مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران

مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران

مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران به عنوان یکی از بخش‌های مدل مرجع امنیت از مدل‌های مرجع ملی ارائه شده است. معماری سازمانی بیانگر مجموعه‌ای از مدل‌ها در ارتباط با تشریح یک سازمان است به گونه‌ای که قابل مدیریت بوده و در دوره حیات مفیدش قابل نگهداشت باشد. این واژه یادآور طرح و دید همه جانبه و کلان بر ساختار و رفتار موجودیتی پیچیده و پویا است که تهیه و نگهداشت آن مستلزم توجه ویژه به جامعیت، یکپارچگی، انعطاف‌پذیری و تعامل‌پذیری است.

واژه معماری در معماری سازمانی به معنای داشتن نقشه و مدل‌ جامع پیش از اجرا نقشه‌ها است. معماری سازمانی ساختاری برای یکپارچگی و ایجاد ارتباط مابین کسب‌وکار و فناوری است. مدیریت و راهبری معماری سازمانی باید پیش از خود معماری سازمانی ایجاد شود. پروژه‌های معماری سازمانی از جمله پروژه‌های بلند مدت در سازمان به شمار می‌روند. از این رو باید در اجرای این پروژه‌ها به دستاوردهای کوتاه مدت (Quick win) توجه شود تا حمایت مدیریت ارشد نیز جلب شود.

چارچوب معماری سازمانی ایران

چارچوب معماری سازمانی ایران توصیف‌کننده ساختار، دستورالعمل، الگوها و استانداردهای انجام معماری سازمانی در سطح دولت و دستگاه‌های اجرایی کشور است که با هدف تهیه چارچوب ملی معماری سازمانی ایران، هدایت مؤثر دستگاه‌های اجرایی برای تدوین و پیاده‌سازی اثربخش طرح‌های معماری سازمانی، هماهنگ با اهداف و سیاست‌های دولت الکترونیکی تدوین شده است.

این چارچوب دربردارنده چهار بخش اصلی چارچوب و روش شناسی” ، “مدل‌های مرجع ملی”، “مدل‌های مرجع بخشی” و “برنامه ترویج و استقرار” است و برای دو گروه از مخاطبان تهیه شده است. این چارچوب بر اساس چندین سال بررسی تحلیلی نمونه چارچوب‌ها و تجربه‌های معماری در دیگر کشورها و انطباق آن با نیازهای کشور طراحی و منتشر می‌شود. بخش‌هایی از این چارچوب کاملاً بومی و براساس تجربه‌های بیش از دودهه معماری سازمانی در ایران طراحی شده و نمونه مشابهی در جهان ندارد.

چارچوب معماری سازمانی ایران

مدل‌های مرجع ملی در چارچوب معماری سازمانی

بخش مدل‌های مرجع ملی در چارچوب معماری سازمانی ایران معادل الگوها و استانداردهای آماده معماری در مقیاس ملی در نظر گرفته شده است. شش مدل مرجع برای پوشش نیازهای دستگاه‌های اجرایی در این بخش تدوین شده است. مدل مرجع امنیت به منظور طبقه‌بندی و نمونه کنترل‌های امنیتی فناوری اطلاعات دستگاه‌های دولتی در نظر گرفته شده است.

مدیریت هویت و دسترسی در معماری سازمانی

مدل مرجع امنیت با تمامی مدل‌های دیگر در ارتباط است با این وجود، بیشترین ارتباط آن با مدل مرجع فناوری است. این مدل دربردارنده طبقه‌بندی جامعی از حوزه‌های امنیت، اصول امنیتی پایه، مکانیزم‌ها، استانداردها و سیاست‌های امنیتی در جهت فراهم کردن امنیت برای تمامی ذی‌نفعان می‌باشد. استفاده از مدل مرجع امنیت باعث ایجاد یک چارچوب و ساختار مشترک در کلیه دستگاه‌های اجرایی برای امنیت می‌شود و نیز دایرةالمعارفی مشترک از سرویس‌ها و استانداردهای امنیتی فراهم می‌کند که همکاری و تعامل‌پذیری بین دستگاه‌های مختلف را تسهیل می‌نماید.

با استفاده از مدل مرجع امنیت، کلیه دستگاه‌های اجرایی و دولتی نیازی به بررسی مکرر استانداردها جهت انتخاب نداشته و صرفه‌جویی قابل توجهی در وقت و هزینه تحلیل‌ها خواهد شد. مدل مرجع امنیت شامل چهار حوزه امنیتی اصلی و چهار لایه پشتیبان مطابق شکل زیر است.

