Эффективное управление безопасностью корпоративных данных стало в последние десятилетия императивом бизнеса. Грамотно выстроенная система менеджмента информационной безопасности в организации – залог стабильной работы и развития компании. Все возрастающая роль информационных активов при исполнении бизнес-процессов требует внимательного отношения к данным, обеспечения повышенного уровня их защиты, регулярного мониторинга ситуации.

Модели управления доступом корпоративных пользователей

На практике в крупных корпорациях используют готовые модели для управления доступом корпоративных пользователей. Возможные следующие варианты:

  • Избирательная модель (DAC). Участники рабочего процесса наделены совместным использованием прав. У любого пользователя присутствуют права доступа, но только к отдельным объектам информации или на строго определенные действия. Модель очень гибкая и со множеством нюансов. Со временем сильно разрастается ввиду большого количества участников, что делает ее использование плохо контролируемым процессом.

  • Мандатная модель (MAC). Право на доступ к объекту информации формируется согласно установленной степени конфиденциальности данных. Требует введения множества категорий информации с непересекающимися параметрами. Отличается сильным ограничением на использование информации и чрезмерной сложностью для сопровождения и контроля.

  • Ролевая модель (RBAC). При таком подходе роль пользователя отождествляется с должностной функцией. Согласно ролевой системе работник получает определенные права и ответственность. Также использование RBAC предполагает установку и использование таких важных параметров по ограничению доступа как сессия, разрешение, запрет, операции, объекты. Подобная модель управления получила наибольшее распространение в бизнесе за счет эффективности управления и удобства контроля. Чаще всего реализуется на базе IdM-инструментов.

  • Модель на основании атрибутов (ABAC). Доступ пользователю делегируется согласно правилам общего использования атрибутов. Чаще всего эта модель востребована как дополнение к RBAC и вариант расширения настроек. Она позволяет сократить количество используемых ролей, отказаться от чрезмерных привилегий, сделать доступ минимально достаточным и лишенным привилегий.

Управление доступом к корпоративным данным на примере Solar inRights

Сегодня во многих организациях присутствуют многопользовательские информационные системы. Производить управление корпоративной идентификацией и контролировать происходящие процессы вручную не представляется возможным. Это слишком сложно и сохраняет множество рисков для системы из-за большой роли человеческого фактора. В последнее время все чаще владельцы бизнеса и руководители компаний обращаются к решениям класса IdM/IGA, как например, Solar inRights. Это позволяет автоматизировать управление учетными записями согласно политикам безопасности, добиться высокого уровня контроля над ИТ-инфраструктурой организации. Посредством подобного инструмента возможно решить следующие задачи, связанные с управлением доступом:

  1. Быстро и просто настроить доступ пользователей к информационной системе. Для управления правами доступа корпоративных пользователей используется ролевая модель, где базовые права пользователей задаются согласно информации из кадровых источников. Возможно добавлять или убирать полномочия пользователей в системе, блокировать учетные записи, где присутствуют нарушения, настроить уведомления для сотрудников службы безопасности при выявлении в системе подозрительных действий.

  2. Поддерживать контроль регламентов предоставления доступа к данным в компании. Процесс инвентаризации прав упрощен, время на подачу заявок и их исполнение сокращено.

  3. Проверять пользователей на соблюдение регламента доступа и превышение полномочий. IdM/IGA-инструмент позволяет выполнять анализ профилей персонала на соответствие правилам работы и политикам безопасности. Тем самым выявляются пользователи-нарушители, принимаются меры по повышению информационной безопасности.

Управление корпоративными рисками безопасности не представляется сегодня эффективным без использования IdM/IGA-решений. Внедрение автоматизированных систем и инструментов по управлению доступом информационными активами компании и контроль действий пользователей – основа, которая упрощает управленческий процесс и делает его наглядным независимо от количества сотрудников и их полномочий. Подобные решения все чаще рассматриваются бизнесом и государственными структурами как один из главных способов управления полномочиями персонала и контроля за их деятельностью.