Политики управления правами доступа

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ FileAuditor»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Грамотное построение политики управления данными предусматривает не только их рациональное хранение и обработку, но и обеспечение эффективной информационной безопасности. Из-за того, что сегодня практически любая информация, которая применяется в работе компаний, используется в электронном виде, она становится более уязвимой к различным угрозам.

Внешние угрозы вынуждают организации обеспечивать грамотное управление доступом и защищать корпоративную информацию от различных способов хищения извне. Во избежание внутренних угроз компаниям следует обеспечить ограничение доступа к важной информации для своих же сотрудников.

На сегодня существует огромное разнообразие специального программного обеспечения, с помощью которого легко настраивать и управлять правами пользователей всех компьютеров, подключенных к общей сети, начиная от первичной авторизации и заканчивая управлением правами в прикладных приложениях. Система, с помощью которой осуществляется управление базой данных, используется для разграничения доступа к любым сведениям, и, к примеру, если одни пользователи могут только читать определенные файлы, другие смогут их добавлять, удалять или редактировать.

Какими бывают политики управления доступом к данным

Существует широчайшее разнообразие политик, которые могут использоваться для управления доступом к корпоративной информации.

Сегодня наиболее распространены следующие:

1. Избирательное управление доступом. В основе данной политики лежит применение матрицы доступа, в соответствии с которой по одному измерению назначаются субъекты доступа, а по другому устанавливается перечень объектов, к которым они могут получить доступ. На пересечении определенных столбцов и строк прописывается перечень прав, которые имеет субъект по отношению к тому или иному объекту. Регулировать их может собственник объекта или пользователь, имеющий соответствующие полномочия, то есть администратор БД или системный администратор.

2. Мандатное управление доступом. В основе этой техники лежит назначение грифов доступа различным объектам, а также выдача субъектам разрешений на то, чтобы отправлять запросы к информации с грифами, благодаря чему защищаемые сведения не могут использоваться посторонними лицами. Этот подход основывается на принципах традиционного делопроизводства, в котором документы отправлялись в специальные папки, отмеченные как «Секретно», «Для служебного пользования» и подобным образом.

3. Ролевое управление доступом. Данная политика предусматривает модернизированную версию избирательной. Предусматривает группировку прав доступа нескольких субъектов, за счет чего появляются своеобразные роли, то есть определенная совокупность прав доступа. Благодаря этому значительно упрощается процедура назначения прав, выдаваемых сразу большому количеству пользователей, а также возможность их удобной корректировки по необходимости. Благодаря этому уполномоченные сотрудники компании могут в любой момент усовершенствовать текущую политику информационной безопасности компании.

На практике в большинстве современных организаций используется комбинация из перечисленных политик управления доступом.

Принципы управления политикой доступа

Настраивая права доступа, нужно отталкиваться от используемого принципа разграничения этих прав. Если права доступа будут настроены некорректно, в дальнейшем можно столкнуться с проблемами при попытке использования функционала программы.

Стандартные принципы разграничения выглядят следующим образом:

1. «Разрешить все». Пользователи могут управлять файлами в папке или директории как угодно вне зависимости от политики доступа. Все пользователи, подключенные к сети, могут без каких-либо ограничений пользоваться документами. Также им не требуется предварительная проверка для получения доступа.

2. «Запретить все». Запрещается выполнять какие-либо манипуляции в независимости от того, какая используется политика доступа. Устанавливая такое правило, администратор запрещает всем пользователям запускать функционал программы, работать в системе, и в дальнейшем выполнять любые манипуляции с ней сможет только он сам.

3. «Запретить, если не разрешено». Пользователь не может выполнять любые манипуляции, если на них предварительно ему не было выдано соответствующее разрешение.

4. «Разрешить, если не запрещено». Пользователь может выполнять любые манипуляции с данными, если на них не было установлено конкретных ограничений. 

В первых двух случаях система даже не будет пытаться вычислять политику, так как вне зависимости от ее типа будет использоваться определенное разграничение прав, предусматривающие наложение запрета на всех или же, наоборот, выдачу разрешения на проведение любых манипуляций.

Два последних принципа предусматривают первоначальный отбор политик, которые могут применяться в указанном контексте. После чего проводятся вычисления и комбинируются ответы для того чтобы вынести окончательное решение касательно возможности реализации запроса пользователя в соответствии с политикой разграничения. Под вычислением политики в данном случае предусматривается вычисление всех ее комбинаций и правил, отталкиваясь от установленного алгоритма комбинации.

В результате вычисления тех или иных правил в итоге может быть вынесено одно из четырех решений:

  • разрешение;
  • запрет;
  • не определено (не относится ни к одному из вышеперечисленных);
  • неприменимо (не относится ни к одному из вышеперечисленных).

Комбинации правил

Для того чтобы упростить работу системы и дальнейшее управление ее работой, можно использовать специальные алгоритмы для построения комбинации правил. 

Они могут быть следующими:

1. «Запретить, если все запретили». Использование этой политики предусматривает наложение запрета на реализацию запроса пользователя в том случае, если после вычисления всех правил было вынесено решение о запрете. В противном случае пользователь сможет получить доступ к данным.

2. «Разрешить, если все разрешили». Обратный вариант, при котором пользователю предоставляется доступ к информации только в том случае, если соответствующее решение будет вынесено при вычислении каждого из правил, а в противном случае ему откажут в доступе.

3. «Запретить, если не разрешено». В таком случае запрет на получение доступа к информации пользователю отправляется только в том случае, если ни одно из вычислений правил не дало результата «Разрешить». В противном случае он может получить данные.

4. «Разрешить, если не запрещено». Пользователь получает доступ к информации только в том случае, если ни одно из вычислений правил не дало результата «Запретить». В противном случае ему отравляется отказ.

5. «Запретить, если один запретил». Пользователю не дается возможности воспользоваться данными, если решение о запрете было вынесено при вычислении хотя бы одного из правил. В противном случае ему предоставляется доступ или устанавливается статус «Не определено» или «Неприменимо», если такой результат был получен при вычислении хотя бы одного или всех правил.

6. «Разрешить, если один разрешил». Пользователь получает доступ к информации, если соответствующее решение будет вынесено в результате вычисления хотя бы одного из правил. В противном случае ему не предоставляется доступ или устанавливается статус «Не определено» или «Неприменимо», если такой результат был получен при вычислении хотя бы одного или всех правил.

7. «Первое применимое». Решение о предоставлении доступа или отказе в нем пользователю выносится на основании первого результата вычисления правила, который не будет относиться к «Неприменимо».

Организация контроля за доступом к данным является одной из важнейших задач любой развивающейся компании. Создание надежных политик и автоматизированный мониторинг работы персонала защищает организацию от потери информации. 

24.12.2019

ПОПРОБУЙТЕ «СЁРЧИНФОРМ FILEAUDITOR»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними