Контроль доступу (Access control) до інформації як один із ключових елементів інформаційної безпеки

29 Січня 2020

Компаніям, які імплементують або удосконалюють заходи інформаційної безпеки, варто звернути увагу на заходи, спрямовані на контроль доступу до інформації, адже вони, в контексті сучасних вимог безпеки, вважаються одними з ключових, які повинні використовуватися компаніями. Реалізація таких заходів може мати різну специфіку, про яку буде розкрито в цьому матеріалі.

Загальна характеристика

Трапляються випадки, коли працівникам компанії, або особам, яких компанія залучає до роботи,  потрібен доступ до інформації, наприклад, до документів, слайдів або баз даних, що містяться на мережевому сервері, але вони не мають відповідного рівня доступу для читання та / або зміни відповідної інформації. Така ситуація може статися в не найзручніший для компанії час, і таким особам необхідно, або займати специфічні посади, з відповідним рівнем допуску, або ж пройти цілу низку дозвільних процедур, щоб  отримати рівень доступу до інформації, необхідний для здійснення своїх функціональних обов’язків.

Зазвичай, виникає запитання, чому ті чи інші люди не можуть просто мати загальний доступ до інформації, для можливості використати таку інформацію і знаходити те, що їм потрібно. Можуть виникати випадки, коли отримання доступу до персональних даних є критично важливим для вирішення нагальних задач, які ставляться в рамках функціонування компанії. Саме у зв’язку з цим, варто підкреслити, що вжиття компанією заходів контролю доступу до інформації, з одного боку забезпечує певний рівень інформаційної безпеки, в той час як з іншої сторони – може створювати перешкоди для здійснення певних бізнес операцій.   Для унеможливлення виникнення таких ситуацій, в рамках компанії повинен бути врегульований порядок доступу до інформації (information access control) на належному рівні, з врахуванням всіх особливостей діяльності компанії, а також особливістю інформації, яка нею використовується.

В цій статті розкриваються деякі моделі контролю доступу до інформації, які можуть бути реалізовані в рамках компанії.

Контроль доступу та його моделі

Контроль доступу (access control) – в загальному розумінні це процес ідентифікації осіб, які виконують певну роботу, а також їхня автентифікація в контексті отриманих результатів ідентифікації. І тільки автентифікованим особам можуть надаватися інструменти доступу до певних засобів (наприклад пароль доступу до комп’ютера чи певної системи). У світі захисту інформатизації, це можна розглядати як надання індивідуального дозволу на потрапляння в мережу через ім’я користувача та пароль, що дозволяє їм отримувати доступ до файлів, комп’ютерів чи іншого апаратного чи програмного забезпечення, яке вимагає особа з ціллю виконання поставлених компанією завдань.

Отже, в контексті надання особі потрібного рівня доступу до інформації, необхідно розглянути моделі контролю доступу, які діляться на чотири основні види:

  • Модель обов’язкового контролю доступу (Mandatory Access Control (MAC));
  • Модель контролю доступу, в контексті визначеної ролі (посади) (Role Based Access Control (RBAC));
  • Модель дискреційного контролю доступу (Discretionary Access Control (DAC));
  • Модель контролю доступу на основі (встановлених) правил (Rule Based Access Control (RBAC or RB-RBAC)).

Mandatory Access Control (MAC)

Модель обов’язкового контролю доступу надає право контролю доступу лише власникам компанії та авторизованим менеджерам компанії. Це означає, що кінцевий користувач не має контролю над будь-якими налаштуваннями в рамках інформаційної системи. Зараз є дві моделі безпеки, пов’язані з MAC:

  • Biba;                                                                                                          
  • Bell-LaPadula.

Модель Biba орієнтована на цілісність інформації, тоді як модель Bell-LaPadula орієнтована на конфіденційність інформації.

          Biba – це модель, в рамках якої користувач з низьким рівнем допуску до інформації може ознайомлюватися з інформацією більш високого рівня (так званий «read up»), а користувач з високим рівнем допуску має можливість ознайомлювати, в письмовому вигляді, користувачів з нижчим рівнем допуску з інформацією вищого рівня (так званий «write down»). Модель Biba зазвичай використовується в компаніях, де працівники нижчих рівнів можуть читати інформацію вищого рівня, а керівники можуть надавати інформацію в письмовому вигляді з ціллю інформувати працівників нижчого рівня.

          Bell-LaPadula – це модель яка визначає рівні доступу в залежності від ступеня конфіденційності інформації. Модель Bell-LaPadula передбачає, що користувач з високим рівнем допуску має можливість розкривати інформацією лише користувачам на цьому ж рівні і не нижче (так званий «write up»), але також може ознайомлюватися з інформацією на нижчих рівнях допуску (так званий «read down»). Таку модель зазвичай використовують в державних або військових установах. Наприклад, в деяких арміях світу, можливо зустріти градацію конфіденційності за рівнями секретності, конфіденційності та доступності (наприклад: «дуже секретно», «секретно», «конфіденційно», «у відкритому доступі»).

Role Based Access Control (RBAC)

Контроль доступу в контексті визначеної ролі забезпечує контроль доступу на основі посади, яку займає окрема особа в компанії. Отже, наприклад, замість отримання додаткових дозволів на доступ до певної інформації, яка може доступна тільки працівникам безпеки, особа отримує такий доступ автоматично в момент призначення його на посаду, пов’язану із забезпеченням безпеки компанії. Зайняття певної посади в рамках компанії автоматично передбачає надання дозволів на доступ до інформації на певному рівні. Ця модель є також доволі практичною для використання компаніями, як володіють інформацією, що не може бути доступною для всіх працівників.

Discretionary Access Control (DAC)

Дискреційна модель контролю доступу до інформації є найменш обмежувальною моделлю порівняно з найбільш обмежувальною моделлю Mandatory Access Control. DAC дозволяє окремій особі здійснювати повний контроль над будь-якими об’єктами, якими вона володіє, а також програмами, пов’язаними з цими об’єктами. Така модель може мати слабкі сторони, які полягають в тому, що така модель дає кінцевому користувачеві повний контроль для встановлення параметрів рівня безпеки для інших користувачів, що може призвести до того, що такі кінцеві користувачі в рамках компанії матимуть більш високі привілеї, ніж вони повинні мати.

Rule Based Access Control (RBAC or RB-RBAC)

Контроль доступу на основі правил – модель, яка передбачає наявність технічних інструментів, які передбачають можливість динамічного присвоєння користувачам ролей на основі критеріїв, визначених, наприклад, системним адміністратором Компанії або іншим відповідальним спеціалістом в сфері інформаційної безпеки. Якщо будь-кому надається доступ до бази даних лише протягом певних годин дня, то такий доступ повинен регламентуватися певними правилами або ж затвердженим порядком, який є обов’язковим для погодження всіма працівниками компанії.

Підсумок

Тема контролю доступу до інформації є доволі великою та потребує її розкриття в рамках не однієї статті. Саме тому, в наступних наших матеріалах буде можливість ознайомитися з методами логічного контролю доступу до інформації та різноманітними типами фізичного контролю доступу.

В будь-якому випадку, питання організації інформаційної безпеки повинно стояти в компанії на першому місці, адже це ключ до забезпечення відповідності вимогам законодавства щодо захисту даних, а також один з елементів забезпечення довіри клієнтів по відношенню до компанії.