2. Идентификация участников и их полномочий
Следующий шаг — это определить, кому необходим доступ к выявленным ИТ-активам для выполнения должностных или договорных обязательств, то есть идентифицировать пользователей. Необходимо выявить внутренних и внешних лиц, которые могут пользоваться системами ВУЗа. К таким лицам, например, относятся:
- сотрудники, включая высшее руководство;
- физические лица, являющиеся работниками организации (индивидуального предпринимателя), с которой заключены договорные отношения;
- физические лица, в том числе индивидуальные предприниматели и самозанятые, с которыми заключены договоры гражданско-правового характера;
При этом идентификацию участников необходимо осуществить в разрезе каждого информационного актива ВУЗа, выявленного на прошлом этапе. Так можно получить полную картину о лицах, задействованных в эксплуатации систем, сервисов и компонентов.
Помимо определения пользователей, требуется выяснить, какие права им нужны для выполнения должностных и договорных обязательств: кому необходим привилегированный доступ, кому — упрощенный доступ к определенной функциональности, кому — базовые возможности. Также стоит учитывать иерархическую структуру в организации процессов ВУЗов. Так, на практике руководители и вышестоящие работники имеют более расширенные возможности в системе по сравнению с подчиненными сотрудниками и менее опытными коллегами. Такое «неравенство» в доступах обусловлено установленными в ВУЗе процедурами и процессами. Например, ученый секретарь будет иметь больше прав в учетной или иной системе по сравнению с коллегами-преподавателями, поскольку секретарь обеспечивает научно-административную координацию в рамках закрепленной за ним своей ответственности (кафедра, ученый совет и т. д.), а также помогает коллегам по возникающим вопросам и в случае возникновения форс-мажоров.
Погружение в осуществляемые процессы ВУЗа позволит не только идентифицировать участников, но и сгруппировать их. На практике учетные записи пользователей объединяют в группы для предоставления единых (унифицированных) прав доступа. Условно, все пользователи группы «Отдел бухгалтерского учета» имеют доступ к папке «Бухгалтерия», расположенной на корпоративном файловом хранилище. Также на практике сотрудники (внешние лица) могут взаимозаменять другу друга, имея доступ к одному и тому же компоненту для реализации установленных обязанностей. Поэтому помимо персонифицированных учетных записей создаются общие учетные записи, доступ к которой могут иметь несколько лиц сразу. Например, для администрирования сетевого оборудования создается учетная запись с привилегированными правами, которой могут воспользоваться несколько сотрудников отдела информационных технологий, поскольку они знают заданные единые идентификатор и аутентификатор. Проще говоря, знают логин и пароль от данного оборудования.
Соответственно, для корректного распределения прав и полномочий рекомендуется проводить интервьюирования / опросы для того, чтобы узнать существующие процессы в структурных единицах (кафедры, отделы и т. д.) и реализуемые функции специалистов.
Таким образом, в рамках данного этапа рекомендуется:
- идентифицировать внешних и внутренних пользователей для каждого ИТ-актива;
- определить, какая функциональность им необходим для реализации должностных или договорных обязанностей;
- по возможности и необходимости, сгруппировать пользователей для предоставления общих прав доступа по объединяющим признакам;
- при необходимости, создать неперсонифицированные (общие) учетные записи, предоставив доступ к ним ограниченному кругу лиц.