Опубликован: 17.05.2012 | Уровень: для всех | Доступ: платный
Лекция 13:

Управление запросами, доступом и проблемами в рамках Эксплуатации услуг

< Лекция 12 || Лекция 13: 12 || Лекция 14 >

13.3 Управление доступом

Управление доступом (Access Management) - процесс, отвечающий за допуск пользователей к использованию услуг, данных или других активов. Управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы[1]. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом.

Управление доступом предоставляет ценность бизнесу благодаря тому, что:

  • каждый сотрудник имеет уровень доступа, необходимый для выполнения своих обязанностей;
  • контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации;
  • уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги;
  • аудит использования услуг и отслеживание некорректной работы с ними;
  • быстрое лишение прав при возникновении необходимости;
  • может понадобиться для обеспечения соответствия требованиям регуляторов.

Рассмотрим последовательность деятельностей для предоставления доступа.

  1. запрос доступа (или его ограничение) может быть осуществлен через следующие механизмы:
    • стандартный запрос от Отдела кадров (HR). Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т.п.;
    • Запрос на изменение (RFC);
    • Запрос на обслуживание переданный рассмотренным выше процессом Управления запросами на обслуживание;
    • в процессе выполнения авторизованного сценария или опции (например, скачивание приложения с центрального сервера).
  2. Верификация запроса на получение доступа включает в себя проверку двух категорий:
    • пользователь, запрашивающий доступ, действительно тот, за кого себя выдает;
    • пользователь, запрашивающий доступ, имеет право его получить;

    Первый пункт проверяется обычно с помощью предоставления имени и пароля - они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т.п.

    Идентификатор (Identity) - уникальное наименование, используемое для идентификации пользователя, человека или роли. Идентификатор используется для предоставления прав пользователю, человеку или роли. Примерами идентификации могут быть имя пользователя Иванов Иван или Роль "Менеджер Изменений" [1].

    Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например:

    • уведомление от Отдела кадров о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг;
    • уведомление от Отдела кадров о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам;
    • подтверждение от соответствующего процессу менеджера;
    • предоставление запроса на обслуживание (с обоснованием) через сервис-деск;
    • предоставление запроса на изменение через процесс Управления изменениями;
    • политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы.

    Для новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ.

  3. Предоставление доступа. Управление доступом не принимает решений относительно того, кто и куда будет иметь доступ. Процесс только реализует политики и правила, определенные на этапах Проектирования или Построения стратегии. После верификации пользователя, Управление доступом предоставит ему доступ для использования запрошенной услуги. В большинстве случаев непосредственное предоставление доступа требует действий со стороны каждой команды, поддерживающей услугу. Поэтому при проектировании услуг лучше предусмотреть автоматизацию процесса предоставления доступа.
  4. Мониторинг статуса идентичности

    Пользователи, работающие в организации, и их роли могут меняться. Примерами изменения могут быть:

    • изменение обязанностей - в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам;
    • повышение или понижение в должности - в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями;
    • перевод - в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными;
    • отставка или смерть - в этом случае все доступы должны быть немедленно аннулированы;
    • выход на пенсию - в этом случае доступы либо аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене;
    • дисциплинарное ограничение - временное ограничение доступа пользователя из-за какой-то провинности;
    • увольнение - в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности.
  5. Мониторинг доступа

    Управление доступом ответственно не только за непосредственное предоставление доступа, но и за контроль его использования. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений (IDS).

  6. Отзыв или ограничение прав

    Наряду с предоставлением доступа, Управление доступом ответственно за его аннулирование или ограничение.

    Аннулирование доступа происходит в таких случаях как смерть, увольнение, сокращение, кардинальное изменение обязанностей и т.п. В ряде случаев полностью лишать сотрудника доступов не требуется, но есть необходимость в их ограничении. Например, при понижении сотрудника в должности.

13.4. Взаимосвязь процессов Эксплуатации с другими этапами жизненного цикла

Управление изменениями

Несмотря на то, что Управление изменениями рассматривается в рамках этапа Внедрения, персонал Эксплуатации услуг должен принимать участие в следующем:

  • инициализация и передача на рассмотрение Запросов на изменения (RFC), которые позволят разрешить проблемы, возникающие в процессе Эксплуатации;
  • участие во встречах с руководством для обсуждения позиции, рисков и проблем Эксплуатации;
  • участие в реализации изменений в соответствии с предписаниями Управления изменениями;
  • осуществление "откатов" в соответствии с предписаниями Управления изменениями ( в случае неудачных изменений);
  • обеспечивать поддержку в определении и управлении моделей изменений, которые имеют отношение к компонентам и услугам этапа Эксплуатации;
  • получение расписаний изменений и подготовка к ним персонала;
  • использование процесса Управления изменениями для стандартных операционных изменений.

