راهنمای جامع ITIL

ITIL Access Management

مدیریت دسترسی (Access Management) چیست؟

Access management با مدیریت امنیت اطلاعات همکاری کرده تا از این طریق اطمینان حاصل کند که قوانین دسترسی در سیاست‌های امنیتی اطلاعات، اجرا می‌شود. درخواست‌های دسترسی ممکن است با عنوان درخواست‌های سرویس ایجاد شده و توسط میز خدمات اداره شوند و یا ممکن است به منظور اجرا، به یک گروه امنیتی هدایت شوند.

بخش اصلی در مدیریت امنیت اطلاعات، کنترل دسترسی به برنامه ها یا داده ها است. Access management مسئول رسیدگی به درخواست‌های دسترسی کاربران است. این فرآیند شامل کنترل نام کاربری و رمز عبور است، اما شامل موارد دیگری همچون ایجاد گروه ها یا نقش‌ها با سطح دسترسی تعریف شده و سپس کنترل دسترسی ها از طریق تعریف عضویت گروه‌ها نیز می‌باشد.

مدیریت دسترسی علاوه برای اعطای مجوزهای دسترسی، در زمان تغییر وضعیت کاربر بواسطه انتقال، استعفا، یا پایان کار، مجوزهای کاربر را لغو می‌کند. بعلاوه access management میبایست بصورت دوره ای بر نقش‌ها یا گروه هایی که برای کنترل دسترسی مورد استفاده قرار می‌گیرند، نظارت داشته تا از این طریق اطمینان حاصل کند که صرفا مجوزهای مورد نیاز تخصیص داده شده اند و هیچ گونه تداخل مجوز بین نقش‌ها یا گروه ها وجود ندارد.

itil-service-operation

بخش اصلی در مدیریت امنیت اطلاعات، کنترل دسترسی به برنامه ها یا داده ها است. Access management مسئول رسیدگی به درخواست‌های دسترسی کاربران است. این فرآیند شامل کنترل نام کاربری و رمز عبور است، اما شامل موارد دیگری همچون ایجاد گروه ها یا نقش‌ها با سطح دسترسی تعریف شده و سپس کنترل دسترسی ها از طریق تعریف عضویت گروه‌ها نیز می‌باشد.

مدیریت دسترسی علاوه برای اعطای مجوزهای دسترسی، در زمان تغییر وضعیت کاربر بواسطه انتقال، استعفا، یا پایان کار، مجوزهای کاربر را لغو می‌کند. بعلاوه access management میبایست بصورت دوره ای بر نقش‌ها یا گروه هایی که برای کنترل دسترسی مورد استفاده قرار می‌گیرند، نظارت داشته تا از این طریق اطمینان حاصل کند که صرفا مجوزهای مورد نیاز تخصیص داده شده اند و هیچ گونه تداخل مجوز بین نقش‌ها یا گروه ها وجود ندارد.

Access management با نام مدیریت هویت (Identity Management) یا مدیریت حقوق دسترسی (Rights Management) نیز شناخته می‌شود. نقش آن نیز حصول اطمینان از این است که افراد در یک سازمان قادر به استفاده از سیستم هایی هستند که به آنها کمک می کند تا کارهای خود را انجام دهند، اما دسترسی این افراد به اندازه نیاز آنها می‌باشد. این فرایند بر اساس قاعده امنیت اطلاعات "حداقل مجوز" (یا "حداقل حق دسترسی") اجرا می شود، که بیان میدارد هر کاربر فقط باید بتواند به اطلاعات یا منابع لازم برای کار خود دسترسی داشته باشد. Access management سازمان‌ها را قادر می سازد تا با حفظ یک محیط امن، نه تنها مانع از استفاده های غیر مجاز شده بلکه از نقض اطلاعات که منجر به از دست رفتن اعتماد مشتری و مجازات های مالی می‌شود نیز جلوگیری می‌کند.

تعاریف مدیریت دسترسی (Access Management Definitions)

دسترسی (Access) سطح یا میزان استفاده از قابلیت‌های برنامه هایی است که کاربر مجاز به استفاده از آنها می‌باشد. برای مثال، دسترسی کاربر در یک فایل سرور یا سیستم مدیریت محتوا به سطوح مختلفی همچون خواندن فایل (read a file)، خواندن و نوشتن فایل (read and write a file)، ویرایش فایل (edit a file) و یا حذف فایل (delete a file) تقسیم می‌شود.

درخواست دسترسی (Access Request) روشی است که در آن کاربر درخواست دسترسی به یک سرویس را دارد. این معمولا یک درخواست برای ورود به سیستم از طریق یک درخواست سرویس از سمت service desk است.

