Access Management

Aus Wiki Itil

Inhaltsverzeichnis 1 Einleitung 2 Zielsetzung 3 Basiskonzepte 4 Prozessmodell / Hauptaktivitäten 4.1 Requesting Access (Zugriff anfordern) 4.2 Verification (Überprüfung) 4.3 Providing rights (Rechtebereitstellung) 4.4 Monitoring identity status (Überwachung der Identität) 4.5 Protokollierung und Erfassung des Zugriffs 4.6 Entfernung oder Beschränkung von Rechten 5 Rollen innerhalb des Access Management

Einleitung

Der Prozess des Access Management ist dafür zuständig, autorisierten Anwendern den Zugriff auf Services zu gewähren und auf der anderen Seite nicht autorisierten Anwendern den Zugriff auf die Services zu verweigern. In diesem Zusammenhang wird auch von einem Rechtemanagement oder einem Identitätsmanagement (Identity Management) gesprochen.

Zielsetzung

Das Access Management stellt den Anwendern einen Service oder eine Gruppe von Services zur Verfügung, indem den Anwendern der Zugriff auf diese Services gewährt wird. Dies ist somit auch die operative Umsetzung von Richtlinien und Aktionen des Security und Availability Management.

Basiskonzepte

Access Management ist der Prozess, der Anwendern den Zugriff auf Services, die im Servicekatalog dokumentiert sind, ermöglicht. Er enthält folgende Grundkonzepte:

• Der Zugriff bezieht sich auf den Grad und das Ausmaß einer Servicefunktionalität oder von Daten, auf die ein Anwender zugreifen darf.
• Identität bezieht sich auf Informationen, die sich individuell unterscheiden und den Status innerhalb der Organisation prüfen. Als Definition: Die Identität eines Anwenders ist eindeutig dem Anwender zugeordnet.
• Rechte (auch Sonderrechte/Privilegien genannt) beziehen sich auf das aktuelle Umfeld, in dem ein User berechtigt ist, Zugriff auf einen Service oder eine Gruppe von Services zu erhalten, und definieren das Ausmaß des Zugriffs. Typische Rechte sind „lesen“, „schreiben“, „ausführen“, „ändern“ oder „löschen“.
• Services oder Servicegruppen: Die meisten Anwender nutzen nicht nur einen Service. Anwender, die ähnliche Aktivitäten vornehmen, nutzen meist ähnliche Services. Anstatt Zugriff zu jedem einzelnen Service für jeden Anwender separat zu gewähren, ist es effizienter, einzelnen Anwendern oder einer Gruppe von Anwendern Zugriff zu einer Menge von Services zur selben Zeit zu gewähren (wenn entsprechend berechtigt).
• Directory Services beziehen sich auf eine spezielle Art von Tool, das entsprechende Zugriffe und Rechte verwaltet.

Prozessmodell / Hauptaktivitäten

Requesting Access (Zugriff anfordern)

Der Zugriff auf Daten oder Services (oder die Verweigerung des Zugriffs) kann über folgende Mechanismen angefordert werden:

• Eine Standardanforderung, erstellt von einem HR-System (Human Resources-System, i. d. R. in der Personalabteilung). Dies könnte generell stattfinden, wenn eine Person eingestellt, befördert, versetzt oder entlassen wird.
• Einen RfC (Request for Change).
• Einen Service Request, beantragt über das Request Fulfilment System.
• Über die Ausführung von vorab genehmigten Scripts oder Optionen (z. B. das Herunterladen einer Applikation von einem Depotserver, wie und wenn es nötig ist).

Verification (Überprüfung)

Access Management muss jede Anforderung eines Zugriffs auf einen IT Service von zwei Seiten überprüfen:

1. Dass die Identität des Anwenders zweifelsfrei klar ist.
2. Dass ein legitimer Grund bzw. Anspruch auf Zugriff auf diesen Service besteht.

