Какие виды прав доступа существуют и как их назначают

Получить консультацию по Solar inRights

ФИО

Телефон

Я даю согласие на обработку персональных данных, на условия Политики по обработке персональных данных, а также на получение информационных материалов и рассылок

Разграничение прав доступа — важный инструмент управления информационной безопасностью, позволяющий снижать риски утечки, несанкционированного доступа к системам и данным. В статье рассказываем, какие виды прав доступа существуют, по какому принципу они назначаются, с помощью каких средств можно контролировать соблюдение полномочий.

Что такое права доступа

Правом доступа называют разрешение выполнять определенные операции в отношении объектов инфраструктуры: целевых систем, приложений и программ, сетевого оборудования, данных, СЗИ. Например, один пользователь может только читать файлы, другой — редактировать и отправлять документы, третий — осуществлять системные настройки, управлять оборудованием и средствами защиты.

Основные компоненты прав доступа:

Пользователи или учетные записи (УЗ), которым назначаются полномочия разного уровня.
Ресурсы, используемые компанией: информационные системы, базы данных, приложения, СЗИ и др.
Разрешения, которые пользователи приобретают в рамках назначенных полномочий.

Разные виды прав доступа могут назначаться пользователям, группам пользователей или учетным записям. Чтобы определить необходимый уровень полномочий, нужно проанализировать все используемые системы и сервисы, составить список ресурсов, которые потребуются для работы конкретным сотрудникам. Также при назначении привилегий следует учитывать степень конфиденциальности и характер обрабатываемых данных. Например, у рядовых пользователей не может быть доступа к финансовой отчетности, с которой работает бухгалтер.

Виды прав доступа

Глобально права доступа можно разделить на три группы: административные, пользовательские и групповые. Расскажем об особенностях каждой категории.

Административные права доступа

Наличие административных полномочий позволяет получить полный доступ к объектам инфраструктуры и возможность вносить изменения в круг прав рядовых пользователей и групп пользователей.

Кто может иметь административные полномочия:

Сотрудники администрирующие информационные ресурсы.
Владельцы информационных ресурсов.
Другие пользователи, которым были назначены административные привилегии.

Сотрудники с правами администратора могут управлять пользователями и устройствами, формировать требования к целевым системам, изменять настройки СЗИ и оборудования, создавать и удалять объекты. Кроме того, эти сотрудники имеют доступ на предоставление/изменение/удаление полномочий.

Пользовательские виды прав доступа

Пользовательские полномочия позволяют получить необходимый уровень доступа к тем ресурсам, которые нужны для выполнения служебных обязанностей. По типу присвоенных привилегий и рангу сотрудников можно условно разделить на четыре группы: администраторы, операторы, менеджеры и рядовые пользователи. У рядовых пользователей самый узкий круг полномочий, у администраторов — самый широкий.

Виды пользовательских прав доступа на работу с системами и базами данных:

Чтение — разрешение на просмотр информации без права на изменение.
Запись — разрешение на изменение объектов, внесение дополнительных сведений.
Изменение структуры БД и удаление — полномочия на модификацию и удаление объектов, присутствующих в базах данных.
Администрирование — право на управление целевыми системами и БД.
Изменение разрешений — право сужать или расширять круг полномочий в отношении конкретных объектов инфраструктуры.

Как правило, рядовые пользователи не имеют полномочий на изменение и удаление объектов инфраструктуры. Таким образом, можно снизить риски несанкционированного использования данных и потери критической информации.

Групповые права доступа

Это права, назначенные группе пользователей, выполняющих одинаковые рабочие задачи. Такой подход к разграничению полномочий считается гибким и подходит для крупных организаций. Он позволяет автоматизировать рутинные операции и сэкономить время сотрудников, которые вручную назначают права каждому пользователю.

