Области видимости объектов
Узнать большеОдна из эффективных практик защиты информационных активов компаний — разграничение прав доступа. Смысл ее в том, чтобы сотрудники могли работать только с теми данными, которые нужны для выполнения рабочих обязанностей. К другой информации доступ должен быть закрыт. В статье рассказываем, как реализовать эту практику с помощью решения класса Data Access Governance от Solar (далее — DAG), предназначенного для контроля неструктурированных данных.
Права доступа: понятие, виды
Правом доступа называют разрешение совершать действия с теми или иными активами. Примеры:
- Чтение — возможность просматривать ресурсы без права вносить изменения.
- Запись — разрешение на редактирование, добавление новых позиций.
- Выполнение — право совершать с корпоративными ресурсами определенные действия.
- Предоставление административных полномочий, позволяющих выполнять широкий круг операций внутри информационных систем, используемых компанией.
Разграничение прав доступа к информации облегчает контроль за использованием конфиденциальных активов, утечка или потеря которых может привести компанию к финансовому и репутационному ущербу. Грамотное распределение полномочий между сотрудниками позволяет минимизировать риски инцидентов ИБ, произошедших из-за ошибок и невнимательности, в результате злого умысла.
Правила разграничения прав доступа
Выстраивая работу с данными, компании могут применять следующие правила разграничения прав доступа:
- «Разрешить все» — подход, при котором пользователи могут управлять файлами без ограничений. Эта концепция считается небезопасной, поскольку в этом случае не соблюдается принцип наименьших привилегий, который заключается в том, что у сотрудников не должно быть больше полномочий, чем им необходимо для работы. Важно следить, чтобы лишние права не накапливались после перехода на другие должности, выполнения временных обязанностей.
- «Запретить все» — подход, запрещающий любые действия с ресурсами без предварительного разрешения. Такое правило разграничения прав доступа к информации считается недостаточно гибким и не подойдет для крупных компаний с большим штатом сотрудников.
- «Запретить, если не разрешено» — недопустимость выполнения действий с файлами, если не были назначены соответствующие полномочия.
- «Разрешить, если не запрещено» — возможность выполнять любые действия, если нет конкретных ограничений.
Разграничение прав доступа к информации может по-разному происходить в каждой системе на основе ее правил. Также компания может использовать общие правила для всех эксплуатируемых ресурсов.
Модели разграничения прав доступа
Можно применять разные подходы к назначению полномочий, лежащих в основе стратегии управления доступом. В зависимости от специфики деятельности, требований к информационной безопасности и масштаба организации выбирают одну из четырех моделей. Рассказываем о нюансах каждой.
Discretionary Access Control
Избирательная, или, как ее еще называют, дискреционная модель разграничения прав доступа (DAC). Она предполагает, что полномочия и уровень этих полномочий будут определять владельцы информационных ресурсов, в некоторых случаях — администраторы. Ответственные лица формируют перечень сотрудников с указанием доступных привилегий. Если полномочий недостаточно для работы, список легко расширить.
Такой подход прост в реализации, однако он проигрывает другим в плане обеспечения информационной безопасности, поскольку ответственное лицо может назначить пользователям избыточные привилегии. Если разграничением прав доступа занимается администратор, он будет наделен практически неограниченными полномочиями, что также повышает риски инцидентов ИБ.
Mandatory Access Control
Мандатная модель разграничения прав доступа (MAC). Она предполагает назначение полномочий с опорой на уровень конфиденциальности информационных ресурсов. Например, кто-то из пользователей может работать только с несекретными сведениями, кто-то — со строго конфиденциальными. При таком разграничении четко определяется группа полномочий для каждой группы пользователей.
Особенность мандатной модели — невозможность расширить существующий перечень полномочий. Если кому-то из сотрудников нужны дополнительные права, администраторы или владельцы систем создают для этих пользователей новые профили под актуальную метку ресурса. В связи со сложностью реализации такой способ разграничения прав доступа к данным используется нечасто и применяется в основном предприятиями с устойчивыми бизнес-процессами, высокими требованиями к информационной безопасности.
Role Based Access Control
Это ролевая модель разграничения прав доступа к данным (RBAC), подразумевающая формирование ролей с уже привязанными полномочиями. Роли создаются под определенные должности и служебные задачи.
