
Атрибутивная модель управления доступом
Узнать больше28.06.2024
Любые предприятия, независимо от отрасли и масштабов развития, могут сталкиваться с трудностями в части управления учетными записями, при назначении полномочий для сотрудников, в вопросах контроля использования внутренних ресурсов. Сложности возникают из-за отсутствия понимания, кто, когда и с какой целью может работать с информационными системами (ИС). Чтобы избежать проблем, нужно организовать централизованное управление доступом к компонентам информационной инфраструктуры. Удобнее всего использовать для этой цели зрелые платформы класса Identity Management/Identity Governance&Administration (далее применяется сокращение — IdM/IGA). Расскажем о роли этих систем управления доступом, их ключевых функциях и преимуществах.
Управление доступом — подход, подразумевающий контроль использования ИС, определенных ресурсов и данных, своевременную выдачу релевантных полномочий для работы с теми или иными объектами инфраструктуры. Если все эти процессы реализуются вручную, зачастую происходят сбои и ошибки под влиянием человеческого фактора, которые приводят к росту рисков инцидентов информационной безопасности (ИБ).
С какими угрозами в части управления доступом могут столкнуться предприятия:
Чтобы минимизировать перечисленные риски и повысить общий уровень информационной безопасности, предприятия должны выстраивать управление доступом на базе передовых технологий и практик, с применением специальных систем, позволяющих автоматизировать большинство рутинных процессов, связанных с учетными записями, предоставлением, изменением, прекращением и контролем полномочий.
На IdM/IGA-платформы возлагаются следующие задачи:
Также IdM/IGA-платформы предоставляют широкие возможности для работы с пользовательскими заявками на дополнительные права доступа к ИС и отдельным ресурсам — они упрощают процедуры оформления, согласования и исполнения этих заявок, позволяют хранить историю пользовательских запросов. Системы формируют оптимальные маршруты согласования в соответствии с внутренними регламентами и автоматически направляют заявки по этим маршрутам. Также платформы позволяют настраивать функции тайм-аута и эскалации, с помощью которых можно реализовывать оптимальные сценарии реагирования на приостановку процессов согласования, например, отклонять не рассмотренную в отведенный период заявку, автоматически одобрять ее или перенаправлять на согласование другому ответственному сотруднику.
Организации преимущественно используют четыре модели управления доступом: ролевую, мандатную, дискреционную и модель на основе атрибутов. Рассмотрим специфику и особенности каждого подхода.
Одной из самых эффективных и безопасных схем управления доступом называют ролевой подход Role-based access control (далее — RBAC). Он подразумевает формирование ролей, каждой из которых назначается свой набор полномочий в зависимости от должностей и задач сотрудников, которым будет присвоена та или иная роль.
Модель удобна тем, что не нужно выдавать права доступа отдельным работникам — достаточно присвоить определенные роли с уже привязанными к ним привилегиями. Если прав будет недостаточно для выполнения конкретных задач, сотрудники могут запросить их дополнительно по заявке.
Mandatory Access Control (MAC) — подход, диктующий разграничение доступа к объектам (конкретным ресурсам, данным) информационной инфраструктуры на основании служебных меток конфиденциальности, назначенных этим объектам и дозволенного уровня доступа для того или иного субъекта (пользователя). Например, каким-то сотрудникам будет разрешено работать со строго конфиденциальными данными, каким-то — исключительно с информацией, которая не представляет особой тайны.
Подход Discretionary Access Control (DAC) подразумевает, что доступ к целевым ИС и внутренним ресурсам будет вручную предоставлять администратор или владелец ресурсов. Ответственное лицо создает списки сотрудников с указанием их прав в отношении того или иного компонента информационной инфраструктуры предприятия.
Этот подход получил название Attribute-based Access Control (ABAC) и подразумевает предоставление доступа с опорой на правила, привязанные к субъектам (сотрудникам) и объектам (ИС и определенным ресурсам). Предоставленные атрибуты автоматически оцениваются и сверяются с действующими регламентами доступа, после чего назначаются полномочия, достаточные для работы того или иного специалиста.
Эту модель управления часто выбирают крупные предприятия с многотысячным штатом сотрудников, когда нужно обеспечить гибкость в предоставлении прав. Но такой подход хорошо работает в комплексе с ролевым, который считается более универсальным.
К ключевым методам относят идентификацию и аутентификацию. Первая процедура подразумевает распознавание пользователя в ИС, подтверждение его существования. Аутентификация позволяет системе убедиться, что пользователь тот, за кого себя выдает и имеет права на использование учетной записи, под которой осуществляется вход. Для критически важных ресурсов аутентификация чаще всего бывает многофакторной, то есть при попытке подключения нужно не только ввести пароль от учетки, но и предъявить еще какое-то доказательство, например, код с телефона, токен или биометрическую характеристику.
Управление доступом подразумевает обязательное журналирование всех операций и аудит действий сотрудников. В этом помогут IdM/IGA-платформы, которые предоставляют актуальные сведения о доступе к ресурсам для подготовки текущей отчетности для офицеров службы информационной безопасности и исторические данные для расследований.
