مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران
مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران به عنوان یکی از بخشهای مدل مرجع امنیت از مدلهای مرجع ملی ارائه شده است. معماری سازمانی بیانگر مجموعهای از مدلها در ارتباط با تشریح یک سازمان است به گونهای که قابل مدیریت بوده و در دوره حیات مفیدش قابل نگهداشت باشد. این واژه یادآور طرح و دید همه جانبه و کلان بر ساختار و رفتار موجودیتی پیچیده و پویا است که تهیه و نگهداشت آن مستلزم توجه ویژه به جامعیت، یکپارچگی، انعطافپذیری و تعاملپذیری است.
واژه معماری در معماری سازمانی به معنای داشتن نقشه و مدل جامع پیش از اجرا نقشهها است. معماری سازمانی ساختاری برای یکپارچگی و ایجاد ارتباط مابین کسبوکار و فناوری است. مدیریت و راهبری معماری سازمانی باید پیش از خود معماری سازمانی ایجاد شود. پروژههای معماری سازمانی از جمله پروژههای بلند مدت در سازمان به شمار میروند. از این رو باید در اجرای این پروژهها به دستاوردهای کوتاه مدت (Quick win) توجه شود تا حمایت مدیریت ارشد نیز جلب شود.
چارچوب معماری سازمانی ایران
چارچوب معماری سازمانی ایران توصیفکننده ساختار، دستورالعمل، الگوها و استانداردهای انجام معماری سازمانی در سطح دولت و دستگاههای اجرایی کشور است که با هدف تهیه چارچوب ملی معماری سازمانی ایران، هدایت مؤثر دستگاههای اجرایی برای تدوین و پیادهسازی اثربخش طرحهای معماری سازمانی، هماهنگ با اهداف و سیاستهای دولت الکترونیکی تدوین شده است.
این چارچوب دربردارنده چهار بخش اصلی چارچوب و روش شناسی” ، “مدلهای مرجع ملی”، “مدلهای مرجع بخشی” و “برنامه ترویج و استقرار” است و برای دو گروه از مخاطبان تهیه شده است. این چارچوب بر اساس چندین سال بررسی تحلیلی نمونه چارچوبها و تجربههای معماری در دیگر کشورها و انطباق آن با نیازهای کشور طراحی و منتشر میشود. بخشهایی از این چارچوب کاملاً بومی و براساس تجربههای بیش از دودهه معماری سازمانی در ایران طراحی شده و نمونه مشابهی در جهان ندارد.
مدلهای مرجع ملی در چارچوب معماری سازمانی
بخش مدلهای مرجع ملی در چارچوب معماری سازمانی ایران معادل الگوها و استانداردهای آماده معماری در مقیاس ملی در نظر گرفته شده است. شش مدل مرجع برای پوشش نیازهای دستگاههای اجرایی در این بخش تدوین شده است. مدل مرجع امنیت به منظور طبقهبندی و نمونه کنترلهای امنیتی فناوری اطلاعات دستگاههای دولتی در نظر گرفته شده است.
مدل مرجع امنیت با تمامی مدلهای دیگر در ارتباط است با این وجود، بیشترین ارتباط آن با مدل مرجع فناوری است. این مدل دربردارنده طبقهبندی جامعی از حوزههای امنیت، اصول امنیتی پایه، مکانیزمها، استانداردها و سیاستهای امنیتی در جهت فراهم کردن امنیت برای تمامی ذینفعان میباشد. استفاده از مدل مرجع امنیت باعث ایجاد یک چارچوب و ساختار مشترک در کلیه دستگاههای اجرایی برای امنیت میشود و نیز دایرةالمعارفی مشترک از سرویسها و استانداردهای امنیتی فراهم میکند که همکاری و تعاملپذیری بین دستگاههای مختلف را تسهیل مینماید.
با استفاده از مدل مرجع امنیت، کلیه دستگاههای اجرایی و دولتی نیازی به بررسی مکرر استانداردها جهت انتخاب نداشته و صرفهجویی قابل توجهی در وقت و هزینه تحلیلها خواهد شد. مدل مرجع امنیت شامل چهار حوزه امنیتی اصلی و چهار لایه پشتیبان مطابق شکل زیر است.
