Ролевая модель доступа. Инвентаризация прав доступа.

Вся деятельность отдела информационной безопасности направлена на предотвращение утечек конфиденциальной информации и обеспечение штатного функционирования предприятия. Любые избыточные права доступа сотрудников ведут к увеличению риска утечки информации.  

Наверняка, каждый из dас сталкивался со следующей ситуацией: сотрудник решает уволиться и перед уходом копирует на флэшку всю ту информацию, к которой имеет доступ (авось, пригодится!). Если сотрудник в организации достаточно давно, то за время работы, скорее всего, у него накопилось огромное количество привилегий доступа к различным информационным ресурсам компании, которые он получал, участвуя в проектах, выполняя поручения руководства и свои ежедневные обязанности. Риск потери конфиденциальной информации очень велик и последствия могут быть различными - начиная от потери репутации компании и заканчивая уголовным преследованием. Поэтому большинство компаний с ростом численности сотрудников усиливают меры по контролю за правами их доступа. Происходит ужесточение политики ИБ, так как увеличиваются риски утечки информации.

Одним из первых этапов по упорядочиванию процесса выдачи прав к информационным системам является ввод системы согласования заявок. Далее обычно принимаются меры по уменьшению полномочий сотрудников, такие какзапрет создания ресурсов и  изменения прав доступа к тем ресурсам, где пользователь владелец, блокировка прав локального администратора и так далее. Следующим этапом, как правило, вводится периодическая инвентаризация и ресертификация существующих прав доступа, то есть пересмотр прав пользователей к информационным ресурсам компании. Давайте остановимся подробнее на последних операциях. Представьте, что нужно узнать, к каким ресурсам имеет доступ сотрудник, работающий в организации пять лет. Сколько это займет времени? 15-20 минут? А если необходимо провести проверку 50 сотрудников?

Информационные системы

  • Active Directory
  • Файловые ресурсы
  • ERP-системы (1С, SAP, IBM, Microsoft)
  • CRM (Microsoft, IBM, amoCRM, SugarCRM)
  • СЭД (БОСС-референт, IBM lotus, Directum)

 

 

Для чего же необходимо производить инвентаризацию доступа? Основная задача – обеспечение сотрудникам необходимых и достаточных прав доступа для работы. Это права доступа строго необходимые для выполнения должностных обязанностей на текущий момент. Инвентаризация позволяет выявить привилегии, которые на данный момент исполнения обязанностей сотрудника не являются необходимыми.

Чтобы понять всю сложность инвентаризации давайте посмотрим как обычно осуществляется предоставление доступа в организации. Чаще всего запрос и согласование доступа осуществляется в системе электронного документооборота, с помощью корпоративной почты или веб-портала, либо просто по телефону. После того, как запрос согласован, доступ выдан, заявка отправляется в архив, если таковой существует. При этом механизме оперативного отслеживания существующих полномочий сотрудника чаще всего нет. В таких ситуациях единственная возможность выявить текущие права доступа сотрудников – проведение оперативной или плановой инвентаризации.

Пример отчета инвентаризации прав доступа, предоставляемый системой управления и контроля доступа «КУБ».

 

Наиболее оптимальным решением проблемы инвентаризации существующих прав доступа – использование ролевой модели и типового доступа. Давайте рассмотрим подробнее эти понятия.

Типовой доступ

Типовой доступ – это использование шаблонных групп, профилей, ролей в информационных системах для предоставления доступа. Например, в 1С 8.2 – использование профиля «Менеджер», который включает в себя определенный набор элементарных ролей и прав доступа к таблицам. Или управление членством группы в Active Directory «Доступ к папке «Текущие проекты» чтение» для предоставления прав доступа к разделяемому каталогу. Использование шаблонов позволяет сократить время на аудит прав пользователя и формализует процедуру их предоставления.

Ролевая модель

Ролевая модель (RBAC) – использование формализованных шаблонов на предприятии, которые содержат необходимые полномочия для осуществления определенной деятельности. Для решения большинства задач организации существуют ролевые полномочия, присваиваемые сотрудникам. Например:

В рамках ролевой модели доступа на основе матрицы доступа в разрезе подразделений и должностей используется такие сущности, как: бизнес-роли, должностной доступ и, в исключительных случаях, индивидуальный доступ

Должностной доступ представляет собой набор базовых прав, которые имеют сотрудники одного отдела на одной должности. Зачастую, это минимально необходимые привилегии для выполнения рабочих обязанностей.

Например: создание учетной записи в AD для входа в домен, создание корпоративного почтового ящика, выделения доступа к корпоративной папке отдела на файлообменнике и регистрация в профильной информационной системе с базовыми правами (ERP, CRM, СЭД).

 

 

Бизнес-роль

Бизнес-роли включают в себя типовой доступ, который сотрудник запрашивает (либо ему выдается) для выполнения определенных функций – участия в проекте, выполнения поручений руководства, командировка.

 

Индивидуальный доступ

Индивидуальный доступ необходим для решения конкретных задач, поставленных руководителем, это дополнительные права, которые сотрудник запрашивает с помощью интерфейса самообслуживания: веб-портала, ITSM-системы и пр.

При применении ролевой модели доступа, количество индивидуальных прав обычно составляет 10-15% от общего количества привилегий.

Данная схема позволяет значительно снизить объем производимой инвентаризации, так как есть права, характерные для должностей, которые априори присутствуют у сотрудника и в большинстве случаев достаточны для работы. Так же есть типовые права, если сотрудник участвует в проекте на определенной роли.

 

 

Группы пользователей рассылки: 
Анонимный посетитель