Атрибутивная модель управления доступом
Узнать большеОдна из эффективных практик защиты конфиденциальной информации — разграничение доступа. Пользователям назначают релевантные полномочия для работы с данными, стараясь избегать избыточности. Цель практики — определить, какие права пользователя позволят в полной мере выполнять служебные обязанности, выдать эти привилегии и контролировать исполнение регламентов в части доступа. Рассказываем, какие полномочия могут быть назначены сотрудникам, с помощью каких инструментов удобно управлять доступом и обеспечивать соблюдение внутренних регламентов.
Права доступа пользователей: понятие, значимость в контексте информационной безопасности
Правами доступа пользователей называют разрешения на выполнение определенных операций с информационными ресурсами той или иной степени конфиденциальности. Ключевые составляющие прав доступа:
- Пользователи или корпоративные учетные записи, получающие определенный уровень доступа к объектам информационной инфраструктуры компании.
- Ресурсы, с которыми работают пользователи. Например, базы данных, сетевое оборудование, СЗИ, сервисы и приложения, отдельные каталоги и файлы.
- Разрешения на выполнение действий, приобретенные при назначении прав доступа пользователей.
Чтобы поддерживать высокий уровень информационной безопасности, недостаточно один раз назначить релевантные полномочия — необходимо периодически проводить сертификацию прав пользователя. В ходе мероприятия проверяется, актуальны ли предоставленные привилегии.
Если компания при выдаче полномочий опирается на ролевую модель разграничения доступа, когда пользователям одной должности назначаются роли с определенным кругом привилегий, соответствующих должностным обязанностям и выполняемым задачам, проводится ресертификация. Она подразумевает пересмотр модели: оценку целесообразности существующих ролей, удаление неактуальных и избыточных прав, включение новых. Таким образом, удается обеспечить грамотное и эффективное управление правами пользователей.
Какие виды прав пользователя существуют
Наборы полномочий можно разделить на четыре категории: расширенные, ограниченные, временные и постоянные. Рассказываем, в чем между ними разница.
Расширенные права пользователя
Такие привилегии дают возможность работать с критически важными ресурсами, базами данных, оборудованием, СЗИ и т.д. В этом случае доступ будет называться привилегированным.
Например, можно дать права администратора пользователю, чтобы сотрудник осуществлял настройки систем и оборудования, назначал полномочия другим пользователям и др. Однако следует понимать, что превышение таких привилегий сопряжено с рисками для информационной безопасности организации, поэтому работу обладателей расширенных привилегий нужно регулярно контролировать.
Ограниченные права пользователя
Это набор полномочий, разрешающий работать с ресурсами, но с некоторыми ограничениями. Такая практика часто используется в рамках ролевой модели разграничения доступа. Например, некоторым сотрудникам не нужен полный набор привилегий, включенных в его роль, поэтому можно дополнительно ввести ряд ограничений.
Временные права пользователя
Это полномочия, назначенные временно для выполнения текущих задач. Например, когда один сотрудник заменяет другого на время отпуска, ему необходимы дополнительные привилегии. Но для постоянного использования их назначать нецелесообразно, поскольку они не нужны сотруднику в рамках выполнения основных обязанностей. Временные права необходимо своевременно отзывать, чтобы у сотрудников не накапливались избыточные полномочия, что повышает риски ИБ.
Постоянные права пользователя
К постоянным относятся привилегии, которые базово назначены сотрудникам для выполнения служебных обязанностей. При необходимости список таких полномочий можно сузить или расширить как для конкретных работников, так и для групп сотрудников.
Различие между правами доступа и правами пользователей
Многие путают эти два понятия, но между ними есть разница. Права доступа могут выдаваться как пользователям, так и учетным записям. То есть фактически, зайдя в систему под определенной учетной записью, сотрудник может использовать все назначенные для нее полномочия. Права пользователей выдаются конкретным лицам в соответствии с занимаемой должностью и исполняемыми обязанностями, иерархией в корпоративной инфраструктуре.
Права администратора
Права администратора дают пользователям возможность выполнять в информационной инфраструктуре следующие действия:
- Изменять параметры средств обеспечения безопасности.
- Контролировать установку нового оборудования и программного обеспечения.
- Менять параметры зарегистрированных в системах учетных записей.
- Работать с конфиденциальными информационными ресурсами.
- Определять требования к целевым системам.
Права администратора могут получить пользователи, управляющие информационными ресурсами, владельцы ресурсов, сотрудники, которым для выполнения обязанностей необходимы расширенные привилегии.
Административные права отличаются от пользовательских тем, что позволяют выполнять широкий круг действий внутри инфраструктуры. Обычные пользователи ограничены в операциях — чаще всего у них есть права в рамках узконаправленных рабочих задач.
Какие права могут быть выданы пользователям
Примеры привилегий:
- Права на чтение данных без возможности вносить изменения.
- Права на запись, изменение и удаление данных.
- Права на выполнение скриптов, то есть определенных действий с корпоративными ресурсами.
- Права администратора, выданные пользователю, ответственному за слаженную и корректную работу компонентов информационной инфраструктуры.
Чтобы определить уровень полномочий, необходимый конкретным пользователям, следует проанализировать, какие программы, сервисы и каталоги использует компания, какие из них нужны для работы тем или иным сотрудникам. Также при распределении привилегий учитывается иерархия пользователей и тип обрабатываемой информации. Например, у большинства сотрудников не будет доступа к строго конфиденциальным данным, с которыми работают аналитики, администраторы, персонал из финансового отдела.
Как выдать права пользователю
Права пользователя могут быть назначены вручную администраторами. Этот вариант реализуем, если компания небольшая и в штате до сотни сотрудников. Администраторы анализируют, какие полномочия нужны и формируют списки доступа, которые при необходимости легко видоизменить, сузив или расширив круг привилегий для конкретных пользователей.
Для средних и крупных компаний предпочтительнее автоматическое предоставление прав пользователю. Процесс назначения полномочий можно автоматизировать с помощью решений класса Identity Governance and Administration (далее — IGA). Это системы управления доступом и жизненным циклом учетных записей, позволяющие снизить нагрузку на администраторов и минимизировать риски, связанные с некорректным назначением пользовательских привилегий.
В портфеле ГК «Солар» есть IGA-решение Solar inRights, закрывающее следующие цели в части управления правами доступа пользователей:
- Назначение полномочий в соответствии с ролевой моделью.
- Отслеживание и контроль SoD-конфликтов, возникающих при выдаче несовместимых полномочий одному человеку.
- Оптимизация работы с заявками на предоставление дополнительных полномочий.
- Снижение рисков накопления избыточных привилегий.
- Обеспечение соблюдения внутренних регламентов, касающихся управления доступом.
- Предоставление актуальных данных о правах доступа пользователей для расследования внутренних инцидентов, аудита доступа.
Помимо широкого набора функций, среди преимуществ платформы Solar inRights можно выделить удобный пользовательский интерфейс, быстрое и беспроблемное внедрение, простую эксплуатацию, экспертизу продуктовой команды.