Az információbiztonságról szóló, 2013. évi L. törvény például többek között azt is kötelezővé teszi az állami szervek és önkormányzatok számára, hogy ellenőrizzék a hozzáféréseket és a felhasználói fiókokat, illetve határozzák meg a jogosultságokat az egyéni felelősségek szétválasztása érdekében. A szabályozásban az is szerepel, hogy a szervezeteknek a legkisebb jogosultság elvét kell alkalmazniuk, ami a felhasználóknak csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi.
Ezek biztosítása elsőre összetett feladatnak tűnhet, de a megfelelő hozzáférés-kezelési stratégia és eszközök segítségével egyszerűen megvalósítható. A kialakításukhoz szükséges legfontosabb lépéseket mutatja most be a NetIQ Novell SUSE Magyarországi Képviselet, a téma egyik hazai szakértője.
- Listázzuk a meglévő jogosultságokat!
A hozzáférés-kezelési rendszer kialakításánál az első lépés az, hogy megvizsgáljuk és összegyűjtjük, milyen jogosultságokkal rendelkeznek aktuálisan a szervezet alkalmazottai. Ehhez igénybe vehetünk olyan dedikált segítséget is, mint például a NetIQ Access Governance Suite, amely a teljes szervezeten belül képes összegyűjteni az adatokat arról, ki milyen hozzáférésekkel rendelkezik, és az eredményekről jól átlátható jelentést is készít. - Vizsgáljuk felül az összegyűjtött jogosultságokat!
Az összegyűjtött adatok birtokában elkezdhetjük elemezni, melyik hozzáférésre és jogosultságra van valóban szükség. Így azonosíthatjuk például azokat az árva fiókokat, amelyek tulajdonosa már nem dolgozik a vállalatnál, de még mindig eléri a kulcsfontosságú üzleti erőforrásokat. Ezek a visszaélések és csalások lehetséges kiindulópontjai. Hasonló kockázati tényező lehet, ha egy alkalmazottnak több hozzáférése van, mint amennyi a munkájához szükséges. Sok helyen előfordul például, hogy egy-egy alkalmazott új pozícióhoz jut a szervezeten belül, ami új hozzáférésekkel jár, de a korábbi, szükségtelenné vált jogosultságokat nem veszik el tőle. - Mérjük fel a kockázatokat!
Érzékenyebb szervezetek és rendszerek esetében a kockázatok felmérésére is érdemes külön figyelmet fordítani. A NetIQ Access Governance Suite csomagban megtalálható Risk Analyzer ezt a folyamatot rendkívül egyszerűvé teszi, mivel képes felkutatni és azonosítani azokat a területeket, amelyek a nem megfelelő vagy halmozott hozzáférésekkel rendelkező felhasználók miatt jöttek létre. Dinamikus kockázati modelleket hoz létre, amelyek minden felhasználóhoz, alkalmazáshoz és rendszererőforráshoz kiszámolja a kockázati értékeket az aktuális használat és a személyazonossági kérdések alapján. - Alakítsuk ki a szerepköröket!
Ha minden felhasználó esetében egyesével adjuk hozzá vagy tiltjuk le a hozzáféréseket, az rendkívül időigényes folyamat, és sok hibalehetőséggel jár. Ehelyett célszerű szerepköröket létrehozni a különféle beosztások, részlegek vagy feladattípusok alapján. Az egyes szerepköröknél csak egyszer kell megadni, hogy mely alkalmazásokhoz és fájlokhoz férjenek hozzá a szerepkörbe tartozó alkalmazottak, majd innentől kezdve az adott szerepkört tudjuk hozzárendelni az egyes felhasználókhoz. Így rendkívül egyszerűen és gyorsan oszthatjuk ki vagy tilthatjuk le a jogosultságokat. A NetIQ megoldása hatékony segítséget nyújt ebben a feladatban, hiszen a Governance Platformon keresztül olyan keretrendszert biztosít, amely központosítja a személyazonossági adatokat, rögzíti az üzleti irányelveket, és modellezi a szerepköröket. - Hozzunk létre jogosultság-igénylési rendszert!
Mindent nem tudunk lefedni a szerepkörökkel, ezért a későbbi feladatok egyszerűsítése érdekében érdemes kiépíteni egy külön rendszert a jogosultsági igénylések leadásához és kezeléséhez. A megfelelően kialakított rendszerben a felhasználók egyszerű és következetes folyamatokon keresztül, önkiszolgáló módon igényelhetik és kezelhetik a hozzáféréseiket. - Automatizáljunk!
A NetIQ Access Governance Suite arra is lehetőséget biztosít, hogy automatikusan beállítsuk a jogosultságokat az üzleti alkalmazásokban. Ezáltal kevesebb munka hárul az informatikai szakemberekre, és a hibalehetőségek száma is csökken. - Gondoskodjunk a folyamatos monitorozásról és felülvizsgálatról!
Az első hat lépéssel szilárd alapot teremtettünk, de a biztonság folyamatos fenntartása érdekében folyamatosan figyelemmel kell kísérnünk a megkapott jogosultságok használatát, és rendszeresen felül kell vizsgálnunk a szerepköröket, illetve a hozzájuk rendelt jogosultságokat.
