Аттестация и сертификация: зачем это нужно?

Многие организации, например, банки и страховые компании, проходят установленные процедуры аттестации и сертификации, чтобы подтвердить соответствие требованиям регуляторов. За рубежом это такие требования, как Sarbanes Oxley, HIPAA, FERC и Basel III; у нас, наряду с международными стандартами, — требования Банка России и пр. Другие компании считают процедуры аттестации и сертификации способом, подтверждающим прозрачность ведения бизнеса.
01f5edd9eb16416883b60049708a41c4.png
Какие же подходы используются при аттестации и сертификации, как организуется ресертификация, как все это устроено? Об этом — ниже.
Аттестация или сертификация?

Хотя эти термины часто используют как синонимы, между ними есть важные различия. Аттестация, по сути, подтверждает корректность неких фактов. Например:

  • Присваивание пользователям прав доступа (через членство в группе AD, роли SAP или композицию ролей).
  • Присваивание определенным ролям технических ролей или прав доступа / групп, например, присваивание ACL группе AD или транзакций и кодов полномочий роли SAP.
  • Присваивание системных ролей определенным бизнес-ролям.
  • Присваивание бизнес-ролей конкретным сотрудникам.


Кроме того, процесс аттестации может быть более глубоким и распространяться на процессы управления идентификационной информацией пользователей и заведения пользователей в системе, создания аккаунтов.

Примеры:

  • Подтверждение допустимости правила (такого, как конфликтный доступ).
  • Подтверждение допустимости процессов утверждения (approval) для указанных ИТ-ресурсов.
  • Подтверждение того, что сотрудник входит в структуру организации.


Ресертификация

Ресертификация — это текущий процесс повторного подтверждения предоставленных пользователю прав, привилегий и полномочий. Она гарантирует правильность авторизации пользователей для доступа к ИТ-системам и информации. Ресертификация очень важна в сфере управления, в проектах с высокими рисками и строгими нормативными требованиями. В особенности это относится к банкам и страховым компаниям, где требуется доказывать, что процедуры и методы контроля обеспечивают соответствующую аттестацию и сертификацию.
Нередко это ручные процедуры, когда персонал вводит детальные привилегии доступа для каждого пользователя и каждого типа системы.

Уровни сложности для ресертификации

В том, что касается ресертификации, выделяют несколько уровней сложности, как поясняет таблица.

Уровень Описание Ограничения
Уровень 1. Нет ресертификации, нет регулярной отчетности Нет ресертификации, нет отчетности Нет прозрачности и документирования
Уровень 2. Ресертификация как повторяющийся ручной процесс Организация составляет ежегодный отчет со списком сотрудников и их правами во всех системах. Руководители просматривают эти права и подтверждают или корректируют их для своих сотрудников Минимальная прозрачность и документирование
Уровень 3. Ресертификация отдельных прав с помощью автоматизированных процессов и запросов, процедуры утверждения Процессы ресертификации автоматизированы и регулярны, хорошо документированные процедуры запросов и утверждения Минимальная прозрачность, большая трудоемкость обработки запросов на предоставление прав
Уровень 4. Непрерывная ресертификация по нескольким уровням с помощью бизнес-ролей Использование описательных ролей для присваивания прав заметно повышает эффективность ресертификации Нет перспективы управления рисками
Уровень 5. Ресертификация с использованием принципов управления рисками Организация может анализировать информацию ресертификации с точки зрения рисков Нет


Уровень 1: нет сертификации, нет регулярной отчетности по аккаунтам.

Уровень 2: ресертификация реализована как регулярная ручная процедура.
Типичный пример уровня 2 — когда в организации регулярно вручную составляются списки всех сотрудников и их прав во всех системах, а руководитель подразделения контролирует списки своих сотрудников, подтверждая и корректируя их права. Это дает определенную степень прозрачности и документируемости.

48b05dc194774d0fa259c325132908d4.png


Недостатки подхода следующие:

  • Он трудоемок и отнимает много времени. Нередко приходится экспортировать файлы, вручную их объединять и вручать руководству распечатки длинных таблиц Excel. А внесение изменений в структуру прав и полномочий потребует ресертификации и значительного объема ручных операций.
  • Недостаточная прозрачность часто влечет лишнюю работу и наделение пользователей избыточными правами. Нередко права в отчете описываются техническими терминами, которые руководители не вполне понимают или же не понимают вовсе. А это как раз и создает риски: назначаемые пользователям права могут превышать те, что им необходимы для работы.
  • Риск неполноты картины: ресертификация основывается на правах, которые не всегда включают права, присвоенные со времени последней сертификации. Например, важная комбинация прав, временно присвоенных персоналу после сертификации, не включается в отчет и оказывается за рамками внимания.


Уровень 3: ресертификация отдельных прав посредством автоматизированных процессов и запросов, а также процедур утверждения. Организации могут повысить корректность присваивания прав, внедрив процессы непрерывной ресертификации. Начальные права, присваиваемые в этом процессе, контролируются посредством хорошо документированных процедур запроса / утверждения, и пользователи сохраняют соответствующие права при ресертификации.
Непрерывную сертификацию лучше всего реализовать с помощью автоматизированной системы управления идентификацией и учётными записями (Identity Management System, IDM), включающей компоненты документооборота. Это позволит задействовать при ресертификации те же процедуры, которые применялись при присваивании прав. Автоматизация облегчает ручной труд. Устраняется риск получения неполной картины, как при втором уровне, поскольку для присваивания прав используются хорошо формализованные и документированные процессы.

a4acd7eac0354f7aa0dafd9e60ace990.png


Однако, как и в случае уровня 2, здесь не хватает прозрачности. Названия прав и полномочий понятны техническим специалистам, но не руководителям, их утверждающим. Кроме того, такой подход не очень удобен, так как требует индивидуальной работы с большим количеством прав.