ریسک معیاری است از این که یک موجودیت تا چه حد توسط شرایط یا رویداد بالقوهای در معرض تهدید قرار میگیرد و معمولاً تابعی از اثرات نامطلوب ناشی از وقوع شرایط یا رویداد و احتمال وقوع ریسک میباشد. مدیریت ریسک متشکل از مراحل شناسایی ریسکهای امنیتی، ارزیابی ریسکهای شناسایی شده، دستهبندی ریسکهای ارزیابی شده، کاهش و یا حذف ریسکهای امنیتی موجود است.
در واقع مدیریت ریسکهای امنیتی، اجرای منظمی از سیاستهای امنیتی، فرآیندها و روشهایی است که به مدیر سازمان در شناسایی ریسکهای امنیتی، تحلیل، ارزیابی و طبقهبندی آنها کمک میکند.
مدیریت هویت و دسترسی در چارچوب معماری سازمانی ایران
کنترلهای امنیتی یکی از راهکارهای کاهش یا از بین بردن ریسک میباشند که مکانیسمهایی برای رفع تهدیدات و کاهش آسیبپذیریها ارائه میدهند. اصول پایه امنیت به عنوان قابلیتهای امنیتی اصلی نقش تعیینکنندهای در انتخاب کنترلهای امنیتی دارند. اصول پایه امنیت شامل مؤلفههای سطح بالایی است که برای هدایت و کنترل امنیت فناوری اطلاعات از دیدگاه مدیریت ریسک استفاده میشوند.
مدیریت هویت، دسترسی و مجوز در کنار مدیریت حفاظت از داده و اطلاعات از مهمترین اصول پایه امنیتی برای سازمان میباشند که نقشی حیاتی در سرویسها و زیرساختهای امنیتی ایفا میکنند. سرویسها و زیرساختهای امنیتی شامل مؤلفهها و زیرمؤلفههایی است که توسط مؤلفههای اصول پایه امنیت، در زمینههای مربوط به خود استفاده میشوند.
مدیریت هویت، دسترسی و مجوز از مهمترین اصول پایه امنیت در مدل مرجع امنیت به شمار میرود. مؤلفههای اصول پایه امنیت، قابلیتهای امنیتی متداولی را توصیف میکنند که در هر محیط فناوری اطلاعات به منظور مدیریت ریسکهای امنیتی مورد نیاز هستند. در شکل زیر جزییات مربوط مربوط به مدیریت هویت، دسترسی و مجوز آورده شده است.
مدیریت هویت، دسترسی و مجوز سرویسهایی را ارائه میکند که به نقشها و هویتها، حقوق دسترسی و مجوزها وابسته هستند. استفاده صحیح از این سرویسها میتواند تضمین کند که دسترسی به منابع برای هویتهای صحیح، در زمان مناسب و برای اهداف مناسب اعطا شده است. همچنین این سرویسها میتوانند نظارت و ممیزی دسترسی به منابع برای کاربردهای غیرمجاز یا غیرقابل قبول را تضمین کنند.
مدیریت هویت، دسترسی و مجوز در معماری مرجع امنیت به چهار گروه مدیریت اعتماد، چرخه حیات هویت، مدیریت گواهینامه و مدیریت مجوز و نقش تقسیم میشود.
مدل مرجع امنیت، ارتباط بسیار نزدیکی با پنج مدل مرجع دیگر از چارچوب مدل مرجع تلفیقی دارد به گونهای که کنترلهای امنیتی شامل مدیریت هویت، دسترسی و مجوز، و حریم خصوصی باید در کسبوکار، جریانهای داده، سیستمهای اطلاعاتی، برنامههای کاربردی و زیرساخت پوشش داده شوند.
عناصر کسبوکار مدل مرجع خدمات برای تعیین الزامات کسبوکار مدیریت هویت و دسترسی مورد استفاده قرار میگیرند. مدیریت هویت، دسترسی و مجوز به عنوان یکی از مؤلفههای كاربردی چهارگانه مدل مرجع نرمافزار مورد استفاده قرار گرفته است.
نویسنده: تورج اکبری
