Атрибутивная модель управления доступом
Узнать большеОдна из ключевых мер защиты информационных ресурсов — разграничение доступа к ним на базе принципа наименьших привилегий. Важно обеспечить сотрудников достаточными полномочиями для выполнения должностных обязанностей, при этом не допуская избыточности, которая приводит к повышенным рискам ИБ. В статье рассказываем, как происходит получение прав доступа в соответствии с внутренними регламентами компании, каким образом можно контролировать соблюдение назначенных сотрудникам привилегий.
Что такое права доступа, зачем они нужны
Правами доступа называют разрешение на выполнение определенных действий с информационными ресурсами. Базовые виды полномочий:
- Чтение — минимальные привилегии, которые чаще всего назначаются рядовым сотрудникам. Получение таких прав доступа дает возможность просматривать каталоги, папки и отдельные файлы.
- Запись — полномочия, позволяющие вносить изменения в документы, базы данных. Например, можно добавлять новые записи, редактировать или удалять существующие.
- Выполнение — права на запуск определенных скриптов.
Также существуют административные полномочия, позволяющие управлять пользователями и группами пользователей, устройствами, средствами защиты информации. Такие права определяют достаточно широкий круг действий, поэтому их обладатели считаются привилегированными пользователями.
Как происходит получение прав доступа
Полномочия могут назначаться каждому пользователю отдельно или через группы пользователей, вручную или автоматически согласно преднастроенным правилам. Чтобы оптимизировать процессы получения прав доступа, необходимо выбрать подходящую модель. Компании в основном используют одну из четырех, которые мы коротко описали.
Дискреционная или избирательная
Модель Discretionary Access Control (далее — DAC) предполагает распределение полномочий силами владельцев ресурсов или администраторов. Ответственные лица формируют списки с указанием, какие учетные записи и с какими ресурсами могут работать. При необходимости расширения круга прав для конкретных УЗ перечень дополняется.
Подход DAC легко реализуется и подходит для небольших организаций. Но использование такой модели получения прав доступа подразумевает назначение широких полномочий для администратора (если именно он определяет права для УЗ). Такой сотрудник может специально или непреднамеренно выдать пользователям излишний набор прав или даже предоставить доступ случайным лицам, что с большой вероятностью приведет к инцидентам ИБ.
Мандатная
Mandatory Access Control (далее — MAC) — модель назначения полномочий на основе служебных меток, присвоенных объектам информационной инфраструктуры. Например, какой-то ресурс может быть признан совершенно секретным, другой — общедоступным. Эти служебные метки учитываются при выдаче прав сотрудникам с разными должностными обязанностями. Кто-то будет иметь полномочия для работы с засекреченными объектами, кто-то — с ресурсами низкой степени конфиденциальности.
Особенность MAC — отсутствие возможности расширять круг полномочий. Если кому-то из сотрудников необходимы дополнительные привилегии, владельцы ресурсов или администраторы формируют новые профили под метки тех объектов, к которым нужен доступ.
Такая модель получения прав доступа подойдет государственным учреждениям и организациям с повышенными требованиями к обеспечению информационной безопасности. Другие компании редко ее используют из-за недостаточной гибкости.
Ролевая
Подход Role Based Access Control (далее — RBAC) — назначение полномочий на основе ролей. Ролями называют готовые наборы привилегий, сформированные под конкретные должности, подразделения и рабочие задачи. Эта модель получения прав доступа удобна тем, что полномочия назначаются не отдельным пользователям, а группам. Тем более процессы можно оптимизировать с помощью IGA-системы (Identity Governance and Administration) Solar inRights, предназначенной для эффективного управления доступом. Платформа позволяет определять круг привилегий для сотрудников и учетных записей, предоставляет широкие возможности для оформления и обработки заявок на получение дополнительных прав, которые могут потребоваться для выполнения отдельных задач.
Ролевой подход считается самым гибким и прозрачным в плане управления доступом, снижает нагрузку на администраторов и сотрудников IT-отдела, поскольку процессы выдачи полномочий максимально автоматизированы. Такая модель не подойдет для совсем небольших компаний, но это оптимальный вариант для среднего и крупного бизнеса.
