Мова: Українська
Вступ
Створення ролей та їх надання користувачам в ActivityInfo є важливою частиною управління доступом до даних та забезпечення безперебійного управління проєктом. Ця стаття про найкращі практики покликана допомогти адміністраторам баз даних створювати ролі, підтримувати їх у належному стані та витрачати менше часу й зусиль на управління системою. Враховуючи поради з цієї статті, адміністратори баз даних надаватимуть користувачам у цих ролях лише ті дозволи, які їм потрібні для виконання своєї роботи, та отримуватимуть максимальну користь від даних для досягнення цілей проєкту.
Розуміння ролей та обов'язків користувачів
Важливо пам'ятати, що ролі — це набір Грантів та Параметрів, які ви надаєте групі людей. Вони спрощують контроль доступу, групуючи дії, які люди можуть виконувати у вашій Базі даних. Призначення ролей робить управління користувачами простішим, послідовнішим та ефективнішим, особливо за наявності великої кількості користувачів. Це тому, що одна й та сама роль може бути надана групам користувачів, які, як очікується, виконуватимуть однаковий набір завдань і використовуватимуть однаковий набір ресурсів. Цей метод спрощує управління ролями та підвищує безпеку, гарантуючи, що люди мають доступ лише до того, що їм потрібно для виконання своєї роботи.
За допомогою ролей користувачам, які взаємодіють з ресурсами в Базі даних, надаються певні права доступу, такі як можливість переглядати, редагувати, видаляти або додавати дані, серед іншого. Менша кількість ролей полегшує адміністратору їх відстеження та підтримку. Використовуючи параметри та необов'язкові гранти, Адміністратор бази даних все ще може отримати необхідну гнучкість для різних ситуацій.
Перш ніж розробляти ролі, вам потрібно точно знати, які обов'язки користувачів у вашому проєкті та які їхні ролі в Базі даних. Це дасть вам інформацію, необхідну для прийняття рішення про те, як надавати ролі користувачам. Наприклад, користувачам, які лише вводять дані, не слід надавати права на управління. Роль для введення даних повинна дозволяти лише переглядати, редагувати або видаляти записи, які їй потрібні. Адміністратори, з іншого боку, повинні мати можливість переглядати, додавати, редагувати, видаляти та експортувати записи, керувати користувачами, ролями, перекладами, блокуванням записів, додавати форми, папки та звіти, редагувати форми, папки та звіти, видаляти форми, папки та звіти, керувати посиланнями для збору даних, ділитися звітами, публікувати звіти та відстежувати дії користувачів. У цьому випадку перші етапи збору даних з полів переважно виконуються проєктними офіцерами або польовими співробітниками, які зазвичай є користувачами лише для введення даних. Найчастіше їм надається доступ "додати" або "додати/переглянути", що дозволяє їм додавати нові дані в систему і, можливо, переглядати власні записи. Це обмеження їхньої ролі зменшує ймовірність зміни даних, оскільки ці користувачі зазвичай не можуть редагувати або видаляти записи після їх додавання.
З іншого боку, офіцери з моніторингу та оцінки або офіцери з управління інформацією, які мають вищий рівень нагляду, зазвичай працюють як Адміністратори в Базі даних. Їхні посадові обов'язки ширші, і вони повинні виконувати такі завдання, як створення форм, аналіз даних та підтримка роботи системи. Тому їм надається більше прав, таких як додавання, перегляд, редагування та видалення записів, зміна вигляду форм та встановлення дозволів для інших користувачів. Це пов'язано з більшою відповідальністю, оскільки їхня робота є дуже важливою для забезпечення безпеки даних та систем. Адміністратори баз даних можуть зробити процес управління даними безпечнішим та ефективнішим, ретельно створюючи та призначаючи ролі на основі посадових обов'язків кожного користувача в проєкті.
Правило найменших привілеїв
Дотримання принципу найменших привілеїв означає надання людям лише того доступу, який їм необхідний для виконання їхніх конкретних завдань. Це робиться за допомогою грантів та параметрів, які надаються їхнім ролям. Це можна зробити, вибираючи лише такі операції, як "додати запис" та "переглянути запис", або надаючи доступ до певних ресурсів лише певним ролям у Базі даних відповідно до обов'язків користувача. Ви можете дозволити додавати або редагувати записи лише адміністраторам баз даних, а не всім ролям. Наприклад, лише особи, відповідальні за Базу даних, повинні мати можливість змінювати Довідкові дані. Це запобігає несанкціонованій або неправильній зміні важливих даних. Так само, соціальні працівники можуть мати доступ лише до записів справ, до яких вони призначені. Це зменшує ймовірність того, що приватна інформація буде переглянута людьми, яким це не потрібно.