ریسک معیاری است از این که یک موجودیت تا چه حد توسط شرایط یا رویداد بالقوه‌ای در معرض تهدید قرار می‌گیرد و معمولاً تابعی از اثرات نامطلوب ناشی از وقوع شرایط یا رویداد و احتمال وقوع ریسک می‌باشد. مدیریت ریسک متشکل از مراحل شناسایی ریسک‌های امنیتی، ارزیابی ریسک‌های شناسایی شده، دسته‌بندی ریسک‌های ارزیابی شده، کاهش و یا حذف ریسک‌های امنیتی موجود است.

در واقع مدیریت ریسک‌های امنیتی، اجرای منظمی از سیاست‌های امنیتی، فرآیندها و روش‌هایی است که به مدیر سازمان در شناسایی ریسک‌های امنیتی، تحلیل، ارزیابی و طبقه‌بندی آن‌ها کمک می‌کند.

مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران

کنترل‌های امنیتی یکی از راهکارهای کاهش یا از بین بردن ریسک می‌باشند که مکانیسم‌هایی برای رفع تهدیدات و کاهش آسیب‌پذیری‌ها ارائه می‌دهند. اصول پایه امنیت به عنوان قابلیت‌های امنیتی اصلی نقش تعیین‌کننده‌ای در انتخاب کنترل‌های امنیتی دارند. اصول پایه امنیت شامل مؤلفه‌های سطح بالایی است که برای هدایت و کنترل امنیت فناوری اطلاعات از دیدگاه مدیریت ریسک استفاده می‌شوند.

مدیریت هویت و دسترسی و معماری سازمانی

مدیریت هویت، دسترسی و مجوز در کنار مدیریت حفاظت از داده و اطلاعات از مهم‌ترین اصول پایه امنیتی برای سازمان می‌باشند که نقشی حیاتی در سرویس‌ها و زیرساخت‌های امنیتی ایفا می‌کنند. سرویس‌ها و زیرساخت‌های امنیتی شامل مؤلفه‌ها و زیرمؤلفه‌هایی است که توسط مؤلفه‌های اصول پایه امنیت، در زمینه‌های مربوط به خود استفاده می‌شوند.

مدیریت هویت، دسترسی و مجوز از مهم‌ترین اصول پایه امنیت در مدل مرجع امنیت به شمار می‌رود. مؤلفه‌های اصول پایه امنیت، قابلیت‌های امنیتی متداولی را توصیف می‌کنند که در هر محیط فناوری اطلاعات به منظور مدیریت ریسک‌‎های امنیتی مورد نیاز هستند. در شکل زیر جزییات مربوط مربوط به مدیریت هویت، دسترسی و مجوز آورده شده است.

مدیریت هویت و دسترسی در چارچوب معماری سازمانی

مدیریت هویت، دسترسی و مجوز سرویس‌هایی را ارائه می‌کند که به نقش‌ها و هویت‌ها، حقوق دسترسی و مجوزها وابسته هستند. استفاده صحیح از این سرویس‌ها می‌تواند تضمین کند که دسترسی به منابع برای هویت‌های صحیح، در زمان مناسب و برای اهداف مناسب اعطا شده است. همچنین این سرویس‌ها می‌توانند نظارت و ممیزی دسترسی به منابع برای کاربردهای غیرمجاز یا غیرقابل قبول را تضمین کنند.

مدیریت هویت، دسترسی و مجوز در معماری مرجع امنیت به چهار گروه مدیریت اعتماد، چرخه حیات هویت، مدیریت گواهی‌نامه و مدیریت مجوز و نقش تقسیم می‌شود.

مدل مرجع امنیت، ارتباط بسیار نزدیکی با پنج مدل مرجع دیگر از چارچوب مدل مرجع تلفیقی دارد به گونه‌ای که کنترل‌های امنیتی شامل مدیریت هویت، دسترسی و مجوز، و حریم خصوصی باید در کسب‌وکار، جریان‌های داده، سیستم‌های اطلاعاتی، برنامه‌های کاربردی و زیرساخت پوشش داده شوند.

عناصر کسب‌وکار مدل مرجع خدمات برای تعیین الزامات کسب‌وکار مدیریت هویت و دسترسی مورد استفاده قرار می‌گیرند. مدیریت هویت، دسترسی و مجوز به عنوان یکی از مؤلفه‌های كاربردی چهارگانه مدل مرجع نرم‌افزار مورد استفاده قرار گرفته است.

نویسنده: تورج اکبری