Quản lý truy cập là gì?
Quản lý truy cập phối hợp chặt chẽ với quản lý bảo mật thông tin để đảm bảo rằng các quy định truy cập của chính sách bảo mật thông tin được thi hành. Yêu cầu truy cập có thể được bắt đầu như yêu cầu dịch vụ và được xử lý bởi bàn dịch vụ hoặc có thể được chuyển đến một nhóm bảo mật để thực hiện.
Một phần chính của quản lý bảo mật thông tin là kiểm soát truy cập vào các ứng dụng hoặc dữ liệu. Quản lý truy cập có trách nhiệm xử lý các yêu cầu từ người dùng truy cập. Quá trình này bao gồm kiểm soát tên người dùng và mật khẩu, nhưng cũng bao gồm việc tạo các nhóm hoặc vai trò với các đặc quyền truy cập được xác định và sau đó kiểm soát quyền truy cập bằng cách xác định tư cách thành viên nhóm.
Ngoài việc cấp quyền, quản lý truy cập sẽ thu hồi quyền khi trạng thái của người dùng thay đổi thông qua chuyển nhượng, từ chức hoặc chấm dứt. Ngoài ra, quản lý truy cập nên định kỳ xem xét các vai trò hoặc nhóm được sử dụng để kiểm soát quyền truy cập để đảm bảo rằng chỉ có các quyền cần thiết được cấp và không có xung đột quyền giữa các vai trò hoặc nhóm.
Quản lý truy cập còn được gọi là quản lý danh tính hoặc quản lý quyền. Vai trò của nó là đảm bảo rằng các cá nhân trong một tổ chức có thể sử dụng các hệ thống giúp họ thực hiện công việc của họ, nhưng chỉ có quyền truy cập vào họ nhiều như họ thực sự cần. Quá trình này chạy trên nguyên tắc bảo mật thông tin của Đặc quyền tối thiểu (hoặc ít quyền hạn nhất), trong đó tuyên bố rằng mỗi người dùng chỉ có thể truy cập thông tin hoặc tài nguyên cần thiết cho công việc của họ. Mặc dù có vẻ như là một gánh nặng khi phải từ chối quyền truy cập vào những người dùng muốn, nhưng điều quan trọng là mọi người phải tuân theo quy trình. Quản lý truy cập cho phép tổ chức duy trì một môi trường an toàn không chỉ ngăn chặn việc sử dụng trái phép mà còn ngăn chặn các vi phạm dữ liệu có thể làm mất lòng tin của khách hàng và chịu các hình phạt tài chính.
Định nghĩa quản lý truy cập
- Quyền truy cập là cấp độ hoặc phạm vi chức năng của ứng dụng mà người dùng được phép sử dụng. Ví dụ: trong máy chủ tệp hoặc hệ thống quản lý nội dung, quyền truy cập là liệu người dùng có thể đọc tệp, đọc và viết tệp, chỉnh sửa tệp hoặc xóa tệp.
- Yêu cầu truy cập là cách mà người dùng yêu cầu có thể truy cập dịch vụ. Đây thường là yêu cầu đăng nhập thông qua yêu cầu dịch vụ từ bàn dịch vụ.
- Chính sách bảo mật thông tin là tài liệu cung cấp các quy tắc quản lý truy cập. Quy trình quản lý bảo mật thông tin xây dựng và duy trì chính sách này. Danh tính là thông tin cần thiết để cho bạn biết người dùng là ai. Nó được sử dụng để xác minh trạng thái của người dùng trong một tổ chức và xác định cấp độ truy cập của người đó. Một danh tính là duy nhất cho người dùng.
- Quyền, còn được gọi là đặc quyền, là các cài đặt mà bạn cung cấp cho người dùng cùng với quyền truy cập của họ. Ví dụ: người dùng có thể có quyền truy cập để xem wiki nội bộ nhưng có thể không được phép chỉnh sửa hoặc xóa bất cứ điều gì trong wiki.
- Các nhóm dịch vụ là các bộ dịch vụ tương tự. Các dịch vụ này có thể thực hiện các chức năng tương tự hoặc liên quan đến nhau, chẳng hạn như hệ thống quản lý trung tâm cuộc gọi. Điều này được thực hiện khi người dùng được thêm vào một nhóm cụ thể sau đó cấp quyền truy cập tương tự trên nhiều hệ thống.
Hoạt động quản lý truy cập
ITIL rất rõ ràng về hệ thống phân cấp ra quyết định truy cập, nói rằng quyền truy cập phải được cấp theo các quy tắc được đặt ra bởi chính sách bảo mật thông tin. Quản lý truy cập không ra lệnh cho bất kỳ chính sách bảo mật nào. Các hoạt động của quản lý truy cập, do đó, đáp ứng theo các quy tắc đã được đặt ra.