В управлении доступом нуждаются все организации вне зависимости от сферы деятельности, но универсального подхода, который подходил бы всем, не существует — каждая компания должна учитывать характер рабочих задач, количество сотрудников, особенности используемых информационных систем и другие объективные факторы. Расскажем о специфике управления доступом на примере трех отраслей.
К этой сфере применяются строгие законодательные требования, диктующие необходимость надежной защиты целевых систем, внутренних ресурсов и обрабатываемых массивов данных. Нарушение регламентов ведет к последствиям в виде больших штрафов, а в некоторых ситуациях и к отзыву лицензии на деятельность.
Отсутствие продуманного контроля доступа к внутренним ресурсам в банках и других финансовых учреждениях приводит к уязвимости конфиденциальной информации, высоким рискам ее утечки и нелегитимного использования. Поэтому важно, чтобы доступ к финансовым системам, данным о клиентских счетах и операциях с деньгами предоставлялся только тем сотрудникам, которым он положен в соответствии со служебными обязанностями.
Еще одна ключевая задача в контексте доступа к ИС в финансовых учреждениях — автоматизация выдачи и отзыва полномочий. Это необходимо, чтобы обеспечить надлежащее обслуживание клиентов и при этом не создавать дополнительных рисков ИБ. Если в учреждении наблюдается текучка кадров, изменение прав вручную и назначение дополнительных полномочий по пользовательским заявкам будет происходить долго и, скорее всего, с ошибками, что негативно скажется на рабочих процессах и общем уровне защищенности информационного периметра.
Также внутри финансовых организаций должны действовать отдельные правила управления правами доступа для конкретных ресурсов: платежных и информационных систем, систем управления взаимодействием с клиентами и т.д. Если не разграничить подходы, существенно возрастут риски SoD-конфликтов, использования одних и тех же паролей для нескольких учетных записей, случаев несанкционированного доступа. Избежать этих проблем и соблюсти принцип разграничения ответственности позволит внедрение IdM/IGA-системы управления доступом.
Главная сложность для этой отрасли заключается в использовании большого количества специализированных сервисов и систем, в том числе унаследованного ПО, от которого не получится отказаться даже при условии, что его сложно настраивать под текущие задачи. Каждый объект информационной инфраструктуры имеет собственные уникальные механизмы выдачи прав доступа и идентификации, что приводит к необходимости создания многочисленных наборов учетных данных. Это не только повышает вероятность инцидентов ИБ, но и создает неудобства для работников государственных организаций, которым приходится запоминать логины и пароли для каждой системы, регулярно отправлять заявки на предоставление дополнительных полномочий для работы с той или иной программой. Внедрение IdM/IGA-системы управления доступом предоставит удобные механизмы для управления полномочиями, продуманные инструменты для быстрой обработки заявок и создания общей парольной политики для всех используемых сервисов.
Еще одна задача IdM/IGA-платформы в государственных учреждениях — обеспечение гранулированного доступа к внутренним ресурсам для внешних пользователей: подрядчиков, поставщиков программных решений, партнеров. С ее помощью можно назначать и контролировать этот доступ, минимизируя риски информационной безопасности для компании.
На производствах трудится огромное количество работников, которые в рамках служебных обязанностей должны взаимодействовать с различными внутренними сервисами и критически важными информационными объектами. IdM/IGA-платформа позволяет им получать доступ к нужным ресурсам и при этом обеспечивает эффективный контроль исполнения регламентов.
Использование системы управления доступом в промышленных организациях дает гарантии, что взаимодействовать с внутренними ресурсами будут только авторизованные пользователи, которыми могут быть не только сотрудники, но и подрядчики, партнеры. В этом контексте платформа по управлению доступом выполняет две важные задачи — за счет контролируемого доступа позволяет обезопасить чувствительные сведения компании и укрепить отношения с партнерами благодаря грамотно организованной совместной работе с ресурсами.
Если организация причислена к объектам критической информационной инфраструктуры, то использование продуманной платформы для управления доступом позволит соблюсти законодательные требования, касающиеся защиты строго конфиденциальных данных. Придерживаться регламентов удается за счет того, что IdM/IGA-платформа предоставляет эффективные инструменты для создания отчетности, журналирования операций, проведения аудита прав доступа.
Solar inRights — IdM/IGA-платформа, предоставляющая удобные инструменты для управления доступом к ИС и внутренним ресурсам в компаниях разного масштаба. Основные преимущества решения:
Внедрение Solar inRights позволяет перейти на единую систему управления доступом взамен использования нескольких разрозненных инструментов, выполняющих отдельные задачи в части контроля прав доступа.
ЗАКЛЮЧЕНИЕ
Многие организации стремятся прийти к централизованному управлению доступом с помощью одного продукта, предоставляющего всю необходимую функциональность. IdM/IGA-платформа Solar inRights может стать для российских компаний именно таким решением. Она удобна в использовании, постоянно развивается, выдерживает высокие нагрузки, отличается технологической зрелостью.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.