Ролевая модель разграничения прав: что это, как внедрить, каким организациям подходит

Получить консультацию по Solar inRights

ФИО

Телефон

Я даю согласие на обработку персональных данных, на условия Политики по обработке персональных данных, а также на получение информационных материалов и рассылок

В корпоративных структурах всегда существует высокий риск утечки данных. Внутренние инциденты особенно часто происходят из-за сумбурности в вопросах доступа. В частности, риск повышается, если у сотрудников есть избыточные права. Поэтому разберемся, как систематизировать взаимодействие с информационной инфраструктурой с помощью ролевой модели и какие инструменты помогут контролировать пользователей.

Что такое ролевая модель разграничения прав

Это наделение сотрудников или их групп определёнными наборами полномочий для решения поставленных задач. С помощью такой модели легче систематизировать процессы и контролировать деятельность персонала организации.

Роли зависят от должностей, специфики отделов компании, типов рабочих задач. Количество полномочий входящих в роли не регламентируется строго — каждому сотруднику можно назначить как одно полномочие, так и несколько. Важно, чтобы был регламент, где четко прописано на основании чего создаются роли, кто их утверждает, как они актуализируются.

Ролевая модель разграничения прав базируется на основе отдельных ролей и полномочий работников в информационных системах. На крупных предприятиях из частных ролей формируется глобальная матрица. Особенно часто такая система практикуется в банковской сфере. Например, у кредитного менеджера есть полномочия в разных системах: кассовом модуле, документообороте, сервисах и т.д. Роли в каждой системе собираются в единую бизнес роль «Кредитный менеджер», которая используется при назначении прав для нового работника, приятого на данную должность.

ролевая модель разграничения прав

Ролевые шаблоны для организаций

Предусмотрена специальная матрица, которая включает разные типы полномочий:

Должностной доступ — спектр полномочий, привязанный к сотрудникам одной должности. Чаще всего он выдается в рамках отдела или подразделения организации. Должностной доступ включает минимальный набор привилегий, необходимых для решения рабочих задач.
Персональный доступ — расширенный набор привилегий для отдельных сотрудников. Предоставляется в редких случаях, если без него не обойтись при решении рабочих задач.
Функциональные роли — привилегии, которые выдаются для закрытия конкретных задач. Например, на время проекта, командировки или в процессе выполнения поручений.

Ролевая модель разграничения прав в основном базируется на должностном наборе полномочий. Если базовый набор прав закрывает все необходимые потребности, то персональные полномочия могут составлять всего 5-10%. Функциональные роли задаются в зависимости от масштабов деятельности и общего количества задач.

Преимущества и минусы ролевой модели

Начнем с положительных сторон:

Простая процедура выдачи прав сотрудникам. Обычно ролей значительно меньше, чем работников. Очень удобно иметь готовую модель полномочий под конкретные должности. Если в организацию придет новый сотрудник, вы обойдетесь без многочисленных операций по привязке привилегий к его учетной записи. Достаточно просто назначить роль, включающую необходимый набор.
Возможность разом поменять права для обладателей одной роли. Вы просто внесете новую функцию или опцию в роль, после чего она автоматически появится в системе у всех, кому роль доступна.
Исключение несовместимых полномочий. Ролевая модель обычно строится с учетом совместимости полномочий. Т.е. одному сотруднику не должны быть предоставлены права, с помощью которых он может совершить мошеннические действия. Например, ввод и контроль финансовой операции. Такие функции должны быть в разных руках.

Минус, а скорее нюанс — невозможность стопроцентного обеспечения потребности в доступе. Функции сотрудников на предприятии часто меняются, дополняются, актуализируются. Меняется структура компании. Поэтому уже будет вполне достаточно, если ролевая модель разграничения прав доступа составит 70-80% процессов управления.

100% ролевое управление тоже встречается, хоть и крайне редко. Например, в отдельных отделах коммерческих структур, научно-исследовательских институтах или компаниях с очень высоким уровнем информационной безопасности. Проще говоря — там, где деятельность стабильна и контролируема.

Как внедрить ролевую модель разграничения прав доступа

Внедрение модели начинается с подготовительных этапов. Что обязательно нужно сделать:

Создать функциональную модель — подробно описать функционал всех должностей и подразделений организации.
Провести аудит ИТ-систем с целью составления плана приоритезации по переходу на ролевое управление. В процессе важно понять, насколько решения актуальны и готовы к новой модели.
Понять, как подразделения организации сейчас взаимодействуют между собой, и подготовить методологию ролевого управления. Зафиксировать нюансы, сильные и слабые стороны.
Составить подробное описание бизнес-функций и полномочий для каждой должности.
Проанализировать данные о пользователях и их полномочиях. Сопоставить все действующие учетные записи с владельцами и удалить неактуальные сведения.

Если ролевая модель вводится с нуля, роли лучше формировать на основе функциональной модели. Возможен и другой вариант внедрения — использование действующих полномочий сотрудников. В этом случае нужно выделить общие привилегии для групп должностей, проверить их актуальность и только тогда сформировать роли.

Сертификация и контроль ролевой схемы

Привилегии доступа нуждаются в усиленном контроле на предмет соблюдения условий их использования и актуальности. Большинство организаций ввело сертификацию, которая подразумевает периодическую переаттестацию полномочий. С помощью специальных технических средств процесс легко автоматизировать: IdM-система сформирует перечень текущих полномочий в рамках ролевой модели разграничения прав. Руководителю или согласующим лицам останется только подтвердить или отозвать привилегии.

контроль ролевой модели разграничения прав

IdM-системы позволяют запрашивать дополнительные полномочия, сверх назначенной сотруднику роли, используя специальный заявочный модуль. При этом оформленная заявка будет автоматически назначена на согласование, в соответствии с определенным для этого процессом.

Кроме того, IdM решения предусматривают алгоритмы фиксации несоответствий, например получение прав доступа без согласования. Они сигнализируют, если права были изменены в обход IdM. Такой механизм позволяет вовремя обнаружить нарушения, предотвратить инциденты ИБ и провести расследование.

Удобный инструмент управления правами доступа в корпоративной информационной инфраструктуре

IdM-cистема Solar inRights — надежный отечественный инструмент, существенно упрощающий контроль за исполнением регламентов по управлению доступом к корпоративным ресурсам. Она поможет адаптировать ролевую модель разграничения прав под специфику вашей организации и снизит количество инцидентов, связанных с превышением полномочий сотрудников в информационной сфере.

Система позволит автоматизировать процесс управления доступом. У нее широкий функционал и удобный интерфейс, поэтому у вас не будет проблем даже в случае отсутствия опыта работы с подобными инструментами.

Подведем итоги — ролевая модель позволяет четко распределить полномочия между сотрудниками, снизить риск утечки данных и оптимизировать рабочие процессы. Система Solar inRights станет оптимальным инструментом управления доступом и повысит уровень безопасности информационной инфраструктуры организации.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях