Чтобы исключить несанкционированную эксплуатацию информационных ресурсов, каждой компании следует продумать и реализовать модель управления доступом. Нет универсального рецепта, какую именно использовать в том или ином случае – нужно опираться на тип и масштабность деятельности, количество сотрудников, требуемый уровень безопасности информационных объектов. Поэтому разберем все варианты моделей, их преимущества и минусы, инструменты для внедрения.

Что такое модели управления доступом

Моделями называют системы распределения полномочий в информационной инфраструктуре компаний. Их ключевая задача – обеспечить необходимый уровень безопасности ресурсов и упростить контроль доступа. Рассмотрим четыре модели, уже показавшие свою эффективность для организаций в разных отраслях деятельности.

Дискреционная модель

Дискреционная модель доступа DAC (Discretionary Access Control) имеет второе название – избирательная. Это метод управления, подразумевающий, что доступ к информационным системам и ресурсам назначает администратор (реже владелец ресурсов). По факту суть модели заключается в том, что на основе идентификационной информации о субъектах создаются списки на использование тех или иных ресурсов с указанием полномочий конкретных лиц. При необходимости список прав можно расширить.

Преимущества такой схемы: простота реализации, совместимость с любым программным обеспечением, отсутствие сложностей в настройке. Однако у модели есть существенный минус – наделение администратора слишком широкими полномочиями. В итоге сотрудник может намеренно или случайно предоставить излишний набор прав другим сотрудникам или даже посторонним лицам, что чревато несанкционированным использованием ресурсов без ведома владельцев. Если права доступа назначают сами владельцы, вероятность инцидентов снижается, – и все же схему сложно назвать совершенной.

Дискреционная модель не подходит для крупных компаний с большим количеством сотрудников. В таких случаях нужна более универсальная и упорядоченная система.

Мандатная модель управления доступом (Mandatory Access Control)

Мандатная, или обязательная, модель (MAC) базируется на принципах конфиденциальности. Каждому объекту (ресурсу) в информационном поле компании присваиваются метки типа «не секретно», «засекречено», «строго конфиденциально». Затем администраторы или владельцы систем назначают сотрудникам полномочия в соответствии с их должностными обязанностями. Например, кто-то получает право взаимодействовать только с объектами несекретного уровня, кто-то – с совершенно секретными ресурсами.

В рамках мандатной модели нельзя превышать назначенный уровень доступа. Если по каким-то причинам это необходимо, администраторы или владельцы систем создают для пользователей новые профили под актуальную метку ресурса.

Такая схема легко реализуется, но не обладает достаточной гибкостью для внедрения в инфраструктуру крупных организаций. Она предназначена скорее для государственных учреждений и компаний, которым требуется повышенный уровень безопасности.

Ролевая система (Role Based Access Control)

Ролевая схема управления доступом (RBAC) основана на назначении ролей – наборов полномочий, привязанных к конкретным должностям или рабочим задачам. Удобство модели в том, что не нужно назначать полномочия отдельно каждому сотруднику – достаточно распределить роли. К тому же можно легко и быстро урезать или расширять наборы прав для групп работников.

Типы доступа в рамках ролевой модели:

  • Должностной – набор минимальных привилегий, необходимых для выполнения рабочих обязанностей сотрудников одной должности.
  • Персональный – расширенный набор полномочий, который выдается отдельным сотрудникам.
  • Функциональный – полномочия, которые назначаются отдельным сотрудникам для решения каких-либо текущих задач (например, в рамках командировки или конкретного проекта).

Такая модель доступа подходит для среднего и крупного бизнеса в любой сфере деятельности. Она позволяет обеспечить прозрачность управления, максимально исключить риски назначения избыточных полномочий, снизить нагрузку на специалистов IT-отдела, упростить порядок выдачи прав. Впрочем, нет смысла внедрять ролевую систему, если в штате до 50 сотрудников – ролей будет слишком мало, поэтому вложения в реализацию и обслуживание модели не оправдаются.

Модель на базе атрибутов (Attribute-based Access Control)

Такая модель называется ABAC и подразумевает выдачу прав доступа на основе рассматриваемых в моменте правил, привязанных к объектам (системам и ресурсам), субъектам (пользователям), конкретным операциям и рабочим задачам, окружению. В рамках этого подхода используется механизм автоматизации, оценивающий предоставленные атрибуты.

На первый взгляд модель схожа с ролевой, но тут применяются более сложные наборы правил и политики, регламентирующие назначение полномочий для того или иного сотрудника. На их базе анализируются и согласовываются атрибуты, после чего формируются списки доступа.

Модель управления на основе атрибутов считается достаточно гибкой и удобной в эксплуатации. Она часто применяется в IT-сфере и крупных компаниях, где счет сотрудников идет на тысячи. Правда, такая схема все же проигрывает ролевой, которая считается более универсальной.

построение модели управления доступом

Реализация моделей управления доступом с помощью IdM-систем

Процессы управления доступом в компании можно оптимизировать и автоматизировать благодаря IdM-системам. Они незаменимы при выстраивании моделей, например ролевой или на основе атрибутов. Системы интегрируются с источниками кадровых данных и на базе полученной информации помогают формировать ролевые матрицы, назначать, сравнивать и анализировать наборы полномочий для каждой группы сотрудников. Также они упрощают работу с учетными записями пользователей (выявляют нелегитимные и бесхозные учетки, блокируют ненужные, генерируют новые и т. д.) и заявками на получение прав доступа.

Это далеко не все преимущества IdM-решений. Наш продукт Solar inRights с помощью коннекторов легко интегрируется со смежными системами: CRM, ERP, SIEM и др. Также он быстро внедряется и масштабируется, позволяет быть в курсе детальной картины доступа к объектам информационной инфраструктуры компании и управлять рисками, помогает бороться с излишними полномочиями и SoD-конфликтами. Еще один весомый аргумент за использование решения – возможность автоматизировать большинство процессов, связанных с управлением доступом и минимизировать влияние человеческого фактора.

Заключение

Чтобы упорядочить назначение прав доступа к информационным системам и обеспечить должный контроль, необходимо определиться с моделью управления доступом для бизнеса. Например, средние и крупные организации преимущественно делают выбор в пользу ролевой модели, которую удобно выстраивать благодаря IdM-решениям. Отечественным компаниям можно реализовать ее с помощью многофункционального инструмента Solar inRights, который позволит оптимизировать большинство процессов в сфере управления доступом.