Атрибутивная модель управления доступом
Узнать большеРазграничение прав доступа — важный инструмент управления информационной безопасностью, позволяющий снижать риски утечки, несанкционированного доступа к системам и данным. В статье рассказываем, какие виды прав доступа существуют, по какому принципу они назначаются, с помощью каких средств можно контролировать соблюдение полномочий.
Что такое права доступа
Правом доступа называют разрешение выполнять определенные операции в отношении объектов инфраструктуры: целевых систем, приложений и программ, сетевого оборудования, данных, СЗИ. Например, один пользователь может только читать файлы, другой — редактировать и отправлять документы, третий — осуществлять системные настройки, управлять оборудованием и средствами защиты.
Основные компоненты прав доступа:
- Пользователи или учетные записи (УЗ), которым назначаются полномочия разного уровня.
- Ресурсы, используемые компанией: информационные системы, базы данных, приложения, СЗИ и др.
- Разрешения, которые пользователи приобретают в рамках назначенных полномочий.
Разные виды прав доступа могут назначаться пользователям, группам пользователей или учетным записям. Чтобы определить необходимый уровень полномочий, нужно проанализировать все используемые системы и сервисы, составить список ресурсов, которые потребуются для работы конкретным сотрудникам. Также при назначении привилегий следует учитывать степень конфиденциальности и характер обрабатываемых данных. Например, у рядовых пользователей не может быть доступа к финансовой отчетности, с которой работает бухгалтер.
Виды прав доступа
Глобально права доступа можно разделить на три группы: административные, пользовательские и групповые. Расскажем об особенностях каждой категории.
Административные права доступа
Наличие административных полномочий позволяет получить полный доступ к объектам инфраструктуры и возможность вносить изменения в круг прав рядовых пользователей и групп пользователей.
Кто может иметь административные полномочия:
- Сотрудники администрирующие информационные ресурсы.
- Владельцы информационных ресурсов.
- Другие пользователи, которым были назначены административные привилегии.
Сотрудники с правами администратора могут управлять пользователями и устройствами, формировать требования к целевым системам, изменять настройки СЗИ и оборудования, создавать и удалять объекты. Кроме того, эти сотрудники имеют доступ на предоставление/изменение/удаление полномочий.
Пользовательские виды прав доступа
Пользовательские полномочия позволяют получить необходимый уровень доступа к тем ресурсам, которые нужны для выполнения служебных обязанностей. По типу присвоенных привилегий и рангу сотрудников можно условно разделить на четыре группы: администраторы, операторы, менеджеры и рядовые пользователи. У рядовых пользователей самый узкий круг полномочий, у администраторов — самый широкий.
Виды пользовательских прав доступа на работу с системами и базами данных:
- Чтение — разрешение на просмотр информации без права на изменение.
- Запись — разрешение на изменение объектов, внесение дополнительных сведений.
- Изменение структуры БД и удаление — полномочия на модификацию и удаление объектов, присутствующих в базах данных.
- Администрирование — право на управление целевыми системами и БД.
- Изменение разрешений — право сужать или расширять круг полномочий в отношении конкретных объектов инфраструктуры.
Как правило, рядовые пользователи не имеют полномочий на изменение и удаление объектов инфраструктуры. Таким образом, можно снизить риски несанкционированного использования данных и потери критической информации.
Групповые права доступа
Это права, назначенные группе пользователей, выполняющих одинаковые рабочие задачи. Такой подход к разграничению полномочий считается гибким и подходит для крупных организаций. Он позволяет автоматизировать рутинные операции и сэкономить время сотрудников, которые вручную назначают права каждому пользователю.
Если отдельным сотрудникам будет недостаточно общего круга полномочий, можно запросить дополнительные привилегии по заявке. В случае одобрения запроса ответственными лицами заявителю будут назначены временные права, необходимые для выполнения задач в рамках текущих проектов. По окончании проектов полномочия аннулируются.
Как назначаются разные виды прав доступа
Чтобы упорядочить процессы назначения полномочий и обеспечить контроль за соблюдением регламентов в части доступа, целесообразно использовать одну из четырех моделей управления доступом:
- Discretionary Access Control (DAC) — дискреционный или избирательный подход, в рамках которого круг полномочий для конкретных пользователей и УЗ определяют администраторы или владельцы ресурсов. Модель считается удобной и простой в реализации, но недостаточно безопасной и универсальной, не подходит для крупных компаний.
- Mandatory Access Control (MAC) — мандатный принцип распределения видов прав доступа в зависимости от степени конфиденциальности ресурсов и данных. Объектам инфраструктуры присваиваются служебные метки, например, «Несекретно», «Строго конфиденциально», затем под каждую метку формируются профили сотрудников, которые могут взаимодействовать с информацией определенного уровня секретности. При необходимости расширить полномочия придется каждый раз создавать новые профили. Модель достаточно сложна в реализации и подойдет организациям с повышенными требованиями к ИБ
- Role Based Access Control (RBAC) — ролевая модель, в основе которой лежит создание ролей — готовых наборов разных видов прав доступа, предназначенных для сотрудников одной должности. Она удобна тем, что не придется назначать привилегии каждому пользователю отдельно. Чтобы расширить круг прав, достаточно внести изменения в конкретные роли. Модель RBAC оптимальна для средних и крупных организаций со штатом более 50 сотрудников.
- Attribute-based Access Control (ABAC) — модель выдачи полномочий на базе правил и политик, привязанных к объектам инфраструктуры, пользователям и конкретным задачам. Атрибуты оцениваются автоматически с помощью специальных механизмов. Это достаточно гибкий подход к управлению доступом, который подойдет для крупных компаний.
Как управление правами доступа способствует защите информации
При отсутствии организованного управления доступом компании могут столкнуться со следующими проблемами:
- Непонимание, кому и какие виды прав доступа назначены, на каком основании.
- Несанкционированное повышение полномочий.
- Неисполнение регламентов в части управления доступом.
- Накопление излишних полномочий у отдельных пользователей или учетных записей.
- Долгое согласование заявок на предоставление дополнительных прав доступа.
Эти проблемы решаются путем внедрения IGA-системы Solar inRight — платформы для управления всеми видами прав доступа, которая позволяет назначать полномочия на базе ролевой модели, собирать сведения для аудита и расследований, управлять жизненным циклом всех существующих в компании УЗ.
Цели использования Solar inRight:
- Обеспечение гарантированного соблюдения регламентов в части управления доступом.
- Получение полной и актуальной информации о полномочиях пользователей и учетных записей, которая будет полезна для принятия решений, проведения аудита, выполнения рутинных задач.
- Минимизация вовлеченности администраторов в процессы назначения полномочий.
- Оперативное согласование заявок на предоставление дополнительных привилегий.
- Управление паролями от учетных записей.
- Снижение рисков ИБ, связанных с избыточными правами доступа к целевым системам и чувствительным данным.
- Обеспечение соблюдения требований регуляторов в вопросах сохранения конфиденциальности чувствительных данных.
Solar inRight подойдет для любых компаний, в том числе крупных организаций уровня Enterprise. Платформа без проблем масштабируется, отличается удобством в эксплуатации и высокой производительностью.