Система управления пользователями данных

Эффективная корпоративная система управления доступом и пользователями данных – это правильно организованное сочетание трех составляющих:

  • административные меры,

  • средства физической защиты,

  • технические меры.

Административные меры при организации корпоративной системы управления пользователями данных

Административные меры базируются на документации, касающейся менеджмента информационной безопасности (далее – ИБ) в компании. Их основа – международные, национальные, отраслевые стандарты, политики безопасности, действующие в компании, должностные инструкции для специалистов разных профилей, методики по оценке рисков ИБ и иная документация.

Многое зависит от базовой модели управления пользователями данных и их доступом к информации. Существует 3 модели: дискреционная, мандатная, на основе ролей (ролевая), атрибутная.

Дискреционная модель (DAC)

Базируется на явно заданных для каждого субъекта (пользователя) правах доступа к объектам/сегментам информации. Они представляются в виде матрицы, в которой указываются полномочия субъекта относительно каждого объекта или сегмента информации.

Модель довольно простая в реализации. Не требует использования сложных технических средств. Но она не подходит для информационных систем (далее – ИС) с множеством субъектов (сотрудников). Чем больше сотрудников, тем сложнее организовать управление правами пользователей в компании на основе модели DAC по причине:

  • сложности централизованного контроля,

  • рассредоточенности управления,

  • оторванности прав доступа от данных (их содержания),

  • большого количества жестких связей между объектами и субъектами, а также зависимостей, которые сложно отслеживать.

Мандатная модель (MAC)

Основные принципы ее построения позаимствованы из правил секретного документооборота, использование которых практикуется во многих странах. В системе управления пользователями данных, применяющей эту модель, всем субъектам (сотрудникам) и объектам (единицам информации: файлам, папкам и так далее) назначаются метки (мандаты), соответствующие разным уровням конфиденциальности. Субъект имеет право на чтение только тех объектов, уровень конфиденциальности которых не выше его уровня. Право на запись/изменение у субъекта есть при условии, что уровень конфиденциальности объекта не ниже его.

При использовании этого подхода не требуется столь высокого уровня детализации отношений между объектами и субъектами, как в предыдущем случае (DAC-модель). Просто изменив метку (мандат), можно управлять доступом к объекту для большого количества субъектов. И наоборот – при изменении метки субъекта, ему можно открывать/запрещать доступ сразу к некоторому объему данных.

Управление доступом к корпоративным данным на основе ролей (RBAC)

Подходит для информационных систем с множеством пользователей. Позволяет организовать управление доступом к данным с помощью объектно-ориентированного подхода. Его суть – внедрение между пользователями и их полномочиями (привилегиями) неких сущностей. Они называются ролями. Каждая роль дает сотруднику определенные права на доступ к информации. Одновременно могут быть активными несколько ролей. За счет этого обеспечивается гибкость системы.

Чаще всего RBAC используется в крупных IT-инфраструктурах. Иногда к ней «подмешиваются» элементы других подходов (в частности, мандатного).

Атрибутная модель (ABAC)

Нередко совмещается с ролевой моделью, что позволяет реализовать дополнительные меры по снижению рисков инцидентов за счет учета дополнительных атрибутов (времени, местоположения, кода устройства и т. п.). Например, при ее использовании сотрудникам с заранее определенными ролями доступ к определенным разделам внутренней корпоративной сети предоставляется в соответствии с конкретной комбинацией ID устройства / ID пользователя. Даже если злоумышленникам удастся завладеть данными для входа в корпоративную ИС, воспользоваться ими не получится: в доступе будет отказано, например, при попытке авторизации с устройства, которое не внесено в реестр отношений, создаваемый при внедрении ABAC.

Средства физической защиты

К этой категории относятся такие средства, как СКУД, пропускные системы, различные типы замков, специальная защита, видеокамеры и т. д.

С их помощью организуется ограничение физического доступа к носителям информации, рабочим станциям и другим компонентам корпоративной IT-инфраструктуры. Такие средства преимущественно используются для общей (информационной в том числе) безопасности, а также если компании нужно максимально усложнить несанкционированный доступ к важной корпоративной информации, (например, для ограничения доступа в помещения с носителями информации или компьютерами для определенного круга лиц).

Для решения рассматриваемых задач во многих случаях вполне достаточно технических мер.

Технические меры для обеспечения работы системы управления пользователями данных

К этой категории относятся программные, аппаратные средства, а также различные сервисы для обеспечения информационной безопасности компании. Для организации эффективной системы управления пользователями данных и разграничения доступа могут использоваться: парольные системы, сканеры безопасности, межсетевые экраны, различные виды защищенных протоколов.

Но параллельное применение нескольких разрозненных решений может быть неудобно компании. Особенно если речь идет о большом количестве пользователей. В таких случаях лучше внедрять для управления правами пользователей в компании специализированные инструменты.

Для таких целей, например, созданы программные средства класса IdM/IGA. С их помощью компании выстраивают эффективные системы управления правами и полномочиями в различных информационных системах. Благодаря таким решениям обеспечивается исполнение регламентов ИБ, профилактика инцидентов в сфере информационной безопасности, связанных с доступом к информации. Современные IdM/IGA (и наше решение Solar InRights, в частности) позволяют реализовать ролевую модель (RBAC). В нее можно «подмешивать» и элементы других. С помощью одной IdM/IGA-системы организуется управление правами и полномочиями в целевых ИС компании. Они способны выдерживать нагрузки в 100 000+ пользователей и 1 000 000 ролей. Решения гибко настраиваются под нужды конкретной компании и могут дорабатываться вендорами под запросы клиентов.

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах