Автор: Кирилл | 72215 | 25.05.2017 07:42 |
Уважаемые гуру, такой вопрос!
Кто должен регистрировать пользователей в ИС - инфбез или ИТ админы? |
Автор: Пессимист | 72217 | 25.05.2017 11:35 |
По уму - отдел кадров, HR.
Но я только один раз видел как это реализовано на практике. |
Автор: Кирилл | 72218 | 25.05.2017 11:46 |
А есть ли какой то нормативный документ или стандарт, который определяет это?
|
Автор: Yason | 72219 | 25.05.2017 11:51 |
IT - регистрация по заявкам к различным системам, блокировка/удаление, уточнение реквизитов.
ИБ- согласования (по списку работников, иногда по ролям - если идёт запрос на повышенные привилегии администратора) и контроль УЗ (инвентаризация) HR - занесение в систему штатной книги, предоставлять актуальные списки работников, Если в системах имеется автоматическая блокировка УЗ, отмеченного в системе штатной книги как уволенного работника - большой плюс. |
Автор: Yason | 72220 | 25.05.2017 11:56 |
можно развести ещё бюрократию:
+ Рук. подразделения работника - согласование действительности необходимости доступа его работника в систему + "Владелец" системы - согласование доступа указанного работника к данным его ("владельца") системы. |
Автор: Олег | 72223 | 25.05.2017 13:43 |
Не думаю что в ИСО описано что именно кто то должен это делать, выбор за организацией, учитывая свои риски.
Хотя может ошибаюсь возможно и есть документ |
Автор: А.Ю. Щеглов, "НПП "Информационные технологии в бизнесе" | 72224 | 25.05.2017 14:04 |
Если по существу вопроса, то следует исходить из того, что по стастике 80% целевых атак предполагает получение прав системного администратора, кроме того, именно системный администратор - это наиболее опасный потенциальный инсайдер. Усечение прав и контроль действий системных администраторов - это одна из важнейших современных задач защиты информации.
Вот и думайте, кто и что должен делать в ИС. Относительно "бумажной безопасности" не подскажу, это не интересно. |
Просмотров темы: 3393