Виды прав доступа

Разграничение прав доступа — важный инструмент управления информационной безопасностью, позволяющий снижать риски утечки, несанкционированного доступа к системам и данным. В статье рассказываем, какие виды прав доступа существуют, по какому принципу они назначаются, с помощью каких средств можно контролировать соблюдение полномочий.

Что такое права доступа

Правом доступа называют разрешение выполнять определенные операции в отношении объектов инфраструктуры: целевых систем, приложений и программ, сетевого оборудования, данных, СЗИ. Например, один пользователь может только читать файлы, другой — редактировать и отправлять документы, третий — осуществлять системные настройки, управлять оборудованием и средствами защиты.

Основные компоненты прав доступа:

• Пользователи или учетные записи (УЗ), которым назначаются полномочия разного уровня.
• Ресурсы, используемые компанией: информационные системы, базы данных, приложения, СЗИ и др.
• Разрешения, которые пользователи приобретают в рамках назначенных полномочий.

Разные виды прав доступа могут назначаться пользователям, группам пользователей или учетным записям. Чтобы определить необходимый уровень полномочий, нужно проанализировать все используемые системы и сервисы, составить список ресурсов, которые потребуются для работы конкретным сотрудникам. Также при назначении привилегий следует учитывать степень конфиденциальности и характер обрабатываемых данных. Например, у рядовых пользователей не может быть доступа к финансовой отчетности, с которой работает бухгалтер.

Виды прав доступа

Глобально права доступа можно разделить на три группы: административные, пользовательские и групповые. Расскажем об особенностях каждой категории.

Административные права доступа

Наличие административных полномочий позволяет получить полный доступ к объектам инфраструктуры и возможность вносить изменения в круг прав рядовых пользователей и групп пользователей.

Кто может иметь административные полномочия:

• Сотрудники администрирующие информационные ресурсы.
• Владельцы информационных ресурсов.
• Другие пользователи, которым были назначены административные привилегии.

Сотрудники с правами администратора могут управлять пользователями и устройствами, формировать требования к целевым системам, изменять настройки СЗИ и оборудования, создавать и удалять объекты. Кроме того, эти сотрудники имеют доступ на предоставление/изменение/удаление полномочий.

Пользовательские виды прав доступа

Пользовательские полномочия позволяют получить необходимый уровень доступа к тем ресурсам, которые нужны для выполнения служебных обязанностей. По типу присвоенных привилегий и рангу сотрудников можно условно разделить на четыре группы: администраторы, операторы, менеджеры и рядовые пользователи. У рядовых пользователей самый узкий круг полномочий, у администраторов — самый широкий.

Виды пользовательских прав доступа на работу с системами и базами данных:

• Чтение — разрешение на просмотр информации без права на изменение.
• Запись — разрешение на изменение объектов, внесение дополнительных сведений.
• Изменение структуры БД и удаление — полномочия на модификацию и удаление объектов, присутствующих в базах данных.
• Администрирование — право на управление целевыми системами и БД.
• Изменение разрешений — право сужать или расширять круг полномочий в отношении конкретных объектов инфраструктуры.

Как правило, рядовые пользователи не имеют полномочий на изменение и удаление объектов инфраструктуры. Таким образом, можно снизить риски несанкционированного использования данных и потери критической информации.

Групповые права доступа

Это права, назначенные группе пользователей, выполняющих одинаковые рабочие задачи. Такой подход к разграничению полномочий считается гибким и подходит для крупных организаций. Он позволяет автоматизировать рутинные операции и сэкономить время сотрудников, которые вручную назначают права каждому пользователю.

Если отдельным сотрудникам будет недостаточно общего круга полномочий, можно запросить дополнительные привилегии по заявке. В случае одобрения запроса ответственными лицами заявителю будут назначены временные права, необходимые для выполнения задач в рамках текущих проектов. По окончании проектов полномочия аннулируются.

Как назначаются разные виды прав доступа

Чтобы упорядочить процессы назначения полномочий и обеспечить контроль за соблюдением регламентов в части доступа, целесообразно использовать одну из четырех моделей управления доступом:

• Discretionary Access Control (DAC) — дискреционный или избирательный подход, в рамках которого круг полномочий для конкретных пользователей и УЗ определяют администраторы или владельцы ресурсов. Модель считается удобной и простой в реализации, но недостаточно безопасной и универсальной, не подходит для крупных компаний.
• Mandatory Access Control (MAC) — мандатный принцип распределения видов прав доступа в зависимости от степени конфиденциальности ресурсов и данных. Объектам инфраструктуры присваиваются служебные метки, например, «Несекретно», «Строго конфиденциально», затем под каждую метку формируются профили сотрудников, которые могут взаимодействовать с информацией определенного уровня секретности. При необходимости расширить полномочия придется каждый раз создавать новые профили. Модель достаточно сложна в реализации и подойдет организациям с повышенными требованиями к ИБ
• Role Based Access Control (RBAC) — ролевая модель, в основе которой лежит создание ролей — готовых наборов разных видов прав доступа, предназначенных для сотрудников одной должности. Она удобна тем, что не придется назначать привилегии каждому пользователю отдельно. Чтобы расширить круг прав, достаточно внести изменения в конкретные роли. Модель RBAC оптимальна для средних и крупных организаций со штатом более 50 сотрудников.
• Attribute-based Access Control (ABAC) — модель выдачи полномочий на базе правил и политик, привязанных к объектам инфраструктуры, пользователям и конкретным задачам. Атрибуты оцениваются автоматически с помощью специальных механизмов. Это достаточно гибкий подход к управлению доступом, который подойдет для крупных компаний.

Как управление правами доступа способствует защите информации

При отсутствии организованного управления доступом компании могут столкнуться со следующими проблемами:

• Непонимание, кому и какие виды прав доступа назначены, на каком основании.
• Несанкционированное повышение полномочий.
• Неисполнение регламентов в части управления доступом.
• Накопление излишних полномочий у отдельных пользователей или учетных записей.
• Долгое согласование заявок на предоставление дополнительных прав доступа.

Эти проблемы решаются путем внедрения IGA-системы Solar inRight — платформы для управления всеми видами прав доступа, которая позволяет назначать полномочия на базе ролевой модели, собирать сведения для аудита и расследований, управлять жизненным циклом всех существующих в компании УЗ.

Цели использования Solar inRight:

• Обеспечение гарантированного соблюдения регламентов в части управления доступом.
• Получение полной и актуальной информации о полномочиях пользователей и учетных записей, которая будет полезна для принятия решений, проведения аудита, выполнения рутинных задач.
• Минимизация вовлеченности администраторов в процессы назначения полномочий.
• Оперативное согласование заявок на предоставление дополнительных привилегий.
• Управление паролями от учетных записей.
• Снижение рисков ИБ, связанных с избыточными правами доступа к целевым системам и чувствительным данным.
• Обеспечение соблюдения требований регуляторов в вопросах сохранения конфиденциальности чувствительных данных.

Solar inRight подойдет для любых компаний, в том числе крупных организаций уровня Enterprise. Платформа без проблем масштабируется, отличается удобством в эксплуатации и высокой производительностью.