Система управления доступом к информационным ресурсам

Главная — Контроль доступа к неструктурированным данным — Контроль управления доступом — Система управления доступом к информационным ресурсам

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Система управления доступом (СУД) внедряется в организацию для реализации управления правами доступа пользователей к корпоративным документам.

СУД позволяет решить следующие задачи:

наладить работу с учетными записями сотрудников;
автоматически выполнять синхронизацию кадровых изменений;
автоматически выдавать право доступа пользователю к информационной системе;
упростить аудит прав;
автоматически определять неиспользуемые учетные записи;
предотвращать случаи несанкционированного использования данных.

Принципы использования системы управления

Перед рассмотрением основных принципов использования системы дадим определение типам ресурсов, которые могут в ней храниться:

Файловые информационные (ФИР), представляющие собой сочетания файлов и папок, которые хранятся в отдельной базе (корневой каталог).
Файловые составные. Могут включать один или более файловых ресурсов. Сюда также входит вложенный ресурс.

Далее также будут упоминаться три ключевых понятия: точка входа, группа доступа пользователей и промежуточный каталог. Под точкой входа понимается каталог файловой системы, к которому пользователи могут получить сетевой доступ. Под группой доступа пользователей подразумевается набор пользователей, наделенных полномочиями, позволяющими им пользоваться файловыми информационными ресурсами. Промежуточный каталог представляет собой такой каталог, который находится между точкой входа в ФИР и корневым каталогом.

Выделим следующие принципы работы с системой:

1. Разграничение доступа происходит исключительно на уровне каталогов. Доступ к отдельным файлам обычно не ограничивают.

2. Права назначаются на основе групп, а не отдельных пользователей.

3. Разграничивать права следует исключительно на уровне файловой системы.

4. Запрещается создавать файловые информационные ресурсы на компьютерах пользователей.

5. Не рекомендуется размещение и создание ФИР в системных каталогах, хранящихся на серверах.

6. Рекомендуется избегать создание нескольких точек входа в ФИР.

7. Запрещается создавать вложенные ФИР, если хранящиеся в них данные включают конфиденциальную информацию.

Общий случай разграничения доступа

В общем случае модель, определяющая доступ к ФИР, состоит из двух пунктов:

только на чтение (read only);
чтение и запись (read and write).

В большинстве случаев всего двух типов полномочий оказывается достаточно. Впрочем, при необходимости администратор может назначить дополнительные полномочия.

Как выполняется работа по управлению доступом

При создании ФИР для разграничения прав администратор должен выполнить следующие действия:

Создают группы доступа. Для сервера с ФИР генерируются доменные группы. Если сервер не является членом домена, группы необходимо создавать на локальном уровне.
Для корневого и промежуточного каталогов устанавливают права доступа на базе шаблонов.
В группу добавляют учетные записи на основе полномочий.
Если того требует ситуация, создают сетевую папку.
Когда пользователю выдают право на работу с ФИР, его учетную запись помещают в соответствующую группу. Если необходимо внести изменения (например, пользователь получил новые полномочия), учетную запись перемещают в другую группу.
Для блокировки возможности работы с ФИР учетную запись удаляют из группы. В случае увольнения учетная запись полностью блокируется.
Если необходимо расширить доступ (например, добавить новую группу пользователей), регистрируют вложенный ФИР, после чего добавляют пользователей из ФИР вышестоящего уровня.
Если требуется предоставить ограниченный доступ, в каталог добавляются только те учетные записи, которые получили право на работу.
Для добавления новых полномочий (например, чтение и запись без удаления) производят следующие действия:
Блокируют доступ пользователей к каталогу системы, содержащему файлы и папки. Для этого могут быть использованы как организационные, так и технические меры.
Для корневого каталога устанавливают новые права и заменяют права для объектов, являющихся дочерними.
Изменяют настройки прав для вложенных каталогов.
Вносят настройки в промежуточные каталоги, связанные с ФИР и вложенным каталогом.

Контролировать действия сотрудников с конфиденциальными документами (создание, редактирование, перемещение, удаление) помогает «СёрчИнформ FileAuditor».

Работа с учетными записями в системе: сброс пароля и внесение изменений

В случае, когда требуется изменить или сбросить текущий пароль, пользователь должен:

сформировать обращение, в котором указываются личные данные и причина необходимости сброса пароля. Например, компрометация;
далее администратор системы либо сотрудник службы безопасности сбрасывает пароль и отправляет новый на электронную почту пользователя.

Для изменения учетных данных пользователь формирует заявку, в которой указывает причины необходимости внесения изменений в учетную запись. Заявка согласуется с ответственным администратором. В случае отклонения администратор обязан написать мотивационный отказ.

Администраторы оставляют за собой право вносить изменения в учетные записи без согласования с сотрудниками.

20.12.2019

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.