Для малого бизнеса
+7 (499) 673-37-62

20.05.2025

Какие права доступа могут быть назначены для учетных записей и как ими управлять

Какие права доступа могут быть назначены для учетных записей и как ими управлять

Получить консультацию по Solar inRights

Для доступа к объектам ИТ-инфраструктуры (целевым системам, программам и приложениям, БД, СЗИ) и работы с ними нужны учетные записи (УЗ), каждой из которых присваиваются определенные полномочия. Рассказываем, какие права доступа учетных записей бывают, как их назначать, каким образом осуществлять управление с помощью решения класса Identity Management (IdM).

Учетные записи: что это, какие есть

Учетными записями называют хранимые в компьютерных системах сведения о пользователях, необходимые для получения доступа к функциям этих систем. Чтобы применять УЗ, пользователю нужно ввести идентификатор (чаще всего логин) и пароль. Если в системах предусмотрена двухфакторная или многофакторная аутентификация, для доступа потребуется дополнительная информация, например, одноразовый код из электронной почты.

Пользовательские учетные данные могут содержать:

  • Идентификаторы и пароли пользователей. Для защиты учетных данных пароли должны храниться в хэшированном или зашифрованном виде.
  • Дополнительную информацию о пользователях (если УЗ пользовательские): дата рождения, номер телефона, адрес электронной почты и др.
  • Аватары пользователей.

Также в системах, используемых компаниями, могут присутствовать технические учетные записи, не привязанные к конкретным пользователям. Они используются для различных целей, например, запуска новых служб и тестирования программ, осуществления настроек в целевых системах и т.д.

Для каждой УЗ назначаются права доступа учетных записей, позволяющие совершать различные действия в целевых системах, программах, базах данных, приложениях. Полномочия необходимы для выполнения функциональных и должностных обязанностей.

виды прав доступа учетных записей

Виды прав доступа учетных записей

Какие права доступа могут быть назначены:

  • Чтение — минимальные права доступа, позволяющие просматривать информационные активы без возможности вносить изменения.
  • Запись — возможность изменять существующие ресурсы, редактировать файлы, вносить новые объекты.
  • Выполнение — совершение определенных действий в отношении целевых систем и информационных ресурсов.
  • Административные права доступа учетных записей, разрешающие управлять объектами ИТ-инфраструктуры. Такие полномочия могут назначаться как пользовательским, так и техническим УЗ.

Чтобы присвоить релевантные полномочия, необходимо сначала идентифицировать и классифицировать по степени конфиденциальности все имеющиеся у компании информационные ресурсы. Когда это условие будет выполнено, можно назначать для УЗ права доступа в соответствии с должностями и служебными обязанностями владельцев. Если учетная запись не привязана к конкретным пользователям, полномочия для нее назначаются в зависимости от целей использования. Например, для осуществления настроек и запуска новых функций потребуются административные права доступа.

Управление правами доступа учетных записей

Управление доступом — элемент стратегии защиты чувствительных ресурсов компаний. Если не контролировать назначенные УЗ полномочия, возрастают риски утечек, несанкционированного использования информации и других внутренних нарушений, связанных со злоупотреблением правами доступа.

Что подразумевается под управлением правами доступа учетных записей:

  • Отслеживание жизненного цикла УЗ от момента регистрации до блокировки.
  • Назначение релевантных полномочий для работы в целевых системах.
  • Соблюдение принципа наименьших привилегий, подразумевающего назначение минимально достаточных прав доступа для учетных записей.
  • Своевременные изменение, приостановка и отзыв прав доступа при изменении первичных условий назначения.
  • Контроль соблюдения внутренних политик назначения полномочий.

Управление доступом и контроль жизненного цикла учетных записей удобно осуществлять с помощью IdM-системы. Она позволяет оптимизировать процессы регистрации новых УЗ и блокировки тех, которые уже не используются. Также система полезна в части работы с полномочиями, поскольку позволяет автоматизировать их назначение, приостановку и отзыв.

модели управления правами доступа учетных записей

Модели управления правами доступа учетных записей

Чтобы назначать релевантные полномочия и соблюдать внутренние политики безопасности, каждая организация выбирает удобную для себя модель управления доступом. Рассказываем о четырех наиболее распространенных.

Дискреционная

Дискреционная (другое название — избирательная) концепция Discretionary Access Control (DAC) предполагает выдачу прав доступа на основе идентификационных данных пользователей. Ответственность за присвоение полномочий несут администраторы, в редких случаях — владельцы систем. Назначение прав доступа учетных записей в рамках модели обычно происходит вручную.

Эта модель легко внедряется, подходит для небольших организаций. Ее недостатки: отсутствие гибкости и четкой схемы присвоения полномочий, из-за чего возрастают риски назначить кому-то из сотрудников избыточные права.

Мандатная

Мандатная или обязательная модель Mandatory Access Control (MAC) — концепция выдачи прав доступа учетных записей с опорой на принципы конфиденциальности. Всем критичным ресурсам компании присваиваются служебные метки согласно степени секретности. Например, какие-то объекты являются не особо секретными, какие-то — совершенно секретными. С учетом этих меток определяются уровни доступа для сотрудников, занимающих разные должности. Полномочия для работы со строго конфиденциальными активами предоставляются ограниченному кругу лиц.

Чтобы осуществлять управление доступом, администраторы формируют для каждого сотрудника профили с перечнем назначенных привилегий. Если для кого-то нужно сузить или дополнить круг полномочий, необходимо создать новый профиль.

Такая модель управления правами доступа учетных записей тоже не отличается гибкостью, зато она обеспечивает повышенный уровень ИБ, поэтому внедряется организациями со строгими требованиями к безопасности данных.

Ролевая

Концепция Role Based Access Control (RBAC) позволяет отойти от назначения полномочий для каждой конкретной учетной записи. Она предполагает создание ролей с привязанными к ним списками прав доступа. Эти роли присваиваются в соответствии со штатными позициями и должностными обязанностями работников. Если выяснится, что кому-то недостаточно полномочий или, наоборот, наблюдается избыточность, можно внести в роли изменения.

Ролевая модель считается адаптивной и эффективной для компаний со штатом от 50 человек, подходит для разных сфер деятельности. Малым организациям нет смысла ее внедрять, поскольку не наберется достаточного количества ролей.

Атрибутивная

В рамках подхода Attribute-Based Access Control (ABAC) назначение прав доступа для учетных записей происходит на основе атрибутов — наборов характеристик пользователей, объектов ИТ-инфраструктуры, корпоративной среды. Полномочия для каждой конкретной УЗ назначаются после оценки предоставленных атрибутов с учетом внутренних политик и различных факторов.

Отличительная особенность атрибутивной модели — формирование сложных правил доступа. Например, сотруднику присваиваются полномочия для работы с каким-либо ресурсом, но применять эти полномочия можно строго в рабочие часы. Еще пример — доступ только с конкретного IP-адреса.

Атрибутивная модель управления правами доступа учетных записей является гибкой, прозрачной и удобной для средних/крупных компаний. Она обеспечивает детализированный подход к назначению полномочий и позволяет добиться высокого уровня ИБ.

IdM-решение Solar inRights ориентировано на назначение прав на основе политик доступа, а это, как правило, сочетание ролевой и атрибутивной моделей. С помощью политик можно довольно гибко разграничивать права доступа для подразделений должностей или отдельных работников, используя различные атрибуты пользователей и их трудоустройств. Для организационно-штатной структуры можно сформировать ролевую матрицу, наглядно представляющую роли и наборы полномочий в них, которые будут назначаться на определенные организационные единицы. Также с использованием системы можно отслеживать SoD-конфликты — несовместимые привилегии в рамках одной роли. Такие ситуации невозможно на 100% предотвратить, поэтому необходимо контролировать.

IdM-система позволяет внедрить и атрибутивную модель управления правами доступа учетных записей. Интегрируясь с доверенными источниками, она собирает актуальную и полную информацию о владельцах УЗ, которая затем будет анализироваться при назначении доступа.

ЗАКЛЮЧЕНИЕ

Права доступа учетных записей позволяют выполнять ряд действий с объектами ИТ-инфраструктуры. Они назначаются в соответствии с рабочими задачами и должностями владельцев УЗ, другими объективными факторами. Упростить процессы управления полномочиями, обеспечить соблюдение внутренних политик ИБ и отраслевых регламентов позволит высокопроизводительная IdM-система Solar inRights. Она подойдет для средних и крупных компаний, в том числе и с геораспределенной инфраструктурой.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Ограничение доступа к информационным ресурсам

Ограничение доступа к информационным ресурсам

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.