Маршрут согласования
Узнать большеЭффективная корпоративная система управления доступом и пользователями данных – это правильно организованное сочетание трех составляющих:
-
административные меры,
-
средства физической защиты,
-
технические меры.
Административные меры при организации корпоративной системы управления пользователями данных
Административные меры базируются на документации, касающейся менеджмента информационной безопасности (далее – ИБ) в компании. Их основа – международные, национальные, отраслевые стандарты, политики безопасности, действующие в компании, должностные инструкции для специалистов разных профилей, методики по оценке рисков ИБ и иная документация.
Многое зависит от базовой модели управления пользователями данных и их доступом к информации. Существует 3 модели: дискреционная, мандатная, на основе ролей (ролевая), атрибутная.
Дискреционная модель (DAC)
Базируется на явно заданных для каждого субъекта (пользователя) правах доступа к объектам/сегментам информации. Они представляются в виде матрицы, в которой указываются полномочия субъекта относительно каждого объекта или сегмента информации.
Модель довольно простая в реализации. Не требует использования сложных технических средств. Но она не подходит для информационных систем (далее – ИС) с множеством субъектов (сотрудников). Чем больше сотрудников, тем сложнее организовать управление правами пользователей в компании на основе модели DAC по причине:
-
сложности централизованного контроля,
-
рассредоточенности управления,
-
оторванности прав доступа от данных (их содержания),
-
большого количества жестких связей между объектами и субъектами, а также зависимостей, которые сложно отслеживать.
Мандатная модель (MAC)
Основные принципы ее построения позаимствованы из правил секретного документооборота, использование которых практикуется во многих странах. В системе управления пользователями данных, применяющей эту модель, всем субъектам (сотрудникам) и объектам (единицам информации: файлам, папкам и так далее) назначаются метки (мандаты), соответствующие разным уровням конфиденциальности. Субъект имеет право на чтение только тех объектов, уровень конфиденциальности которых не выше его уровня. Право на запись/изменение у субъекта есть при условии, что уровень конфиденциальности объекта не ниже его.
При использовании этого подхода не требуется столь высокого уровня детализации отношений между объектами и субъектами, как в предыдущем случае (DAC-модель). Просто изменив метку (мандат), можно управлять доступом к объекту для большого количества субъектов. И наоборот – при изменении метки субъекта, ему можно открывать/запрещать доступ сразу к некоторому объему данных.
Управление доступом к корпоративным данным на основе ролей (RBAC)
Подходит для информационных систем с множеством пользователей. Позволяет организовать управление доступом к данным с помощью объектно-ориентированного подхода. Его суть – внедрение между пользователями и их полномочиями (привилегиями) неких сущностей. Они называются ролями. Каждая роль дает сотруднику определенные права на доступ к информации. Одновременно могут быть активными несколько ролей. За счет этого обеспечивается гибкость системы.
Чаще всего RBAC используется в крупных IT-инфраструктурах. Иногда к ней «подмешиваются» элементы других подходов (в частности, мандатного).
Атрибутная модель (ABAC)
Нередко совмещается с ролевой моделью, что позволяет реализовать дополнительные меры по снижению рисков инцидентов за счет учета дополнительных атрибутов (времени, местоположения, кода устройства и т. п.). Например, при ее использовании сотрудникам с заранее определенными ролями доступ к определенным разделам внутренней корпоративной сети предоставляется в соответствии с конкретной комбинацией ID устройства / ID пользователя. Даже если злоумышленникам удастся завладеть данными для входа в корпоративную ИС, воспользоваться ими не получится: в доступе будет отказано, например, при попытке авторизации с устройства, которое не внесено в реестр отношений, создаваемый при внедрении ABAC.
Средства физической защиты
К этой категории относятся такие средства, как СКУД, пропускные системы, различные типы замков, специальная защита, видеокамеры и т. д.
С их помощью организуется ограничение физического доступа к носителям информации, рабочим станциям и другим компонентам корпоративной IT-инфраструктуры. Такие средства преимущественно используются для общей (информационной в том числе) безопасности, а также если компании нужно максимально усложнить несанкционированный доступ к важной корпоративной информации, (например, для ограничения доступа в помещения с носителями информации или компьютерами для определенного круга лиц).
Для решения рассматриваемых задач во многих случаях вполне достаточно технических мер.
Технические меры для обеспечения работы системы управления пользователями данных
К этой категории относятся программные, аппаратные средства, а также различные сервисы для обеспечения информационной безопасности компании. Для организации эффективной системы управления пользователями данных и разграничения доступа могут использоваться: парольные системы, сканеры безопасности, межсетевые экраны, различные виды защищенных протоколов.
Но параллельное применение нескольких разрозненных решений может быть неудобно компании. Особенно если речь идет о большом количестве пользователей. В таких случаях лучше внедрять для управления правами пользователей в компании специализированные инструменты.
Для таких целей, например, созданы программные средства класса IdM/IGA. С их помощью компании выстраивают эффективные системы управления правами и полномочиями в различных информационных системах. Благодаря таким решениям обеспечивается исполнение регламентов ИБ, профилактика инцидентов в сфере информационной безопасности, связанных с доступом к информации. Современные IdM/IGA (и наше решение Solar InRights, в частности) позволяют реализовать ролевую модель (RBAC). В нее можно «подмешивать» и элементы других. С помощью одной IdM/IGA-системы организуется управление правами и полномочиями в целевых ИС компании. Они способны выдерживать нагрузки в 100 000+ пользователей и 1 000 000 ролей. Решения гибко настраиваются под нужды конкретной компании и могут дорабатываться вендорами под запросы клиентов.