Если отдельным сотрудникам будет недостаточно общего круга полномочий, можно запросить дополнительные привилегии по заявке. В случае одобрения запроса ответственными лицами заявителю будут назначены временные права, необходимые для выполнения задач в рамках текущих проектов. По окончании проектов полномочия аннулируются.

Как назначаются разные виды прав доступа

Чтобы упорядочить процессы назначения полномочий и обеспечить контроль за соблюдением регламентов в части доступа, целесообразно использовать одну из четырех моделей управления доступом:

Discretionary Access Control (DAC) — дискреционный или избирательный подход, в рамках которого круг полномочий для конкретных пользователей и УЗ определяют администраторы или владельцы ресурсов. Модель считается удобной и простой в реализации, но недостаточно безопасной и универсальной, не подходит для крупных компаний.
Mandatory Access Control (MAC) — мандатный принцип распределения видов прав доступа в зависимости от степени конфиденциальности ресурсов и данных. Объектам инфраструктуры присваиваются служебные метки, например, «Несекретно», «Строго конфиденциально», затем под каждую метку формируются профили сотрудников, которые могут взаимодействовать с информацией определенного уровня секретности. При необходимости расширить полномочия придется каждый раз создавать новые профили. Модель достаточно сложна в реализации и подойдет организациям с повышенными требованиями к ИБ
Role Based Access Control (RBAC) — ролевая модель, в основе которой лежит создание ролей — готовых наборов разных видов прав доступа, предназначенных для сотрудников одной должности. Она удобна тем, что не придется назначать привилегии каждому пользователю отдельно. Чтобы расширить круг прав, достаточно внести изменения в конкретные роли. Модель RBAC оптимальна для средних и крупных организаций со штатом более 50 сотрудников.
Attribute-based Access Control (ABAC) — модель выдачи полномочий на базе правил и политик, привязанных к объектам инфраструктуры, пользователям и конкретным задачам. Атрибуты оцениваются автоматически с помощью специальных механизмов. Это достаточно гибкий подход к управлению доступом, который подойдет для крупных компаний.

Как управление правами доступа способствует защите информации

При отсутствии организованного управления доступом компании могут столкнуться со следующими проблемами:

Непонимание, кому и какие виды прав доступа назначены, на каком основании.
Несанкционированное повышение полномочий.
Неисполнение регламентов в части управления доступом.
Накопление излишних полномочий у отдельных пользователей или учетных записей.
Долгое согласование заявок на предоставление дополнительных прав доступа.

Эти проблемы решаются путем внедрения IGA-системы Solar inRight — платформы для управления всеми видами прав доступа, которая позволяет назначать полномочия на базе ролевой модели, собирать сведения для аудита и расследований, управлять жизненным циклом всех существующих в компании УЗ.

Цели использования Solar inRight:

Обеспечение гарантированного соблюдения регламентов в части управления доступом.
Получение полной и актуальной информации о полномочиях пользователей и учетных записей, которая будет полезна для принятия решений, проведения аудита, выполнения рутинных задач.
Минимизация вовлеченности администраторов в процессы назначения полномочий.
Оперативное согласование заявок на предоставление дополнительных привилегий.
Управление паролями от учетных записей.
Снижение рисков ИБ, связанных с избыточными правами доступа к целевым системам и чувствительным данным.
Обеспечение соблюдения требований регуляторов в вопросах сохранения конфиденциальности чувствительных данных.

Solar inRight подойдет для любых компаний, в том числе крупных организаций уровня Enterprise. Платформа без проблем масштабируется, отличается удобством в эксплуатации и высокой производительностью.

ЗАКЛЮЧЕНИЕ

Чтобы организовать безопасную и эффективную работу с используемыми компанией системами и базами данных, необходимо назначить пользователям всех рангов соответствующие виды прав доступа и контролировать соблюдение полномочий. Это можно сделать с помощью IGA-платформы Solar inRight, предоставляющей инструменты для управления доступом, аналитики и проведения расследований ИБ.