Маршрут согласования
Узнать большеУправление доступом к информационным активам компании занимает важное место в концепции информационной безопасности. Поверхностный контроль или предоставление неограниченных прав пользователям чреваты множественными инцидентами безопасности. На практике используется ролевая модель предоставления доступа (RBAC), которая создаётся на основе отдельных ролей пользователей внутри компании для управления правами доступа, контроля предоставления информации. Также используется модель предоставления доступа на основе атрибутов (ABAC). Она базируется на разграничении доступа согласно набору атрибутов, присущих субъектам, объектам, операциям в информационной системе.
Что такое управление доступом?
Управление доступом – это система мер для эффективного предоставления и изменения прав, а также мер контролирующего и ограничивающего характера, необходимая для предотвращения несанкционированного доступа к важной информации. На практике чаше всего используют две модели управления доступом:
-
RBAC. В качестве права доступа используется роль, которая назначается пользователю, исходя из его статуса в системе, должностных обязанностей, ранга. Обычно роли закрепляются за должностями или отделами. В состав роли включаются полномочия, которые необходимы для выполнения поставленных функциональных задач. Таким образом, ряд сотрудников, занимающих одну и туже штатную позицию или объединённых выполнением аналогичных или общих задач получают единую роль - единый набор привилегий в информационных системах.
-
ABAC. Более расширенный подход, где в качестве разрешения доступа выступает использование определенных атрибутов. Это могут быть атрибуты местоположения пользователя, например определённый регион. Это могут быть атрибуты времени, когда доступ разрешён в определённые часы, дни или на определённый период. Это могут быть атрибуты устройства, когда надо ограничить возможность подключения к системам только с определённого типа устройств и другие. Тем самым возможен выход за рамки роли, в результате чего пользователь использует детализированные атрибуты для персональной авторизации в системе.
В ходе получения доступа к информационным ресурсам пользователь проходит процедуру авторизации. Это закрепляет за ним право пользоваться определенными приложениями и получать доступ к разрешенным ресурсам. Управление доступом, построенное на использовании принципа наименьших привилегий гарантирует, что пользователь получит доступ только к тем ресурсам, которые нужны ему для выполнения трудовых обязанностей. Разделение прав доступа согласно должности, отделу позволяет избежать злоупотребления полномочиями. Также это помогает соблюдать принципы сохранения конфиденциальности информации и предотвратить ее утечки.
RBAC модель: принцип работы, преимущества
Данный подход предполагает использование ролевой системы доступа, где права пользователей определены на сновании должности, уровня полномочий, ответственности, потребностей согласно обозначенным задачам. К преимуществам использования модели управления доступом на основе ролей относятся:
-
Оптимизация управленческих процессов. Снижается нагрузка на IT-отдел за счет использования готовых шаблонов ролей и автоматического их назначения нужным группам сотрудников. Отсутствует необходимость заново настраивать права доступа новым сотрудникам или при смене их роли на новую.
-
Легко настраиваемый временный доступ для удаленных или сезонных работников. Задается по аналогичным шаблонам, как и в случае для постоянного персонала. Используется доступ с минимальными привилегиями к строго заданным ресурсам.
-
Быстрое внесение изменений или прекращение прав доступа. Увольнение сотрудника, уход в отпуск требуют внесения поправок в отношение его прав доступа. С помощью ролевой модели это делается очень быстро и просто.
-
Соблюдение требований регуляторов при работе с конфиденциальной информацией. Автоматизированный доступ к информационным активам компании на основе RBAC снижает вероятность появления ошибок, несанкционированного доступа к данным.
ABAC модель: принцип работы, преимущества
Эта модель управления доступом отличается от ролевой повышенной детализацией и гибкостью за счет использования расширенных атрибутов. Среди типичных атрибутов используются тип информационного ресурса, разрешенное время доступа, правила допуска и т.д. Подобный механизм управления доступа связан с динамической авторизацией, которая позволяет использовать в реальном времени детализированную бизнес-логику. Происходит централизация контроля доступа согласно соблюдению обязательных условий. К преимуществам использования модели управления доступом на основе атрибутов относятся:
-
Дополнительная гибкость в настройках. Атрибуты подходят для использования в режиме реального времени: оцениваются, настраиваются в момент поступления запроса на доступ. Это расширяет возможности предоставления доступа.
-
Повышение надежности при работе с данными. Контроль доступа, простое и эффективное управление данными, быстрота принятия решений снижают вероятность возникновения инцидентов, помогают поддерживать стабильно высокий уровень защиты информации.
-
Соответствие требованиям регуляторов. Ограничение доступа к конфиденциальной информации входит в перечень базовых мер по защите сведений для любой компании, которая является оператором данных.
RBAC и ABAC: какая разница между ними?
RBAC модель оправдана в случаях, когда в компании присутствует большое количество работников, требуется задать им схожие роли, объединить в группы. Подобный подход носит в большей степени ограничительный характер, полезен тем, что жестко ограничивает доступ сотрудников к информационным ресурсам, не позволяя им выйти за рамки дозволенного. Благодаря ролевой системе управления доступом повышается прозрачность контроля, легко заменяются или дополняются права пользователей при необходимости, что повышает эффективность управленческих процессов.
ABAC модель рекомендуется к использованию там, где требуется выйти за жесткие рамки ограничений бизнес-правил. Это способствует снижению количества условий для пользователя, упрощает их сопровождение, снижает число конфликтов. Наиболее эффективным в управлении доступом показывает себя использование комплексного подхода, когда ABAC дополняет RBAC. Благодаря такому централизованному подходу, гибкости при обработке запросов и принятия во внимание различных сред и условий для предоставления доступа модель на основе ролей и атрибутов показывает повышенное удобство в использовании и надежность в защите данных.
В качестве адаптивного и удобного инструмента для управления доступом к информации в организации подходит использование Solar inRights. Это IdM/IGA-решение, которое берет на себя полноценное управление правами доступа пользователей к информационным активам организации. Обеспечивает полный цикл управления правами пользователя начиная от найма на работу и заканчивая увольнением. Назначает, отзывает права доступа в ручном и автоматическом режимах. Предоставляет полную картину доступа к информации со стороны персонала, выявляет нарушения, конфликты прав, управляет рисками безопасности.