Средства управления доступом
Средства управления доступом сводятся не только к аутентификации, но с их помощью определяется, кто имеет доступ к ресурсам организации. Средства управления доступом предусматривают несколько способов реализации. Наиболее распространенные алгоритмы привязаны к тем, что предлагаются операционными системами или программным обеспечением, поддерживающим работу предприятия. Это значит, что правила управления доступом привязаны к технологии, используемой для поддержки бизнеса.
Правила управления доступом должны быть сфокусированы на том, где использовать управление доступом, а не декларировать его использование. Специфика разработки правил управления доступом заключается в том, чтобы широкая формулировка правил не могла быть приложена к тому, что не требует управления доступом. Например, правила управления доступом, которые ограничивают доступ к информации организации, хранящейся в базе данных, не должны быть приложимы по отношению к документам, доступным через Intranet.
Таким образом, первым шагом в определении того, где требуются правила управления доступом, заключается в выяснении областей, в которых необходимо использовать компьютерные системы управления доступом, или требуется управление доступом на базе пользовательских имен/паролей. Чтобы это осуществить, необходимо вернуться к этапу инвентаризации ваших систем и отметить, где и как они используются. На основе такой информации можно разработать правила, соответствующие используемым вспомогательным системам.
Одной из проблем такого подхода является то, что между разработкой правила и его последующим пересмотром может появиться какая-нибудь новая система или новое требование ведения бизнеса, которые требуют введения новых правил управления доступом. Вместо пассивного ожидания последующего пересмотра правил лучше создать для каждого средства управления доступом свои правила в виде отдельного документа и добавить еще один документ, в котором говорится о следующем.
Ответственные за информацию лица, желающие установить новые системы или программное обеспечение для поддержки новых или уже существующих требований ведения бизнеса, для которых требуются собственные средства управления доступом, должны еще до инсталляции этих средств разработать правила управления доступом для этих систем. Эти правила должны пересматриваться таким же образом, что и уже существующие.
После рецензирования новых правил они добавляются к другим документам политики и становятся частью общей программы безопасности.