Утрата, утечка или изменение важной информации станут проблемой для компании, если она не приняла своевременные меры защиты. Дискреционное управление доступом – решение, позволяющее работать с конфиденциальными данными только лицам с определенным уровнем полномочий и закрывать доступ для остальных пользователей.

Необходимость дискреционного управления

Для компаний, работающих с персональными данными или информацией, содержащей государственную тайну, для государственных информационных систем (ГИС), банков, профессиональных участников рынка ценных бумаг необходимость разграничения доступа предусматривается на уровне законодательства, предписаний ФСТЭК РФ и Центробанка. Для большинства компаний, работающих с конфиденциальными данными, дискреционный доступ позволяет оградить ценные сведения от утечек или хищения контрагентами.

Матричная схема контроля

В программах дискреционное управление доступом реализуется в виде матрицы. В столбцах указываются объекты, права доступа к которым регламентируются (АРМ, базы данных, программы и приложения, удаленные устройства, Интернет), а в строках – пользователи. Для каждого из них определяется список разрешенных действий для пользователей с определенным уровнем доступа с объектами:

• чтение;
• копирование и запись;
• внесение изменений;
• выполнение (для программ);
• передача прав другим пользователям.

В линейном виде такая матрица не создается, она получится очень объемной, при этом большинство граф не будет содержать информацию. Поэтому пользователи и объекты данных группируются по категориям. Списки формируются средствами ACL, или Access Control List, с использованием метасимволов, отправляющих запросы к группам файлов, объединенных одним общим признаком. Это позволяет сделать матрицу более компактной. 

Дискреционный контроль доступа реализуем в среде Windows и Linux, механизмы ACL применимы для обеих операционных систем. Возможность гибкой смены вводных является преимуществом. 

Недостатки:

• сложность настройки централизованного контроля доступа;
• нет механизма, напрямую реализующего зависимость права работы с данными и квалифицированного доступа от мандата пользователя, а это не исключает риск утечки конфиденциальной информации.

Недостатки матричной схемы контроля доступа привели к созданию систем дискреционного управления, более чувствительных к потребностям организации.

Модель меток

Этот вариант разграничения прав доступа пользователей предполагает идентификацию субъектов (пользователей) и объектов (файлов, информационных баз, программ, аппаратных средств) путем присвоения им меток конфиденциальности. Выстраивается система доступа, в которой метки для субъекта дифференцируются в соответствии с уровнем доступа, определенного внутренней документацией, а для объекта – исходя из степени конфиденциальности информации, например, «Коммерческая тайна», «Общедоступно», «Секретно», «Совершенно секретно», «Особой важности». 

Подобная модель реализована в «СёрчИнформ FileAuditor». Программа для автоматизированного аудита чувствительных файлов устанавливает метки на документы, что помогает администратору понять, сколько в компании конфиденциальных сведений и где они хранятся.    

Метка представляет собой код. Получив его, программа реализует следующий механизм:

• сравнение характеристик меток субъекта и объекта, нахождение их идентичности;
• предоставление разрешения на доступ на основе принятых регламентов, призванных снизить риски утраты конфиденциальности информации.

Особенности мандатной схемы доступа

Проблемой модели становится необходимость объемной подготовительной работы, включающей присвоение меток всем пользователям и объектам, находящимся в периметре информационной безопасности организации. 

При внедрении этого механизма требуется:

• разработка системы и дальнейшее присвоение классификационных меток, определяющих уровень конфиденциальности и уровень доступа;
• готовность системы защиты доступа проводить классификацию и открывать доступ, при этом при внедрении схемы необходимо добиться строгого соответствия внутренних и внешних меток;
• система защиты от несанкционированного доступа должна активизироваться при любой попытке доступа, явной или скрытой. Субъект вправе взаимодействовать с объектом только тогда, когда его уровень во внутренней классификации равен его рангу или ниже. То же относится к записи и чтению.

Использование мандатной схемы дискреционного контроля доступа предполагает, что общие принципы классификации останутся неизменными, а уровни пользователей и информационных объектов будут меняться. В ИТ-подразделении должны быть выделены сотрудники, обладающие полномочиями на изменение мандатов.

Преимущества:

• снижение объема нагрузки на персонал, упрощение задач администрирования, в итоге – экономия средств компании;
• минимизация возможностей пользователя для управления даже информационными ресурсами, которые он создал сам;
• высокий уровень защиты конфиденциальности информации.

Недостаток один, но он существенен – права пользователя остаются неизменными для одного уровня конфиденциальности информации, это исключает возможность ограничить доступ к данным по функциональному признаку, например, инженеру – к файлам бухгалтерии. Таким образом, возможность организовать утечку конфиденциальной информации, владельцем которой является другое подразделение, сохраняется.

Ролевое управление 

По мере роста размеров информационной системы и количества сотрудников компании решение задачи организации дискреционного управления доступом к данным для сотрудников разного уровня становится все более сложным. Число связей на уровне «пользователь – файл» возрастает практически в геометрической прогрессии, это создает нагрузку на систему и персонал. Решить задачу призвана модель ролевого управления доступом (РУД). Основа этой системы является создание промежуточной сущности – роли, при администрировании она занимает место между пользователем и объектом. Роль прямо не связана с пользователем, но она предоставляет права доступа к определенному классу объектов. Для одного пользователя одновременно может быть открыто несколько ролей с различными правами доступа, это позволяет управлять доступом к информационным ресурсам более гибко.

Ролей всегда создается меньше, чем пользователей, это упрощает управление системой. Для модели управления доступом характерна возможность для одного пользователя активизировать несколько ролей и несколько сеансов работы, причем все процессы запускаются параллельно с одного устройства. Иерархическое взаимодействие ролей осуществляется по принципу наследования, роли более высшего порядка включают все полномочия, имеющиеся у ролей низшего. При назначении ролей с различными вариантами доступа к данным обязательно следовать принципу минимизации полномочий, никто не должен получить больше прав, чем требуется для выполнения служебных обязанностей.

Внедрение системы дискреционного управления доступом

Внедрение схемы дискреционного управления доступом осуществляется на двух уровнях – организационном и программном. В рамках организационных мер необходимо разработать и утвердить внутренний распорядительный документ, утверждающий список пользователей, их права, а также условия внесения изменения в перечень. Для упрощения процедуры корректировки персонального состава пользователей и их прав список может быть оформлен как приложение к документу.

Определение того, кому и какие права доступа предоставляются, осуществляется одним из трех способов:

• у каждого объекта системы есть владелец (сотрудник, подразделение, филиал), который устанавливает права доступа без возможностей их передачи иным пользователям;
• для небольшой системы актуальна модель одного владельца – суперпользователя, который раздает права доступа другим субъектам;
• каждый субъект, имеющий права доступа, может передавать их в полном или ограниченном объеме другим пользователям. Контроль за лицом, имеющим право передавать полномочия, организуется удобным административным методом, например, внесением сведений в журнал учета.

Иногда используются смешанные механизмы организации дискреционного управления доступом. Все эти особенности для каждой компании должны быть описаны во внутренних организационных документах. Для операторов персональных данных необходимость разграничения прав прямо предусмотрена законом, и отсутствие такого документа при проверке может привести к штрафу.

Создавая систему разграничения прав доступа, нужно опираться на два принципа – она должна соответствовать требованиям регулятора и не быть избыточной, т.е. не создавать задержек при прохождении бизнес-процессов, излишних нагрузок на информационную систему, персонал и бюджет компании.

10.12.2019