🔄 Provisioning и Deprovisioning
Жизненный цикл управления учётными записями: от приёма сотрудника до увольнения и перевода
Жизненный цикл управления идентичностью и доступом охватывает создание, управление и удаление учётных записей. Без чётко определённых и поддерживаемых учётных записей система не может установить точную идентичность, выполнить аутентификацию, предоставить авторизацию и обеспечить подотчётность действий пользователей.
📌 Ключевой принцип: Provisioning и deprovisioning — не разовые события, а непрерывные процессы, требующие автоматизации, документирования и регулярного аудита для минимизации рисков безопасности.
✅ Provisioning / Онбординг
Провижининг (или онбординг) — процесс создания учётных записей новых пользователей с соблюдением установленных процедур. Также известен как enrollment или регистрация.
🤖 Автоматизированный провижинингИнформация передаётся в приложение, которое создаёт учётные записи по предопределённым правилам: автоматическое назначение групп на основе ролей, применение политик доступа, настройка MFA.
Преимущества: Консистентность, скорость, снижение человеческих ошибок, масштабируемость.
📦 Выдача оборудованияПровижининг включает выдачу сотрудникам оборудования: ноутбуков, мобильных устройств, токенов аутентификации, смарт-карт. Критически важно вести точный учёт выданных активов.
Практика: Использование CMDB/ITAM-систем для отслеживания серийных номеров, сроков гарантии, ответственных лиц.
🎯 Пост-провижининг: процессы онбординга
| Этап | Действия | Ответственный |
|---|---|---|
| 📄 Подписание AUP | Сотрудник знакомится и подписывает политику допустимого использования ресурсов | HR / ИБ |
| 🎓 Инструктаж по ИБ | Объяснение лучших практик: фишинг, пароли, мобильные устройства, защита данных | Отдел ИБ |
| 💻 Настройка рабочего места | Проверка работоспособности ПК, вход в домен, настройка почты, VPN, MFA | IT Support |
| 🔐 Менеджер паролей | Установка и настройка корпоративного менеджера паролей, импорт учётных данных | IT Support |
| 📞 Доступ к Help Desk | Объяснение каналов связи с техподдержкой, создание тикетов, SLA | Service Desk |
| 📁 Доступ к ресурсам | Инструкция по доступу, обмену и сохранению файлов в корпоративных системах | Руководитель |
❌ Deprovisioning / Оффбординг
Депровижининг (или оффбординг) происходит при увольнении сотрудника или его переводе в другой департамент. Своевременное и полное выполнение этого процесса критически важно для предотвращения утечек данных и несанкционированного доступа.
🔐 Отзыв учётной записи
Удаление учётной записи — самый простой способ депровижининга, но на практике применяется двухэтапный подход:
- 1. Отключение (disable) — немедленная блокировка входа, сохранение данных для аудита
- 2. Удаление (delete) — после проверки руководителем и завершения юридических процедур
⚠️ Критический риск: Если уволенный сотрудник сохраняет доступ к учётной записи после exit-интервью, риск саботажа, кражи данных или установки backdoor крайне высок.
📦 Возврат оборудованияДепровижининг включает сбор всего выданного оборудования: ноутбуков, мобильных устройств, токенов аутентификации, смарт-карт, пропусков.
Практика: Чек-лист возврата, проверка целостности устройств, удалённая очистка данных (wipe), обновление CMDB.
🔄 Перевод внутри организацииПри переводе сотрудника в другой департамент требуется пересмотр прав доступа: отзыв ненужных привилегий, назначение новых ролей, обновление групп безопасности.
Риск: Накопление избыточных прав (privilege creep) при частых переводах без регулярного аудита.
🔄 Управление переводами (Transfers)
Перевод сотрудника между департаментами или проектами требует особого внимания к управлению доступом. Неполный отзыв старых прав или задержка в назначении новых может создать уязвимости или нарушить бизнес-процессы.
✅ Best Practices для переводов
- Автоматизация через IAM — синхронизация с HR-системой для триггеров перевода
- Принцип наименьших привилегий — отзыв всех прав, затем назначение только необходимых
- Временные ограничения — установка срока действия временных доступов
- Аудит изменений — логирование всех изменений прав для последующего анализа
⚠️ Типичные ошибки
- Ручное управление правами без утверждения руководителя
- Отсутствие проверки накопленных привилегий (privilege creep)
- Задержка в отзыве доступа к старым системам
- Недокументированные временные доступы «на всякий случай»
⚙️ Автоматизация и инструменты
🔧 IAM-платформы- Microsoft Entra ID — интеграция с Azure AD, автоматизация lifecycle
- Okta — универсальный SSO и provisioning через SCIM
- SailPoint — управление идентичностью с аналитикой рисков
- ForgeRock — гибкие политики доступа и аудит
- Time-to-Provision — время от заявки до готовности доступа
- Time-to-Revoke — время от увольнения до полного отзыва прав
- Orphaned Accounts % — доля «забытых» учётных записей
- Privilege Creep Index — метрика накопления избыточных прав
📜 Соответствие регуляторным требованиям
🇷🇺 Российское законодательство
- 152-ФЗ — требование к учёту обработки персональных данных, включая доступ сотрудников
- 187-ФЗ (КИИ) — обязательный контроль доступа к критическим информационным инфраструктурам
- Приказы ФСТЭК — требования к разграничению доступа и аудиту действий пользователей
🌍 Международные стандарты
- ISO/IEC 27001 — контроль доступа как часть СМИБ (A.9)
- GDPR — право на удаление данных, включая доступ сотрудников
- PCI DSS — требование к немедленному отзыву доступа при увольнении (Req. 8.1.4)
✅ Чек-лист provisioning/deprovisioning
| Элемент | Provisioning | Deprovisioning | Transfer |
|---|---|---|---|
| Создание/отзыв учётной записи | ✅ | ✅ | 🔄 |
| Назначение ролей и групп | ✅ | ✅ | ✅ |
| Выдача/возврат оборудования | ✅ | ✅ | — |
| Подписание AUP / инструктаж | ✅ | — | — |
| Настройка MFA / токенов | ✅ | ✅ | 🔄 |
| Аудит и логирование изменений | ✅ | ✅ | ✅ |
✅ Обязательно | 🔄 Зависит от сценария | — Не применяется
🔐 Ключевые выводы
- ✓ Provisioning и deprovisioning — критические процессы управления рисками доступа
- ✓ Автоматизация через IAM снижает человеческие ошибки и ускоряет процессы
- ✓ Немедленный отзыв доступа при увольнении — защита от саботажа и утечек
- ✓ Переводы требуют пересмотра прав, а не простого добавления новых
- ✓ Аудит и метрики (Time-to-Revoke, orphaned accounts) — основа улучшения процессов
- ✓ Соответствие 152-ФЗ, ФСТЭК, ISO 27001 требует документирования всех этапов lifecycle
🔗 Продолжить изучение: практические кейсы внедрения IAM, шаблоны политик онбординга, настройка автоматизации в Entra ID / Okta
📥 Скачать шаблон политики💬 Обсудить в сообществеМатериал подготовлен для образовательных целей | Управление жизненным циклом учётных записей