштабах и не привело к негативным последствиям.
Строим ролевую модель управления доступом. Часть вторая, «строительная»