Network World, США
Специалисты, проводящие аудит соблюдения политик в области прав доступа в компании, проверяют, как здесь действуют при увольнении сотрудников, изменениях должностных обязанностей и при работе с консультантами и сторонними специалистами. Какой бы высокой ни была нагрузка сотрудников ИТ-отдела и отдела кадров, компания должна обеспечить контроль, позволяющий гарантировать защиту сетей от тех, кто работает здесь сейчас, а также от тех, кто был уволен.
Касается ли это аудита на соответствие положениям закона Сарбейнса-Оксли или оценки рисков ИТ, определение прав доступа к корпоративной сети, содержащей цифровые активы и интеллектуальную собственность, должно иметь высокий приоритет. Но, как правило, на это обращают внимание только после обнаружения нарушения защиты или кражи информации. Реализация всего нескольких политик и процедур управления доступом позволяет компании стать значительно менее уязвимой перед нарушениями защиты информационных систем.
Необходимо начать с просьбы к менеджерам предоставить списки работающих сотрудников, а также сотрудников, уволенных с начала года, и пользователей, которым было отказано в доступе. Кроме того, потребуется описание политик и процедур, определяющих предоставление доступа и привилегий обмена файлами, а также описание процесса наделения новыми правами доступа сотрудников, сменивших должность. Также нужно выяснить, какова процедура анализа, позволяющая установить, насколько каждому из сотрудников необходимы предоставленные ему на данный момент привилегии, а также какова процедура увольнения.
Действительно ли роль проверяющих сводится к простому контролю? Это зависит от компании, но эффективность этой работы во многом определяется тем, какие практические решения предлагаются для того, чтобы минимизировать возможность предоставления некорректных привилегий. Я отдаю предпочтение решению, предусматривающему создание «паспорта», который специалист отдела кадров выдает каждому сотруднику. В этом паспорте приводится описание должностных обязанностей служащего, отдел, менеджер, права доступа и привилегии обмена файлами. В идеале каждое описание должностных обязанностей должно иметь предопределенный шаблон, включающий такую информацию. По мере изменения должностных обязанностей сотрудника в компании, ему необходимо выдавать новый паспорт, соответствующий данной должности, причем у каждого специалиста может быть только один такой паспорт. Подобная мера позволит предотвратить сохранение за сотрудником прав доступа, которых он не должен иметь.
Сотрудник отдела кадров проводит беседу со всеми увольняемыми специалистами, собирает у них ключи, сотовые телефоны и пейджеры, а также предоставляет им юридические документы, требующие подписи. Тогда же сотрудник отдела кадров должен послать по электронной почте сообщение всем группам, отвечающим за прекращение льгот и контроль физического доступа в здание, а также возможностей пользоваться компьютерными и телекоммуникационными системами. Предпринимая все эти действия сейчас, вы убережете себя от потенциальных краж и негативного внимания со стороны СМИ.