Управление конфигурациями

Также как и Управление изменениями, Управление конфигурациями рассматривается в рамках этапа Внедрения. Тем не менее, персонал Эксплуатации услуг вовлечен в следующее:

  • информирование Управления конфигурациями о найденных несовпадениях между фактическим состоянием конфигурационных единиц и информацией в Системе управления конфигурациями (CMS);
  • осуществление действий по исправлению найденных несоответствий под контролем Управления конфигурациями.

Управление релизами и развертыванием

Персонал Эксплуатации участвует в следующем:

  • осуществление всех необходимых действий под контролем Управления релизами и развертыванием в вопросах, касающихся компонентов и услуг этапа Эксплуатации;
  • участие в планировании значительных релизов для того, чтобы были учтены все проблемы, которые могут возникнуть непосредственно на этапе Эксплуатации;
  • помещение/удаление компонентов в Библиотеку эталонного ПО (DML).

Управление мощностями

Как мы уже знаем, Управление мощностями работает на трех уровнях - Управление мощностями бизнеса, Управление мощностями услуг, Управление мощностями ресурсов:

  • В рамках Управления мощностями бизнеса персонал Эксплуатации взаимодействует с представителями бизнеса для планирования/обсуждения долгосрочных и краткосрочных вопросов и проблем, которые могут затронуть мощности IT;
  • В рамках Управления мощностями услуг этап Эксплуатации помогает более детально оценить характеристики каждой услуги, а также потребность пользователей или транзакций в услугах и инфраструктуре (в частности, в зависимости от времени);
  • В рамках Управления ресурсами этап Эксплуатации помогает более детально оценить показатели производительности/мощности, а также степень утилизации отдельных конфигурационных единиц.

Помимо рассмотренных аспектов, которые в большей степени имеют отношение к построению стратегии и планированию, операционный персонал выполняет ряд "повседневных" деятельностей, которые формально являются частью Управления мощностями, но осуществляются операционным персоналом.

  • Мониторинг мощности и производительности для обнаружения проблем и предотвращения сбоев. Мониторинг должен быть максимально автоматизирован.
  • Управление проблемами, связанными с производительностью и мощностью.
  • Хранение данных Управления мощностями, которые формируются в процессе мониторинга.
  • Управление спросом к отдельным ресурсам и услугам. Большинство вопросов управления спросом должно быть рассмотрено в рамках Проектирования, тем не менее, есть ряд вопросов, которые могут решаться на этапе Эксплуатации. Например, если с производительностью какой-то услуги возникают проблемы, персонал Эксплуатации услуг может ввести ограничение на количество пользователей, которые могут использовать услугу одновременно, до тех пор, пока проблемы не будут решены.
  • Управление рабочей нагрузкой рассматривает вопросы оптимизации ресурсов инфраструктуры для увеличения производительности. Например, составление расписаний для отдельной услуги или ее перемещение с одних конфигурационных единиц на другие.
  • Планирование мощностей. Персонал Эксплуатации услуг должен принимать участие в составлении планов мощностей.

Управление доступностью.

На этапах Внедрения и Проектирования определяются уровни доступности, которые необходимо обеспечить для услуг. Этап Эксплуатации ответственен за непосредственное предоставление услуг на этих уровнях пользователям. При эксплуатации услуг может выясниться, что согласованные уровни доступности недостижимы или не являются оптимальными. Информация о несоответствиях поступает на этап Непрерывного улучшения услуг для осуществления корректирующих действий.

Кроме того, персоналу операционного уровня иногда необходимо проводить работы, которые требуют остановки услуг, например, для обновления. Расписание таких работ должно быть доведено до персонала Управления доступностью.

Управление знаниями.

Информация с этапа Эксплуатации, которая имеет значение в перспективе, должна быть занесена в Систему управления знаниями по услугам (SKMS).

Финансовое управление.

Персонал Эксплуатации услуг должен принимать участие в обосновании необходимости финансирования. Также при введении мер по сокращению издержек, в обязанности Эксплуатации услуг входит контроль за тем, чтобы эти меры не повлияли существенно на предоставление услуг.

Управление непрерывностью услуг.

Эксплуатация услуг ответственна за тестирование планов восстановления и их реализацию в случае возникновения необходимости.

< Лекция 12 || Лекция 13: 12 || Лекция 14 >
Александр Колотов
Александр Колотов

Прошу вас уточнить по курсу ITIL. IT Service Management по стандартам V.3.1 вопрос о количестве версий ITIL.
Судя по названию и по материалу лекции версий 3. По факту версий 4. Т.е. как ответчать как правильно (4) или как по курсу который чуть устарел? Система оценки скорее всего будет согласно материала лекции.

Грета Березовская
Грета Березовская
Николай Растегаев
Николай Растегаев
Россия, Ижевск
Артем Кравченко
Артем Кравченко
Россия, МИИТ, 2010