НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Актуализируем права доступа

Валерий Васильев
08.04.2016 14:35:56

Заявок на предоставление доступа в компаниях приходится обрабатывать много, а вот заявок на отзыв – считанные единицы. Почему? Вот как отвечает на это вопрос Даниил Казаков, директор департамента технологий управлении доступом компании RedSys.

Человеческая природа такова, что при получении нетиповых, разовых заданий сотрудники настоятельно добиваются получения новых прав доступа, необходимых для выполнения порученной работы. Зато после выполнения, как правило, не спешат отзывать временные права доступа, сохраняя их за собой.

Уходя в отпуск, случается, приходится передавать свои логины и пароли коллегам для завершения (или продолжения) важной работы.

Можно привести и другие примеры срочных временных изменений прав доступа сотрудников.

Вывод таков: необходим регулярный пересмотр прав доступа и отзыв утративших актуальность.

Часто делается это вручную. Но если количество компьютеризированных рабочих мест достигает тысячи, специалисты RedSys рекомендуют внедрить систему управления правами доступа – IDM. Это становится экономически обоснованным. При этом срок окупаемости системы зависит от сложности бизнес-процессов и ИТ-инфраструктуры заказчика и составляет 1-5 лет.

Комментариев: 3

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

11.04.2016 09:12:30

"временные права доступа" на то и "временные", что даются "на время".
След-но, в заявке должны указываться как начало действия, так И КОНЕЦ действия.
След-но, заявок меньше просто по причине того, что В ОДНОЙ заявке на предоставление
доступа, СРАЗУ ЖЕ(!) указывается и время/срок его отзыва, а НЕ создаётся новая.
Многие системы АВТОМАТИЧЕСКИ закрывают доступ по окончании указанного срока.

11.04.2016 13:27:17

След-то о сроках отзыва в заявке остается. Но.
Без автоматизации отзыв на совести (по-другому не скажешь) админа.
Это главное.
А арифметику с указанием в одной заявке сроков начала и окончания действия оставляю за Вашим личным опытом.

11.04.2016 15:05:01

В Active Directory у п-лей есть свойство "Account Expires". Для временных п-лей мы его используем, и тогда доступ блокируется автоматически. Для постоянных п-лей - отдел кадров выдаёт увольняющемуся сотруднику обходной листок, и мы п-ля блокируем при посещении ИТ-отдела. Или периодически отдел кадров передаёт список уволившихся для сверки. В общем, присутствует комбинация административно-программных решений...

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии