Контакты
Подписка
МЕНЮ
Контакты
Подписка

Автоматизация матрицы доступа - Форум по вопросам информационной безопасности

Автоматизация матрицы доступа - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: GVBH | 94331 07.06.2018 12:43
Коллеги,
ввиду растущей инфраструктуры, IT-отдел стал плохо справляться с администрированием матрицы доступа. На поверхности лежит два решения: распределить обязанности по структурным подразделениям или автоматизировать процесс.
Если кто сталкивался с такой задачей, подскажите, плз, решение для автоматизации. На выходе хочу видеть обычную картинку объекты доступа / субъекты доступа / права.

Автор: Artem, CRB | 94355 07.06.2018 15:02

Автор: GVBH | 94416 08.06.2018 08:44
То Artem,
Видел я эту вещь, но при ближайшем рассмотрении она не только сканирует и выдает матрицу, но и умеет менять что-то в системе. Как говорил один известный персонаж "что-то я очкую..."

Автор: oko | 94438 08.06.2018 14:45
to GVBH
Если у вас банальная ситуация "есть права доступа и сотрудники - надо оформить на бумаге", то автоматизируй не автоматизируй, все равно все будет упираться во ввод данных ответственным лицом. Единственное, что можно автоматизировать - это раздельное ведение таких "матриц" ответственными лицами (руководителям) подразделений/отделов. Чтобы потом все это сливалось в одну базу, которую главные ответственный проверяет, дополняет и печатает...
Если же у вас имеется перечень софта, каждый из которого позволяет делать выписки в своем формате по правам доступа (например, выписки из AD, выписки из СУБД, выписки из какой-то спецпрограммы обработки ИОД), установленным к защищаемым данным для пользователей внутри этого софта, то:
- либо искать готовые решения под каждый софт и как-то их связывать между собой, чтобы на выходе получить опять-таки единую базу (см. выше);
- либо писать скрипты выгрузки данных из этого софта, декодирования (приведения к единому формату) и формирования единой базы.
Уточните задачу для себя в первую очередь. И тогда станет ясно, что же вам конкретно нужно. Универсальных (и безопасных, ага) решений под формирование "матрицы" не существует. Как минимум, потому что у каждого обычно "свое видение" оной матрицы...

Автор: GVBH | 94457 09.06.2018 09:59
То oko,
Да, все примерно так и обстоит. Спецпроги для обработки ИОДа нет. Есть выгрузки из AD и т.д. Есть права пользователей... И на бумагу выводить тоже заставляют. Пришли к выводу, что ничего безопасного из готового мы не найдем и надо писать скрипт, чем и занялись.
Спасибо за помощь, господа. Ваши посты были полезны для осмысления и постановки задачи.
С уважением,
GVBH.

Автор: PTX, NTKS | 94522 11.06.2018 10:22
Не соглашусь с вами.

Во-первых, есть решения класса IDM, в которых вы можете связать в единую ролевую модель и права доступа в AD, и права, например, в 1С, в CRM, в кадровую БД и много чего еще.
При этом кадровые изменения - прием на работу, увольнение, перевод буду отображаться в автоматическом изменении ролей в связанных ИС.

Во вторых, если у вас фокус - именно AD, то существуют превосходные средства аудита, связывающие в единую БД и информацию о правах пользователей из AD, и права NTFS, и события доступа к файлам на файловых серверах.
А потом "сверху" - любая мыслимая аналитика, например:
"Кто удалял в прошлый четверг с сервера файлы с расширением xls?"
"Правда ли, что Иванов всю прошлую неделю работал с документам в такой-то папке, или он притронулся к ним только в пятницу?"
"Кто в юридическом отделе пользуется доступом к папке с договорами по теме N, а кому этот доступ так и не понадобился?"
"Что будет, если отозвать доступ у такой-то группы безопасности к такой-то папке? Вроде бы они ей не пользуются. Или пользуются?"
"К каким папкам размером больше 10 Гигов никто не обращался уже полгода? Может, их убрать с серверов и освободить места, которого все время не хватает"
И т,д,

Просмотров темы: 3935

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*