سیاست امنیتی اطلاعات (Information Security Policy) سندی است که قوانین دسترسی را برای مدیریت دسترسی جهت اجرا فراهم می‎سازد. فرآیند مدیریت امنیت اطلاعات این سیاست‌ها را ایجاد و نگهداری می‌کند. هویت (Identity) اطلاعاتی است که مشخص می‌کند کاربر چه کسی است. این مورد برای تأیید وضعیت کاربر در یک سازمان و تعیین سطوح دسترسی او استفاده می شود. هر کاربر یک هویت منحصر بفرد دارد.

حقوق (Rights) که "سطوح دسترسی" نیز نامیده می‌شوند، تنظیماتی هستند که به همراه دسترسی کاربران برای آنها ارائه می‌شود. برای مثال، کاربر ممکن است برای مشاهده یک wiki داخلی دسترسی داشته باشد اما ممکن است مجاز به ویرایش یا حذف هر آنچه که در ویکی وجود دارد، نباشد.

گروه های خدمات (Service Groups) مجموعه های مشابهی از سرویس‌ها هستند. این سرویس‌ها ممکن است بطور یکسان عمل کنند یا وظایف مرتبطی داشته باشند، مانند یک سیستم تیکتینگ و یک سیستم مرکز تماس. این کار زمانی انجام می‌شود که کاربران به یک گروه خاص که دسترسی های مشابه را در چندین سیستم برای آنها فراهم می‌کند، اضافه شوند.

فعالیت‌های مدیریت دسترسی (Access Management Activities)

ITIL در مورد سلسله مراتب تصمیم گیری در خصوص دسترسی به وضوح بیان می‌کند که اعطای مجوز دسترسی باید مطابق با قوانین تعیین شده توسط سیاست امنیتی اطلاعات باشد. مدیریت دسترسی (Access management) نباید هیچ یک از سیاست‌های امنیتی را تنظیم کند. بنابراین فعالیت های مدیریت دسترسی، پاسخگویی مطابق با قوانینی است که از قبل تنظیم شده است.

درخواست دسترسی (Request Access)

این کار اولین قدم در اجرای مدیریت دسترسی است. درخواست‌ها می‌توانند بصورت یک درخواست سرویس از سمت service desk (در فاز service operation) یا در قالب یک درخواست تغییر (service transition) بیایند. دسترسی می تواند شامل عدم داشتن دسترسی به دسترسی و یا داشتن یک سطح دسترسی به سطوح دیگری باشد. در حالت ایده آل، سرویس کاتالوگ شامل فرآیندهایی برای پاسخگویی به درخواست‌ها است. این فعالیت باید تعریف کند که چه کسی می‌تواند درخواست دسترسی داشته باشد، چه اطلاعاتی لازم است و چگونه درخواست از طریق سیستم انجام خواهد شد.

تایید (Verification)

این فعالیت تایید می‌کند فردی که درخواست دسترسی دارد، دارای شرایط لازم برای چنین درخواستی است. کاربر باید هویت خود را اثبات کرده و یک دلیل کاری قانونی برای درخواست داشته باشد. سطوح مختلف دسترسی ممکن است شامل تاییدیه های متفاوتی باشند. به عنوان مثال، دسترسی به مشاهده و ویرایش گزارش های مالی نیازمند تاییدیه های بسیار متفاوتی نسبت به تأییدیه مورد نیاز برای ایجاد یک کاربر جدید با مجوزهای پیش فرض است.

فراهم سازی حقوق دسترسی (Rights)

پس از آنکه فردی تایید می‌شود، زمان فراهم کردن دسترسی فرا می‌رسد. در این مرحله کاربر به یک گروه جدید افزوده می‌شود (در صورت نیاز). ممکن است مجوزهای لازم در هر سیستمی که کاربر درخواست دسترسی به آن را دارد، ایجاد شود. این وظیفه مدیریت دسترسی است که اطمینان حاصل کند دسترسی فراهم شده با سایر مجوزهای دسترسی که از قبل داده شده، تداخلی نداشته باشد. ساختن فهرستی از نقش های کاربر و پروفایل‌های دسترسی کمک می کند تا گروه های مختلف را بصورت سازماندهی شده و مرتب نگهداری کنید.

نظارت بر وضعیت هویت (Monitoring Identity Status)

تغییرات وضعیت هویت کاربران خصوصا برای سازمان‌های بزرگ بسیار اهمیت دارد. این جایی است که داشتن مخزنی از دسترسی هایی که از قبل داده شده، امری حیاتی است. اگر تعداد زیادی از افراد درحال پردازش درخواست‌های تغییر دسترسی باشند، این احتمال وجود دارد که بین دسترسی های داده شده تداخل بوجود آید. با نظارت خودکار تغییرات امنیتی می‌توان اطمینان حاصل کرد که دسترسی فقط براساس سیاست‌های تعیین شده داده می‌شود.