Die erste Kategorie ist üblicherweise sichergestellt, wenn die Anwender über einen Usernamen und ein Passwort verfügen. Abhängig von den organisationsinternen Sicherheitsvorschriften wird normalerweise die Benutzung von Username und Passwort als Legitimationsnachweis akzeptiert. Allerdings können für sensiblere Services weitere Identifizierungsmaßnahmen notwendig sein (z. B. biometrisch, der Gebrauch von elektronischen Zugriffsschlüsseln oder Entschlüsselungsvorrichtungen etc.). Die zweite Kategorie verlangt nach einer eigenständigen Überprüfung über die Anforderung des Anwenders hinaus. Zum Beispiel:

• Benachrichtigung der HR, dass die Person ein neuer Mitarbeiter ist und einen Usernamen sowie Zugriff auf den Service oder eine Menge x von Services benötigt.
• Benachrichtigung der HR, dass der Anwender befördert wurde und nun andere oder erweiterte Zugriffsrechte benötigt.
• Autorisierung eines berechtigten Managers (definiert im Prozess).
• Einreichung eines Service Request (inklusive entsprechenden Belegen/Formularen) durch den Service Desk.
• Einreichung eines RfC (inklusive entsprechenden Belegen/Formularen) durch das Change Management oder Ausführung eines vordefinierten Standard Change.
• Eine Richtlinie, die aussagt, dass Anwender Zugriff zu einem bestimmten optionalen Service bekommen, wenn dieser benötigt wird.

Für neue Services sollte der Change Record definieren, welche Anwender oder Anwendergruppen Zugriff zu diesem Service haben dürfen. Das Access Management wird dann entsprechend überprüfen, ob alle diese Anwender immer noch berechtigt sind, und ihnen daraus folgend den Zugriff einräumen, wie es im RfC definiert wurde.

Providing rights (Rechtebereitstellung)

Das Access Management entscheidet nicht, wer welchen Zugriff auf IT Services hat. Das Access Management führt die Richtlinien und Vorschriften aus, die vonseiten der Service Strategy und des Service Design definiert werden. Es erzwingt Entscheidungen in Bezug auf die Verweigerung oder Gewährung von Rechten und Zugriffen, anstatt selbst zu entscheiden.

Sobald ein Anwender überprüft wurde, stattet das Access Management den Anwender mit den entsprechenden Rechten aus, die er benötigt, um den Service zu nutzen. In den meisten Fällen wird dies in einer Anforderung für jedes Team oder jede Abteilung resultieren, das oder die diesen Service unterstützt. Wenn möglich, sollte dies automatisiert werden. Je mehr Rollen und Gruppen existieren, umso eher entsteht ein Rollenkonflikt. In diesem Kontext bedeutet Rollenkonflikt, dass mindestens zwei spezifische Rollen oder Gruppenprofile, wenn sie einem Anwender zugewiesen werden, Probleme mit der Trennung von Pflichten oder Interessenkonflikten hervorrufen. Beispiele hierzu sind:

• Eine Rolle erfordert einen bestimmten Zugriff, während eine andere Rolle diesen Zugriff verweigert.
• Zwei Rollen erlauben einem Anwender, zwei Aktionen durchzuführen, die in der Form nicht kombiniert werden dürften (z. B. ein Anwender kann Zeiterfassungsbelege für ein Projekt erfassen oder kontrollieren und kann aber auch gleichzeitig die Zahlung für dieses Projekt anweisen).

Rollenkonflikte können vermieden werden, indem man vorsichtig bei der Erstellung von Rollen und Gruppen vorgeht. Größtenteils entstehen diese aber durch Vorschriften und Entscheidungen, die außerhalb der Service Operation getroffen werden – entweder durch das Business oder durch verschiedene Projektteams während der Service Design-Phase.

Das Access Management sollte eine regelmäßige Nachprüfung der Rollen und Gruppen durchführen und sicherstellen, dass diese angemessen für den Service sind, den die IT liefert und unterstützt – hinfällige oder ungewollte Rollen und Gruppen sollten hierdurch auch identifiziert und folgerichtig entfernt werden.

