Маршрут согласования
Узнать большеИспользование систем и принципов разграничения доступа к информации в организациях стало одной из ключевых мер для обеспечения информационной безопасности. Неконтролируемые права персонала, наличие большого числа пользователей с привилегированными правами доступа способны привести к дополнительным рискам. Для ограничения доступа и получения наглядной картины прав можно использовать матрицу доступа к информационным ресурсам (МД). Она реализуется как в качестве отдельного бумажного документа, так и цифрового решения, интегрированного в информационную структуру организации.
Что такое матрица доступа (МД)?
Матрица доступа (МД) – это готовая модель, позволяющая регламентировать доступ к информационным ресурсам компании, но основании которой можно оценить состояние и структуру защиты данных в информационных системах. В матрице четко устанавливаются права для каждого субъекта по отношению ко всем объектам информации. Визуально это можно представить в качестве некого массива данных со множеством ячеек, которые формируются пересечением строки, указывающей на субъект и столбика, указывающего на объект. Получается, что при таком подходе к управлению доступом ячейка содержит определенную запись, характерную для пары субъект-объект и указывает на режим доступа, разрешенный или запрещенный, или его характеристику для каждого конкретного случая. В матрице доступа к информационным ресурсам столбец отождествляется с перечнем контроля доступа, строка выполняет роль профиля доступа присущего объекту.
Примеры использования матрицы доступа
Матрицы доступа используются с целью упрощения выполнения рутинных работ службы безопасности организации. Например, установка прав доступа пользователям разных групп или подразделений, обновление или отзыв прав, добавление исключений и прочее. Оптимальным решением для автоматизации этих процессов и полноценного использования матрицы доступа к информационным ресурсам выступает интеграция с системами класса IdM/IGA. В этом случае управление доступом превращается в полностью автоматизированный процесс со множеством наглядных моментов: выдача прав доступа по определенным регламентам, выявление несоответствий прав пользователей и запрет доступа при отсутствии прав.
Матрицы доступа будут полезны для госучреждений, предприятий, всех форм бизнеса, где приходится иметь дело с конфиденциальными видами данных и присутствуют разные группы сотрудников с соответствующими уровнями доступа. В качестве примера использования матрицы доступа можно рассмотреть обычную компанию, располагающую несколькими подразделениями. Например, это производство, бухгалтерия, отдел продаж. В матрице может использоваться система ролей или мандатов, которая определяет набор прав доступа для разных групп пользователей. Это могут быть разрешения только на чтение информации, ее использование, удаление, создание новых информационных объектов и т.д. Права доступа для разных групп категорий пользователей должны различаться в зависимости от выполняемых задач и не вызывать конфликтов полномочий. В случае распределения прав доступа по матрице, куда включены производство, бухгалтерия, отдел продаж может получиться примерно такая картина:
-
Производство – доступ к технической и инженерной информации, запрет на доступ к ПДн сотрудников, финансовой, коммерческой, кадровой информации.
-
Бухгалтерия – доступ к финансовой, кадровой информации, ПДн сотрудников, запрет на доступ к технической и инженерной информации.
-
Отдел продаж – доступ к технической, коммерческой информации, запрет на доступ к инженерной, финансовой, кадровой информации, ПДн сотрудников.
Это лишь примерная схема распределения прав доступа. Она может изменяться и дорабатываться под более гибкую модель управления и конкретную компанию. Также нужно принимать во внимание, что могут возникать ситуации, когда один из отделов должен получить временный доступ к закрытой для него информации, чтобы выполнить свою работу. Эти права могут быть временно делегированы через руководителя отдела или отдельное ответственное лицо. В идеале необходимо использовать матрицу доступа к информационным ресурсам, построенную по принципу наименьших привилегий, чтобы изначально исключить большинство рисков, связанных с неограниченным доступом к информации или ее нецелевым использованием. Права пользователей внутри одного подразделения могут одинаковыми, а могут и различаться. Это зависит от функциональных задач. Например, руководитель, штатный сотрудник и стажер одного подразделения выполняют разные задачи и соответственно полномочия в информационных системах у них должны быть разные, т.е. нужно обеспечить минимально достаточный уровень полномочий для выполнения функционала и тем самым сохранить должный уровень информационной безопасности. Это достигается путем создания более гранулированной структуры, выделением подгрупп более низкого уровня иерархии и закрепления за ними определенных прав.
IDM/IGA Solar inRights в качестве инструмента управления доступом: преимущества использования
Solar inRights отлично подходит для эффективного управления доступом к информационным активам компании. Он использует цифровую матрицу доступа к информационным ресурсам, построенную на ролевой модели управления. Сильными сторонами интеграции Solar inRights в информационную систему компании являются:
-
Полный и глубокий контроль пользователей. Система непрерывно контролирует и отображает полную картину прав доступа в информационной системе. Любые нарушения, несоответствия сразу выявляются, а нарушители блокируются. Это снижает вероятность утечки данных, возникновения дополнительных угроз.
-
Удобство и эффективность. Система работает в автоматическом режиме, исключает человеческий фактор. Заявки на смену, расширение, удаление прав обрабатываются быстро, что помогает избежать простоев в работе и возникновения нарушений.
-
Разгрузка IT-отдела, сокращение трудозатрат. Большая часть рутинной работы, связанной с назначением прав и управления ими автоматизирована, исполняется по готовым шаблонам. Достаточно создать группы и добавить им общие права по матрице доступов.
-
Строгий контроль за внешними и временными работниками. Сотрудники других компаний и временно работающие лица могут представлять дополнительную угрозу безопасности. Установление такому персоналу прав на основе наименьших привилегий и только на определённое время снижает вероятность возникновения инцидентов.
Матрица доступа к информационным ресурсам дает хорошие результаты в плане наглядности картины прав доступа. Для упрощения использования и повышения эффективности моделей управления персоналом на основе матрицы доступа требуется внедрение IdM-инструментов. Такой подход полностью оправдан, окупает себя со временем и снижает риски информационной безопасности.