Yêu cầu truy cập
Đây là bước đầu tiên trong việc thực hiện quản lý truy cập. Yêu cầu có thể đến từ bàn dịch vụ thông qua yêu cầu dịch vụ (trong hoạt động dịch vụ) hoặc từ yêu cầu thay đổi (khi chuyển dịch vụ). Truy cập có thể liên quan đến việc đi từ không có quyền truy cập để có quyền truy cập hoặc từ một cấp truy cập đến cấp độ khác. Lý tưởng nhất, danh mục dịch vụ nên bao gồm các quy trình để đáp ứng yêu cầu. Hoạt động này sẽ xác định ai có thể yêu cầu quyền truy cập, thông tin nào được yêu cầu và cách yêu cầu sẽ đi qua hệ thống.
Xác minh
Hoạt động này xác minh rằng một cá nhân yêu cầu quyền truy cập đủ điều kiện để yêu cầu nó. Người dùng phải chứng minh danh tính của họ và họ có lý do hợp pháp cho yêu cầu. Các cấp độ truy cập khác nhau có thể bao gồm số lượng xác minh khác nhau. Ví dụ: quyền truy cập để xem và chỉnh sửa báo cáo tài chính cần có nhiều yêu cầu phê duyệt khác với yêu cầu xác minh để tạo người dùng mới với quyền mặc định.
Cung cấp quyền
Khi cá nhân đã được xác minh, đã đến lúc cung cấp quyền truy cập. Điều này liên quan đến việc thêm người dùng vào một nhóm mới, nếu cần. Thông tin có thể cần được tạo trong mỗi hệ thống mà người dùng yêu cầu truy cập. Nhiệm vụ của quản lý truy cập là đảm bảo rằng quyền truy cập được cung cấp không can thiệp vào bất kỳ quyền truy cập nào khác đã được cấp. Xây dựng danh mục vai trò người dùng và hồ sơ truy cập giúp giữ cho các nhóm khác nhau tồn tại.
Giám sát tình trạng danh tính
Thay đổi trạng thái danh tính là cực kỳ quan trọng, đặc biệt là đối với các tổ chức lớn. Đây là nơi có một kho lưu trữ truy cập đã được cung cấp là rất quan trọng. Nếu có quá nhiều người xử lý các yêu cầu thay đổi truy cập, có khả năng quyền truy cập có thể được cấp có thể xung đột với quyền truy cập khác được cấp. Tự động theo dõi các thay đổi bảo mật cũng đảm bảo rằng quyền truy cập chỉ được cấp theo chính sách.
Ghi nhật ký và truy cập theo dõi
Bằng cách đăng nhập và theo dõi các thay đổi truy cập, tổ chức của bạn đảm bảo rằng quyền truy cập được cấp chỉ được sử dụng như dự định. Theo dõi các thay đổi cũng bảo vệ tổ chức khỏi các lỗ hổng bảo mật và rủi ro. Các sự kiện như truy cập trái phép, hoạt động ứng dụng bất thường và các nỗ lực đăng nhập không chính xác quá mức cần được đánh giá cho các vi phạm bảo mật.
Xóa bỏ hoặc hạn chế quyền
Hoạt động này liên quan đến việc xóa quyền truy cập một khi nó đã được cấp hoặc hạn chế quyền truy cập dựa trên vai trò của người dùng. Điều này xảy ra khi người dùng thay đổi vai trò trong quá trình làm việc của họ, làm việc trong các phòng ban khác nhau hoặc trên các hệ thống khác nhau. Cho dù người dùng bị chấm dứt, chết, thay đổi vai trò, chuyển bộ phận hoặc thay đổi địa điểm thực tế, cần có một quy trình để cấp cho họ quyền truy cập mà vai trò của họ cho phép. Các hoạt động này là nền tảng của chính sách bảo mật thông tin vững chắc. Các quy trình tồn tại cho từng hoạt động vì nó áp dụng cho từng vai trò người dùng.
Quy trình quản lý truy cập
Quản lý truy cập có hai quy trình phụ:
- Duy trì một danh mục vai trò người dùng và hồ sơ truy cập : Quá trình này liên quan đến việc xây dựng và duy trì một kho lưu trữ hoạt động của tất cả các vai trò người dùng và hồ sơ truy cập trong tổ chức. Vai trò người dùng được xác định danh sách và phân cấp của tất cả các vai trò trong một tổ chức, bao gồm các loại người dùng, chẳng hạn như bàn dịch vụ, người dùng doanh nghiệp, nhân viên bán hàng, v.v … Điều quan trọng là phải xem xét các vai trò này định kỳ, đặc biệt khi có yêu cầu truy cập những thay đổi dường như không tương ứng với vai trò. Quyền truy cập được trao cho các vai trò cũng nên được đánh giá khi phần mềm mới được mua hoặc ngừng hoạt động. Điều này cho phép bạn cấp và xóa quyền truy cập dựa trên quy trình thay vì theo yêu cầu một lần.
- Cung cấp yêu cầu truy cập của người dùng : Quá trình phụ này là nơi các hoạt động quản lý truy cập bắt đầu hoạt động. Quản lý truy cập xác minh người dùng, cung cấp quyền truy cập, theo dõi trạng thái nhận dạng, xóa hoặc hạn chế quyền truy cập, nhật ký và theo dõi truy cập. Thành công của quy trình phụ này phụ thuộc vào việc duy trì hồ sơ người dùng và kho lưu trữ truy cập chính xác.