Monitoring identity status (Überwachung der Identität)

Im Laufe der Zeit ändert sich die Rolle eines Anwenders in einer Organisation und somit auch sein Bedarf an Rechten oder Zugriffen auf Services. Beispiele hierzu sind:

• Änderung der Funktion (Job Change). In diesem Fall benötigt der Anwender eventuell einen unterschiedlichen bzw. anderen Zugriff auf andere oder zusätzliche Services.
• Beförderungen oder Degradierungen. Der Anwender wird eventuell die gleiche Menge an Services nutzen, aber er benötigt einen anderen (erweiterten oder verminderten) Zugriff auf Funktionalitäten oder Daten.
• Versetzungen. In dieser Situation benötigt der Anwender genau dieselben Services, aber in einer anderen Region mit unterschiedlichen Arbeitsanweisungen, Richtlinien und Daten.
• Austritt aus dem Unternehmen. Hier muss der Zugriff auf Daten komplett entfernt werden, damit der User Account nicht als Sicherheitslücke genutzt werden kann.
• Ruhestand. In manchen Organisationen bekommen die Angestellten selbst nach Verlassen des Unternehmens durch eine Ruhestandsregelung noch Zugriff auf eine limitierte Anzahl von Services, z. B. auf Bonussysteme oder Systeme, die einen vergünstigten Mitarbeitereinkauf von Produkten ermöglichen.
• Disziplinare Aktivitäten. In manchen Fällen wird der Zugriff auf Daten bzw. Services eines Anwenders durch die Organisation temporär begrenzt oder entzogen. Hierzu sollte es einen separaten Schritt im Prozess und in den Tools geben, damit verhindert werden kann, dass der Anwender im System gelöscht und neu angelegt werden muss.
• Entlassungen. Wenn ein Angestellter oder Vertragspartner entlassen wird oder gesetzliche Schritte gegen einen Kunden eingeleitet werden (z. B. wenn die Bezahlung eines bestellten Produktes unterlassen wird), sollte der Zugriff umgehend entfernt werden. In Zusammenarbeit zwischen dem Access Management und dem Security Management sollten auch proaktive Maßnahmen vorgenommen werden, um schädliche Aktionen gegen das Unternehmen im Vorfeld erkennen und abwehren zu können.

Das Access Management sollte den typischen Anwenderlebenszyklus für jeden Anwender verstehen, dokumentieren und diese Erkenntnisse nutzen, um den Prozess weiter zu automatisieren. Access Management Tools sollten Aktionen wie das Versetzen eines Anwenders (räumlich oder auch organisatorisch) vereinfachen und, mit entsprechenden Buchungskontrollen versehen, unterstützen.

Protokollierung und Erfassung des Zugriffs

Das Access Management sollte nicht nur auf Anfragen reagieren. Es ist ebenso dafür verantwortlich, dass die vergebenen Rechte ordnungsgemäß genutzt werden. In dieser Beziehung muss eine Zugriffsüberwachung und -steuerung in den Überwachungsaktivitäten aller technischen und Applikations-Steuerungsfunktionen sowie aller Service Operation-Prozesse etabliert werden. Ausnahmen sollten durch das Incident Management behandelt werden, z. B. durch das Nutzen eines speziell entwickelten Incident-Modells, um mit dem Missbrauch von Rechten umzugehen.

Entfernung oder Beschränkung von Rechten

Genau so, wie das Access Management für die Einrichtung und Gewährung von Rechten zuständig ist, ist es für das Widerrufen der Rechte zuständig. Die Entscheidung hierfür liegt nicht im Access Management! Es führt vielmehr die Entscheidungen und Richtlinien aus, die in der Service Strategy oder im Service Design bzw. durch das Management einer Organisation getroffen wurden.

Rollen innerhalb des Access Management

Da das Access Management auch Teile des Security und Availability Management umsetzt, sind diese beiden Prozesse auch für die Definition der entsprechenden Rollen verantwortlich. Es ist unüblich für eine Organisation, einen Access Manager zu benennen, obwohl es wichtig ist, dass es einen einzelnen Access Management-Prozess gibt und entsprechende Strategien und Taktiken, bezogen auf das Steuern von Rechten und Zugriffen, existieren. Dieser Prozess und die entsprechenden Strategien und Taktiken sollten von einem Information Security Management definiert und gepflegt sowie von verschiedenen Service Operation-Funktionen ausgeführt werden.