Подход RBAC удобен тем, что можно назначить роли с готовыми наборами привилегий всем сотрудникам одной должности. При изменениях обязанностей тех или иных работников список полномочий легко расширить. Если кому-то из сотрудников нужны дополнительные права доступа, их можно запросить по заявке.
Ролевой подход к разграничению прав доступа пользователей считается удобным и гибким, поэтому подходит большинству средних и крупных компаний.
Attribute-based Access Control
Модель разграничения прав доступа (ABAC) основывается на определенных правилах (атрибутах), привязанных к пользователям, информационным ресурсам и конкретным выполняемым задачам. Атрибуты анализируются с помощью автоматизированных механизмов, на базе результатов анализа формируются списки полномочий для субъектов.
Такая модель проста в эксплуатации, позволяет соблюсти принцип наименьших привилегий, считается достаточно гибкой. Она подходит для крупного бизнеса с многотысячным штатом сотрудников и большим количеством используемых целевых систем.
Уровни разграничения прав доступа
Уровнями доступа называют наборы разрешенных действий, привязанные к определенным категориям пользователей, например: администраторы, рядовые пользователи, гости. Для каждой формируется свой набор полномочий, которых достаточно для решения текущих задач. Так, администраторы могут управлять настройками, пользователи записывать файлы или вносить изменения в базы данных, гости — только просматривать информацию.
Уровни доступа обладают свойством наследования: если для текущего раздела системы не задан свой уровень полномочий, автоматически применяются те же права, которые использовались для вышестоящего раздела.
Разграничение прав доступа к информации с помощью платформы Solar DAG
Solar DAG — российская платформа класса Data Access Governance, предназначенная для контроля неструктурированных данных, количество которых стремительно растет в каждой компании. Такая информация хаотично хранится, представлена в разных форматах, практически не контролируется. Среди неструктурированных массивов могут быть конфиденциальные сведения, которые необходимо защищать от несанкционированного доступа и утечки. Solar DAG сканирует используемые компанией хранилища, выполняет классификацию данных, применяя алгоритмы контентного анализа. На основании предоставленных системой сведений ответственные лица смогут применить политики разграничения прав доступа к информации.
Solar DAG также полезна в части мониторинга использования полномочий, контроля изменений уровней разграничения прав доступа. Например, система генерирует отчеты «Ресурсы», где указаны перечни информационных активов и учетных записей (УЗ), которые имеют к ним доступ. В отчетах «Учетные записи» Solar DAG отображает полномочия существующих в компании УЗ с указанием уровня доступа.
Контролировать изменения в полномочиях конкретных УЗ позволят отчеты «История изменения прав доступа учетной записи», где отображаются события за определенные временные периоды и отчеты «История изменения доступа к ресурсу», предоставляющие выборки по отдельным файлам и каталогам. Эти документы также будут полезны при проведении аудита.
Благодаря Solar DAG ответственные лица будут в курсе, кто и когда назначал полномочия, соблюдались ли при этом правила разграничения прав доступа. Если выявятся нарушения, офицеры службы ИБ смогут оперативно установить виновников.
Разграничения прав доступа в системе Solar DAG
В Solar DAG также действуют правила разграничения прав доступа пользователей, диктующие, кто из сотрудников может получать доступ к представлениям данных. Назначение полномочий происходит на базе внутренней ролевой модели, включающей три основные роли:
- Внутренний администратор, который имеет полный доступ к информации, может осуществлять настройку системы, управлять функциональностью.
- Офицер информационной безопасности, который может работать с отчетами, содержащими сведения о субъектах и объектах доступа.
- Аналитик, в обязанности которого входит отслеживание текущего состояния доступа на конкретных ресурсах.
Такое разграничение прав доступа к информации, собираемой системой, позволяет обезопасить аналитические данные от несанкционированного использования.
Преимущества применения Solar DAG для разграничения и контроля прав доступа пользователей
Ключевые достоинства платформы:
- Высокая производительность, позволяющая системе быстро обрабатывать большие объемы информации.
- Возможность внедрения в геораспределенную информационную инфраструктуру.
- Обеспечение соблюдения отраслевых стандартов и законодательных требований для организаций разных сфер деятельности.
Еще одно преимущество Solar DAG — возможность интеграции с другими решениями для разграничения и контроля прав доступа. Например, с IdM-системой Solar inRights, позволяющей управлять полномочиями пользователей и жизненным циклом УЗ.