A szabályozásban az is szerepel, hogy a szervezeteknek a legkisebb jogosultság elvét kell alkalmazniuk, ami a felhasználóknak csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi. Ezek biztosítása elsőre összetett feladatnak tűnhet, de a megfelelő hozzáférés-kezelési stratégia és eszközök segítségével egyszerűen megvalósítható. A kialakításukhoz szükséges legfontosabb lépéseket mutatja most be a NetIQ Novell SUSE Magyarországi Képviselet, a téma egyik hazai szakértője. [b] 1. Listázzuk a meglévő jogosultságokat![/b] A hozzáférés-kezelési rendszer kialakításánál az első lépés az, hogy megvizsgáljuk és összegyűjtjük, milyen jogosultságokkal rendelkeznek aktuálisan a szervezet alkalmazottai. Ehhez igénybe vehetünk olyan dedikált segítséget is, mint például a NetIQ Access Governance Suite, amely a teljes szervezeten belül képes összegyűjteni az adatokat arról, ki milyen hozzáférésekkel rendelkezik, és az eredményekről jól átlátható jelentést is készít. [b]2. Vizsgáljuk felül az összegyűjtött jogosultságokat![/b] Az összegyűjtött adatok birtokában elkezdhetjük elemezni, melyik hozzáférésre és jogosultságra van valóban szükség. Így azonosíthatjuk például azokat az árva fiókokat, amelyek tulajdonosa már nem dolgozik a vállalatnál, de még mindig eléri a kulcsfontosságú üzleti erőforrásokat. Ezek a visszaélések és csalások lehetséges kiindulópontjai. Hasonló kockázati tényező lehet, ha egy alkalmazottnak több hozzáférése van, mint amennyi a munkájához szükséges. Sok helyen előfordul például, hogy egy-egy alkalmazott új pozícióhoz jut a szervezeten belül, ami új hozzáférésekkel jár, de a korábbi, szükségtelenné vált jogosultságokat nem veszik el tőle. [b]3. Mérjük fel a kockázatokat! [/b] Érzékenyebb szervezetek és rendszerek esetében a kockázatok felmérésére is érdemes külön figyelmet fordítani. A NetIQ Access Governance Suite csomagban megtalálható Risk Analyzer ezt a folyamatot rendkívül egyszerűvé teszi, mivel képes felkutatni és azonosítani azokat a területeket, amelyek a nem megfelelő vagy halmozott hozzáférésekkel rendelkező felhasználók miatt jöttek létre. Dinamikus kockázati modelleket hoz létre, amelyek minden felhasználóhoz, alkalmazáshoz és rendszererőforráshoz kiszámolja a kockázati értékeket az aktuális használat és a személyazonossági kérdések alapján. [b]4. Alakítsuk ki a szerepköröket![/b] Ha minden felhasználó esetében egyesével adjuk hozzá vagy tiltjuk le a hozzáféréseket, az rendkívül időigényes folyamat, és sok hibalehetőséggel jár. Ehelyett célszerű szerepköröket létrehozni a különféle beosztások, részlegek vagy feladattípusok alapján. Az egyes szerepköröknél csak egyszer kell megadni, hogy mely alkalmazásokhoz és fájlokhoz férjenek hozzá a szerepkörbe tartozó alkalmazottak, majd innentől kezdve az adott szerepkört tudjuk hozzárendelni az egyes felhasználókhoz. Így rendkívül egyszerűen és gyorsan oszthatjuk ki vagy tilthatjuk le a jogosultságokat. A NetIQ megoldása hatékony segítséget nyújt ebben a feladatban, hiszen a Governance Platformon keresztül olyan keretrendszert biztosít, amely központosítja a személyazonossági adatokat, rögzíti az üzleti irányelveket, és modellezi a szerepköröket. [b]5. Hozzunk létre jogosultság-igénylési rendszert![/b] Mindent nem tudunk lefedni a szerepkörökkel, ezért a későbbi feladatok egyszerűsítése érdekében érdemes kiépíteni egy külön rendszert a jogosultsági igénylések leadásához és kezeléséhez. A megfelelően kialakított rendszerben a felhasználók egyszerű és következetes folyamatokon keresztül, önkiszolgáló módon igényelhetik és kezelhetik a hozzáféréseiket. [b]6. Automatizáljunk![/b] A NetIQ Access Governance Suite arra is lehetőséget biztosít, hogy automatikusan beállítsuk a jogosultságokat az üzleti alkalmazásokban. Ezáltal kevesebb munka hárul az informatikai szakemberekre, és a hibalehetőségek száma is csökken. [b]7. Gondoskodjunk a folyamatos monitorozásról és felülvizsgálatról![/b] Az első hat lépéssel szilárd alapot teremtettünk, de a biztonság folyamatos fenntartása érdekében folyamatosan figyelemmel kell kísérnünk a megkapott jogosultságok használatát, és rendszeresen felül kell vizsgálnunk a szerepköröket, illetve a hozzájuk rendelt jogosultságokat.
A szabályozásoknak megfelelő hozzáférés-kezelés hét lépésben
A személyazonosságok és hozzáférések körültekintő kezelése minden szervezet számára alapvető a biztonságos működéshez, de van, ahol a törvény is előírja a szükségességét. Az információbiztonságról szóló, 2013. évi L. törvény például többek között azt is kötelezővé eszi az állami szervek és önkormányzatok számára, hogy ellenőrizzék a hozzáféréseket és a felhasználói fiókokat, illetve határozzák meg a jogosultságokat az egyéni felelősségek szétválasztása érdekében.