Подход на основе атрибутов
Полное название модели получения прав доступа — Attribute-based Access Control (далее — ABAC). Назначение полномочий в рамках этого подхода происходит после анализа определенных правил, привязанныхк объектам, например, к пользователям и ресурсам. Предоставленные атрибуты автоматически оцениваются с помощью специальных механизмов, затем формируется список возможных привилегий для каждого субъекта.
Такая модель удобна для крупных компаний с многотысячным штатом сотрудников. Она не настолько удобна и универсальна, как ролевая, но тоже считается довольно гибкой.
Как изменяются права доступа
Эффективный контроль доступа подразумевает периодический пересмотр назначенных привилегий. Эта мера необходима, если:
- Изменились роли пользователей, например, добавились новые обязанности, требующие расширения или сужения круга полномочий.
- Обновились политики безопасности, следовательно, появились дополнительные вводные для получения прав доступа.
- Есть подозрение на избыточные привилегии у кого-то из сотрудников.
Процесс подтверждения привилегий называется сертификацией. В ходе процедуры проверяется актуальность назначенных прав доступа и их целесообразность. Если аналогичный процесс происходит при смене каких-либо условий, он будет называться ресертификацией. Быстро и эффективно провести процедуры в соответствии с внутренними регламентами поможет система Solar inRights, располагающая достаточным набором инструментов для выполнения задачи.
Как удаляются права доступа
Бывают ситуации, когда необходимо удалять права доступа. Например, если сотрудник перешел на другую должность, и ему назначен новый круг привилегий. В этом случае старые полномочия необходимо отзывать, чтобы не создавать дополнительных рисков ИБ. Также удаление необходимо, если права назначались под конкретную задачу, которая уже выполнена. Третий повод — обнаружение избыточных полномочий. И четвертый — уход сотрудника из компании.
Своевременное удаление полномочий — не менее важный процесс, чем получение прав доступа. Его также можно реализовать путем использования инструментов платформы Solar inRights.
Почему важно контролировать получение прав доступа
Отсутствие должного контроля за назначением полномочий часто приводит к избыточности в правах доступа, что повышает такие риски ИБ, как несанкционированное использование внутренних ресурсов, потеря и утечка конфиденциальных сведений.
Чтобы минимизировать риски, важно неукоснительно соблюдать внутренние политики и процедуры контроля прав доступа. Также необходимо регулярно проводить аудит для своевременного обнаружения отклонений от регламентов. Достоверные и полные данные для его реализации может предоставить система Solar inRights.
Как Solar inRights обеспечивает контроль прав доступа
Ключевые функции системы в части получения сотрудниками необходимых прав доступа и обеспечения внутренних регламентов:
- Управление доступом с опорой на ролевую и атрибутивную модели распределения полномочий.
- Контроль SOD-конфликтов, под которыми подразумевают выдачу несовместимых привилегий одному сотруднику.
- Автоматизация процессов получения прав доступа, исключение человеческого фактора при выдаче полномочий.
- Хранение истории доступа, формирование детальных отчетов для проведения аудита и внутренних расследований.
- Представление ответственным лицам прямого контроля за доступом.
Также использование Solar inRights позволяет обеспечить всех лиц, задействованных в процессах контроля доступа, актуальными данными для аналитики, принятия решений, раскрытия инцидентов ИБ.
Преимущества внедрения Solar inRights для бизнеса, службы ИБ и ИТ-подразделений
Что дает IGA-система бизнесу:
- Возможность выстроить прозрачную и гибкую стратегию управления доступом.
- Сокращение трудозатрат персонала, задействованного в процессах назначения полномочий.
- Адаптация к изменениям бизнес-процессов и структуры компании без потери эффективности управления доступом.
Преимущества для ИБ: предоставление полной картины получения прав доступа, снижение количества инцидентов, происходящих из-за избыточности привилегий.
Преимущества использования Solar inRights для ИТ: единое решение вместо лоскутной автоматизации, снижение нагрузки на персонал, наличие детальных отчетов для проведения аудита прав доступа, минимизация ошибок при назначении привилегий.