ثبت و پیگیری دسترسی (Logging and Tracking Access)

سازمان شما می‌تواند از طریق ثبت و پیگیری تغییرات دسترسی اطمینان حاصل کند که دسترسی داده شده تنها بر اساس روال درنظر گرفته شده، مورد استفاده قرار می‌گیرد. پیگیری تغییرات، سازمان را از شکاف و خطرات امنیتی محافظت می‌کند. رویدادهایی همچون دسترسی غیرمجاز، فعالیت کاربردی غیر معمول و تلاش های ورود نادرست بیش از حد نیز باید جهت نقض های امنیتی مورد ارزیابی قرار گیرند.

حذف یا محدود کردن حقوق دسترسی (Removing or Restricting Rights)

این فعالیت شامل حذف دسترسی پس از اعطای آن یا محدود کردن دسترسی بر اساس نقش‌های کاربر است. این اتفاقی زمانی رخ می‌دهد که نقش کاربران در طول دوره اشتغال آنها و بدلیل کار کردن در دپارتمان‌های مختلف یا در سیستم‌های مختلف تغییر کند. در صورتیکه کاربر اخراج یا فوت شود و یا دپارتمان، نقش یا مکان فیزیکی او تغییر کند، در چنین شرایطی باید یک فرآیند وجود داشته باشد که دسترسی های مجاز برای هر نقش را به کاربر بدهد. این فعالیت ها پایه و اساس یک سیاست امنیت اطلاعات قابل اطمینان هستند. فرایندها باید هر زمان که فعالیت‌ها به نقش هر کاربر اعمال می‌شود، وجود داشته باشند.

فرآیندهای مدیریت دسترسی (Access Management Processes)

Access management شامل دو زیر فرآیند است:

  1. نگهداری فهرستی از نقش‌های کاربر و پروفایل‌های دسترسی: این فرآیند شامل ساخت و نگهداری مخزنی از تمامی نقش‌های کاربر و پروفایل‌های دسترسی در داخل سازمان است. نقش‌های کاربر همان فهرست‌های تعریف شده و سلسله مراتبی از همه نقش ها در یک سازمان هستند، از جمله انواع کاربران، مانند نماینده service desk، کاربر کسب و کار، فروشنده و غیره. بازدید دوره ای از این نقش‌ها اهمیت زیادی دارد، خصوصا در زمانیکه درخواست‌ها برای تغییردسترسی می‌ آید که بنظر نمی‌رسد به نقش مرتبط باشد. دسترسی هایی که به نقش‌ها داده می‌شود باید هنگام خرید یا از کار افتادن یک نرم افزار جدید، مورد ارزیابی قرار گیرند. اینکار به شما امکان می‌دهد تا دسترسی ها را بر اساس فرآیند (نه بر اساس درخواست‌هایی که تنها یکبار انجا شده اند)، اعطا و حذف کنید.
  2. تامین درخواست‌های دسترسی کاربر: این زیرفرآیند همان نقطه ای است که فعالیت‌های مدیریت دسترسی وارد عمل می‌شود. Access management کاربر را تایید می‌کند، حقوق دسترسی را فراهم می‌کند، وضعیت هویت کاربر را مانیتور می‌کند، دسترسی را محدود یا حذف می‌کند و دسترسی را ثبت و پیگیری می‌کند. موفقیت این زیرفرآیند به نگهداری یک پروفایل کاربری دقیق و مخزن دسترسی وابسته است.

مدیریت دسترسی و سایر فرآیندهای ITIL

Access management با بسیاری از مراحل تعامل دارد، این مراحل عبارتند از:

  • مدیریت اجزاء در داخل مدیریت ظرفیت زمانی که محدودیت مجوز وجود دارد که ایجاد ورودهای جدید به سیستم را محدود می‌کند.
  • مدیریت مالی هنگام اضافه کردن یک کاربر اضافی که هزینه مالی در پی خواهد داشت.
  • طراحی سرویس و استراتژی سرویس هنگامی که سرویس‌ها و اجزاء در آن مورد بحث قرار می‌گیرند و همچنین تعداد ورودیهای مورد نیاز به سیستم که باید مورد توافق قرار گیرند.
  • سایر فرآیندهای عملیات سرویس هنگامیکه service desk درخواستی را به مدیریت دسترسی ارسال می‌کند.

Access management تنها فرآیندی است که مسئول اجرای سیاست‌های امنیتی است. همچنین به عنوان نگهبان سیستم های سازمان، برای سلامتی سازمان به عنوان قفل در بخش جلویی سازمان نیز حیاتی است. متاسفانه، این فرآیند اغلب یکی از آخرین فرآیندهای رسمی است که در مرحله عملیات سرویس چرخه حیات ITIL مورد توجه قرار می‌گیرد.