Уровни доступа: что это такое, права и иерархия доступа, ограничение на уровне записей

Одна из ключевых практик для защиты корпоративных данных — разграничение доступа. Чтобы минимизировать риски несанкционированного использования и утечек чувствительной информации, пользователям необходимо назначать только те права, которых будет достаточно для работы. При выдаче полномочий учитывается тип, характер и степень конфиденциальности данных. Осуществлять классификацию информационных активов и эффективно управлять уровнями доступа поможет система Solar DAG, принадлежащая к классу решений Data Access Governance. Рассказываем, каким образом она позволяет контролировать уровни права доступа.

Что такое уровни права доступа

Уровнями права доступа называют разрешения на выполнение определенных действий с информационными ресурсами, назначаемые в соответствии с должностными регламентами. Основные категории полномочий:

Чтение — право на просмотр данных без возможности вносить изменения.
Запись — разрешение на редактирование информации, пополнение каталогов новыми позициями.
Выполнение — права на совершение операций с конкретными ресурсами.
Административные права доступа, позволяющие выполнять широкий круг операций с информационными активами компании.

Права доступа могут назначаться на уровне пользователей, учетных записей (УЗ), используемых систем, конкретных файлов. Выбор зависит от модели разграничения доступа, используемой компанией.

Как определяются уровни права доступа

В назначении уровней доступа ключевую роль играет степень конфиденциальности информации. Она определяется в результате классификации всех имеющихся в компании информационных активов. Классификацию удобно проводить с помощью системы Solar DAG, предназначенной для работы с неструктурированными данными, с которыми из-за слабого контроля связаны определенные риски. Проблема в том, что такие данные хранятся в разных местах и практически не отслеживаются. Часть информации вообще может остаться без внимания. Например, сотрудник скачивает из корпоративного хранилища какой-то файл или делает скриншот, размещает документ в не предназначенной для него папке. Оттуда документ может попасть в общий доступ, и будет сложно установить причины утечки, поскольку о маневре сотрудника никто не знает.

Solar DAG позволяет обнаружить все неструктурированные данные компании и классифицировать их по характеру содержимого с помощью алгоритмов контентного анализа и преднастроенных правил. На основании результатов классификации информационным активам присваивают служебные метки в соответствии со степенью конфиденциальности, назначают релевантные хранилища. После этого можно определять уровни доступа. Например, кому-то из сотрудников разрешено работать со строго конфиденциальными ресурсами, кому-то — только с несекретными. Также определяется круг допустимых полномочий: только просмотр, просмотр и запись, выполнение определенных действий и т.д.

Права доступа на уровне записей

Правами доступа на уровне записей называют полномочия, назначаемые конкретным УЗ в отношении тех или иных информационных активов.

Какие могут быть права доступа на уровне записей:

Административные. Такие полномочия дают практически неограниченный доступ к объектам информационной инфраструктуры, возможность управлять правами доступа рядовых пользователей.
Пользовательские. Такие права доступа на уровне учетных записей назначаются для УЗ отдельных пользователей согласно должностям и специфическим ролям в проектах компании. Полномочий должно быть достаточно для выполнения рабочих задач, а вот избыточности следует избегать, чтобы минимизировать риски инцидентов ИБ.
Групповые. Это полномочия, назначаемые учетным записям, принадлежащим сотрудникам с одинаковыми обязанностями.

Также права доступа могут быть временными и постоянными. В первом случае привилегии выдаются на определенный период, например, для выполнения конкретной задачи или работы другого сотрудника, который ушел в отпуск. Постоянные полномочия базово назначаются для выполнения служебных обязанностей в рамках занимаемых должностей.

Эффективно управлять правами доступа на уровне записей поможет система Solar DAG. Она формирует отчеты «Учетные записи», где отображаются все полномочия конкретных УЗ. Из этих отчетов видно, с какими ресурсами могут взаимодействовать те или иные учетные записи. Полученная информация может служить основанием для пересмотра круга полномочий для отдельных УЗ. Также система генерирует отчеты «Учетные записи», где указаны уровни доступа и иерархия полномочий всех существующих в компании учетных записей.

Иерархия прав доступа

Иерархией прав доступа называют принцип, согласно которому все полученные в вышестоящем объекте привилегии распространяются по дереву иерархии сверху вниз. Например, создатель какого-либо каталога или файла обладает полными правами на этот элемент. Он может назначить права доступа другим пользователям — такие же, как у него самого, либо ограниченные. Но у других пользователей не может быть больше прав на объект, чем у создателя.

Также существует такое понятие, как наследование прав доступа. Если на какой-либо каталог установлены определенные полномочия, то эти же полномочия будут распространяться на все нижележащие разделы, файлы. Такой метод часто используется с целью упростить управление доступом.

В отчетах, которые генерирует Solar DAG, отображается иерархия прав доступа, поэтому можно отслеживать, кто, кому и какие права назначал. Также система формирует отчет «Отключенное наследование», который позволяет обнаруживать каталоги с полномочиями, полученными без учета иерархии и наследования — путем прямого назначения. Такое присвоение прав —умышленный обход политик назначения доступа, поэтому возможны утечка или компрометация информации. В отчете «Отключенное наследование» отображаются следующие сведения: названия, класс и источники ресурсов, субъекты доступа, данные о том, кто и когда назначал права доступа для конкретных УЗ.

Ограничение прав доступа на уровне записей

Чтобы минимизировать риски инцидентов ИБ, связанных с утечками и несанкционированным использованием чувствительной информации, необходимо организовать гибкое управление полномочиями и уровнями прав доступа. Одна из ключевых мер — соблюдение принципа наименьших привилегий. Он заключается в том, что учетным записям должны быть назначены только те полномочия, которые необходимы для решения рабочих задач — без избыточности.

Solar DAG позволяет отслеживать все изменения уровней доступа учетных записей и прав доступа к конкретным ресурсам. Из отчетов «История изменения прав доступа учетной записи» и «История изменения доступа к ресурсу» можно узнать, какие события предшествовали изменениям, кто был инициатором. Обнаружив нарушения, офицеры службы ИБ могут установить ограничение прав доступа на уровне записей или немедленно отозвать полномочия для конкретных УЗ.

ЗАКЛЮЧЕНИЕ

Чтобы защитить цифровые информационные активы, компании должны внедрить эффективные инструменты управления уровнями доступа к ресурсам. Такие инструменты реализованы в решении Solar DAG, которое упрощает процесс классификации данных, позволяет контролировать права доступа к конфиденциальным ресурсам. Офицеры ИБ и другие ответственные лица получат актуальные средства аналитики и смогут на основе достоверной информации принимать решения здесь и сейчас. Также данные, предоставленные Solar DAG, облегчат проведение расследований, связанных с превышением полномочий или их несанкционированным назначением.