Уровень 4: предполагает непрерывную ресертификацию на нескольких уровнях с использованием бизнес-ролей. Для присваивания прав используются описательные роли, права не требуется назначать индивидуально. Это дает ряд преимуществ. Первое — прозрачность. Непонятные технические названия заменяются на описательные роли, поэтому ответственность за предоставление прав и полномочий можно переложить с ИТ-персонала на руководителей бизнеса. Последние лучше понимают, кому и какой нужен доступ. Тем самым снижается риск назначения избыточных прав. К тому же упрощается процедура изменения прав в случае организационных или технических изменений.
Например, при переходе сотрудницы из финансового в маркетинговый отдел автоматически отзываются ее права доступа к финансовым данным и обеспечивается доступ к требуемой маркетинговой информации.
Применение ролей помогает также проводить массовую аттестацию, что может потребоваться, к примеру, в случае крупной реорганизации или для ресертификации большого объема прав. Компании могут использовать поэтапный процесс ресертификации, основанный на ролях в организации. Руководителю достаточно просто присваивать сотрудникам роли (типа «менеджер по закупкам»), и не нужно даже знать, какие права реально с этими ролями связаны.
Наконец, если необходимо, для повышения уровня безопасности процедура ресертификации может включать определения бизнес-ролей.

2b70bf64408f41e2961042ac0b92a7a7.png

Уровень 5: ресертификация с использованием принципов управления рисками.
Методы риск-менеджмента быстро становятся частью процессов аттестации и ресертификации. Вместо того, чтобы анализировать всех пользователей, все привилегии доступа или все данные, организации фокусируют внимание на областях с наиболее высокой степенью риска. А для этого нужно понять:

  • Какие системы содержат наиболее критичные данные?
  • Кто имеет доступ к этим системам?
  • Какие полномочия и права у них есть, чтобы что-то там поменять?
  • Нарушает ли пользовательский доступ принцип разделения обязанностей?


Системы сертификации уровня 5 позволяют организациям ответить на эти вопросы, добавляют в процесс сертификации элемент интеллекта.

Реализация аттестации и сертификации Dell One Identity Manager

Как можно реализовать современную архитектуру аттестации и сертификации, использующую бизнес-роли для управления присваиванием прав? С помощью Dell One Identity Manager — решения для управления идентификацией и учётными записями, разработанного не только для задач ресертификации, а для управления всем жизненным циклом учетных записей. Identity Manager включает совокупность процессов и технологий для обслуживания и обновления идентификации пользователей и учётных записей. Он позволяет синхронизировать идентификационные данные, создавать и удалять учетные записи, управлять атрибутами, полномочиями и правами пользователей.

9fbe5ad4b553474eaa20e7c3ba326236.png


Архитектура Identity Manager содержит два основных компонента:

  • Объект аттестации, по существу представляющий собой интерактивный отчет для аттестующих. Важно, что входит в этот отчет: он отображает всю релевантную информацию, дает четкую картину процесса.


6022394d58724e43a9c03695a9353b6e.png


  • Политику аттестации, которая определяет, кто, как и при каких условиях должен выполнять аттестацию по каждому объекту.


Такая архитектура удовлетворяет строгим требованиям и обеспечивает безопасность в соответствии с принятыми в разных странах нормативами, она также позволяет реализовать управление не только правами, но и более сложными данными, чем разрешения, такими как:

  • Объекты, например процессы, личные статусы, процедуры запросов и утверждения, бизнес-роли, версии веб-интерфейса и правила соблюдения нормативных требований.
  • Триггеры, которые помимо обычного планирования могут добавлять, удалять, менять права пользователей, добавлять или отключать аккаунты.


52eb22713b004faea6883662c03291c1.png

Панели аттестации и ресертификации

Панели аттестации и ресертификации — полезные инструменты мониторинга, помогающие организациям контролировать состояние аттестации и ресертификации как непрерывный процесс. Они показывают состояние множества аттестационных процессов и дают ответы на следующие вопросы:

  • Сколько всего объектов аттестовано или ресертифицировано?
  • Как это сопоставляется с предыдущими процессами аттестации и ресертификации?
  • Как сравнить разные подразделения по эффективности работы?


fffde05a56f0451b87242aaa5ef8f527.png


Например, панели аттестации и ресертификации Identity Manager содержат диаграммы, показывающие статус политик аттестации.

Заключение

Перед многими организациями сейчас стоит проблема соответствия требованиям регуляторов и снижения рисков. В частности, все более востребованы средства отслеживания прав в ИТ-системах, и организации хотят использовать более развитые методы для достижения более высокого уровня аттестации и ресертификации. Передовые компании внедряют современные архитектуры аттестации и ресертификации, где для контроля присвоенных прав применяются бизнес-роли, а панели аттестации и ресертификации помогают выявлять потенциальные проблемы и контролировать процесс.

© Habrahabr.ru