Не надавайте користувачам занадто багато прав, які виходять за межі їхніх посадових обов'язків. Ця практика зменшує ризик того, що дані будуть змінені або доступні для людей, які не повинні мати до них доступу. Наприклад, якщо дозволи недостатньо суворі, існує вищий ризик витоку даних, під час якого може бути розголошена приватна інформація. Якщо контроль недостатній, дані можуть бути змінені, що може призвести до їх пошкодження або втрати та вплинути на безпеку всієї Бази даних.
Навчайте користувачів найкращим способам захисту інформації
Переконайтеся, що всі користувачі знають про найкращі способи захисту інформації та дотримуються правил управління даними організації. Зосередьтеся на захисті даних для входу, дотриманні правил щодо паролів та негайному повідомленні про підозрілу активність. Заохочуйте користувачів усвідомлювати, які дані вони можуть бачити, та бути обережними з приватною інформацією.
Регулярно переглядайте та оновлюйте Ролі
Регулярно переглядайте та змінюйте ролі та користувачів, яким ці ролі призначені. Це слід робити на основі того, як використовуються операції в межах ролей та як змінюються потреби. Наприклад, польові працівники можуть мати права "додати/редагувати", що дозволяє їм додавати записи до форми базового опитування під час збору даних. Коли час збору даних закінчується, проєкт переходить до етапу аналізу даних. Протягом цього часу дуже важливо забезпечити безпеку даних. У більшості випадків до оригінальних записів не слід вносити жодних змін. Настав час видалити дії "додати/редагувати" з ролей, яким вони більше не потрібні. Після аналізу проєкт, ймовірно, переходить до етапу звітності або архівування, де дані можуть використовуватися для створення звітів або зберігатися для ведення обліку. На цьому етапі ще менше людей може потребувати доступу до необроблених даних. Доступ слід надавати лише тим, кому він потрібен для дотримання вимог, архівування або досліджень високого рівня.
Також важливо виявляти людей, яким були надані ролі, але які не використовують дозволи, що надаються цими ролями. Припустимо, ви виявили, що певні операції не використовуються користувачами, які мають цю роль, або що вони більше не потрібні, оскільки змінилися обов'язки користувача. У такому випадку ми пропонуємо оновити роль, щоб видалити невикористовувані дії (якщо зміна стосується всіх користувачів у цій групі), або перевести користувача на більш відповідну роль (якщо зміна стосується лише цієї особи). Регулярно оцінюючи та змінюючи посади та призначення, ви можете переконатися, що права доступу відповідають обов'язкам користувача. Це знижує ризик несанкціонованих дій, дублювання та надмірності. У цьому випадку "надмірність" означає, що роль надає користувачам занадто багато або занадто мало доступу. Користувачі можуть отримати права доступу, які не відповідають їхнім поточним ролям, якщо їх регулярно не переглядати та не змінювати. Це вважається поганою практикою, оскільки додаткові права доступу не додають нічого корисного і можуть навіть погіршити безпеку. Регулярний перегляд та оновлення ролей та користувачів може зменшити ризики безпеки та ймовірність того, що хтось зробить щось без дозволу.
На додаток до цього кроку, ви можете налаштувати систему для відстеження активності користувачів та пошуку дивної або підозрілої поведінки. Моніторинг може допомогти вам виявити можливі прогалини в безпеці або незаконні дії, щоб ви могли швидко вжити заходів для зменшення ризиків. Журнал відстеження в ActivityInfo дозволяє менеджерам бачити, що користувачі роблять у Базі даних. Це включає, серед іншого, можливість відстежувати та переглядати дії та зміни, що відбуваються у вашій Базі даних, знаходити та відновлювати випадково видалені записи, ідентифікувати дії користувачів, пов'язані з додаванням, редагуванням або видаленням записів, відстежувати зміни в папках, блокуваннях, ролях та видимості форм, стежити за подіями, пов'язаними з користувачами, такими як додавання або видалення користувачів, та переглядати детальну інформацію про кожну подію, включаючи час та користувача, який її спричинив.
Висновок
Враховуючи ці найкращі практики при створенні ролей в ActivityInfo, ви можете зробити вашу Базу даних безпечнішою. Надаючи доступ на основі потреб кожного користувача та регулярно переглядаючи ці права доступу, ви можете переконатися, що користувачі мають необхідні права для ефективного виконання своєї роботи. Пам'ятайте, що для збереження приватної інформації в ActivityInfo важливо підтримувати баланс між безпекою та зручністю використання.