Контроль доступа (Access control) к информации как один из ключевых элементов информационной безопасности

29 января 2020

Компаниям, которые имплементируют или совершенствуют меры информационной безопасности, стоит обратить внимание на мероприятия, направленные на контроль доступа к информации, ведь они, в контексте современных требований безопасности, считаются одними из ключевых, которые должны быть реализованы компаниями. Осуществление таких мер может иметь различную специфику, о которой будет раскрыто в этом материале.

Общая характеристика

Бывают случаи, когда работникам компании, или лицам, которых компания привлекает к работе, требуется доступ к информации, например, к документам, слайдам или базам данных, содержащихся на сетевом сервере, но они не имеют соответствующего уровня доступа для чтения и / или изменения соответствующей информации. Такая ситуация может произойти в не самый удобное для компании время, и таким лицам необходимо, или занимать специфические должности, с соответствующим уровнем допуска, или же пройти целый ряд разрешительных процедур, чтобы получить уровень доступа к информации, необходимый для осуществления своих функциональных обязанностей.

Обычно, возникает вопрос, почему те или иные люди не могут просто иметь общий доступ к информации, для возможности использовать такую ​​информацию и находить то, что им нужно. Могут возникать случаи, когда получение доступа к персональным данным является критически важным для решения насущных задач, которые ставятся в рамках функционирования компании. Именно в связи с этим, следует подчеркнуть, что принятие компанией мер контроля доступа к информации, с одной стороны обеспечивает определенный уровень информационной безопасности, в то время как с другой стороны — может создавать препятствия для осуществления определенных бизнес операций. Для предотвращения возникновения таких ситуаций, в рамках компании должен быть урегулирован порядок доступа к информации (information access control) на должном уровне, с учетом всех особенностей деятельности компании, а также особенностью информации, которая ею используется.

В этой статье раскрываются некоторые модели контроля доступа к информации, которые могут быть реализованы в рамках компании.

Контроль доступа и его модели

Контроль доступа (access control) — в общем смысле это процесс идентификации лиц, которые выполняют определенную работу, а также их аутентификация в контексте полученных результатов идентификации. И только после проверки подлинности, лицам могут предоставляться инструменты доступа к определенным средствам (например пароль доступа к компьютеру или определенной системы). В мире защиты информации, это можно рассматривать как предоставление индивидуального разрешения на попадание в сеть через имя пользователя и пароль, что позволяет им получать доступ к файлам, компьютеров или другому аппаратному или программному обеспечению, которое требует лицо с целью выполнения поставленных компанией задач.

Итак, в контексте предоставления лицу нужного уровня доступа к информации, необходимо рассмотреть модели контроля доступа, которые делятся на четыре основных вида:

  • Модель обязательного контроля доступа (Mandatory Access Control (MAC))
  • Модель контроля доступа, в контексте определенной роли (должности) (Role Based Access Control (RBAC))
  • Модель дискреционного контроля доступа (Discretionary Access Control (DAC))
  • Модель контроля доступа на основе (установленных) правил (Rule Based Access Control (RBAC or RB-RBAC)).

Mandatory Access Control (MAC)

Модель обязательного контроля доступа дает право контроля доступа только владельцам компании и авторизованным менеджерам компании. Это означает, что конечный пользователь не имеет контроля над любыми настройками в рамках информационной системы. Сейчас есть две модели безопасности, связанные с MAC:

  • Biba;
  • Bell-LaPadula.

Модель Biba ориентирована на целостность информации, тогда как модель Bell-LaPadula ориентирована на конфиденциальность информации.

Biba — это модель, в рамках которой пользователь с низким уровнем допуска к информации может ознакомиться с информацией более высокого уровня (так называемый «read up»), а пользователь с высоким уровнем допуска имеет возможность ознакомить, в письменном виде, пользователей с низким уровнем допуска с информацией высшего уровня (так называемый «write down»). Модель Biba обычно используется в компаниях, где работники низших уровней могут читать информацию высшего уровня, а руководители могут предоставлять информацию в письменном виде с целью информировать работников низшего уровня.

          Bell-LaPadula — это модель которая определяет уровни доступа в зависимости от степени конфиденциальности информации. Модель Bell-LaPadula предусматривает, что пользователь с высоким уровнем допуска имеет возможность раскрывать информацию только пользователям на одном уровне и не ниже (так называемый «write up»), но также может ознакомиться с информацией на низших уровнях допуска (так называемый «read down»). Такую модель обычно используют в государственных или военных учреждениях. Например, в некоторых армиях мира, возможно встретить градацию конфиденциальности по уровням секретности, конфиденциальности и доступности (например: «очень секретно», «секретно», «конфиденциально», «в открытом доступе»).

Role Based Access Control (RBAC)

Контроль доступа в контексте определенной роли, обеспечивает контроль доступа на основе занимаемой должности в компании. Так что, например, вместо получения дополнительных разрешений на доступ к определенной информации, которая может доступна только работникам безопасности, лицо получает такой доступ автоматически в момент назначения его на должность, связанную с обеспечением безопасности компании. Занятия определенной должности в рамках компании, автоматически предусматривает предоставление разрешений на доступ к информации на определенном уровне. Эта модель также довольно практичной для использования компаниями, как владеют информацией, что не может быть доступной для всех работников.

Discretionary Access Control (DAC)

Дискреционная модель контроля доступа к информации является наименее ограничительной моделью по сравнению с наиболее ограничительной моделью Mandatory Access Control. DAC позволяет отдельному лицу осуществлять полный контроль над любыми объектами, которыми лицо обладает, а также программами, связанными с этими объектами. Такая модель может иметь слабые стороны, которые заключаются в том, что такая модель дает конечному пользователю полный контроль для установления параметров уровня безопасности для других пользователей, и может привести к тому, что такие конечные пользователи в рамках компании будут иметь более высокие привилегии, чем они должны иметь.

Rule Based Access Control (RBAC or RB-RBAC)

Контроль доступа на основе правил — модель, которая предполагает наличие технических инструментов, которые предусматривают возможность динамического присвоения пользователям ролей на основе критериев, определенных, например, системным администратором Компании или другим ответственным специалистом в сфере информационной безопасности. Если кому-то предоставляется доступ к базе данных только в течение определенных часов дня, то такой доступ должен регламентироваться определенными правилами или утвержденным порядком, который является обязательным для согласования всеми работниками компании.

Итоги

Тема контроля доступа к информации довольно большая и требует ее раскрытия в рамках не одной статьи. Именно поэтому, в следующих наших материалах будет возможность ознакомиться с методами логического контроля доступа к информации и различными типами физического контроля доступа.

В любом случае, вопрос организации информационной безопасности должен стоять в компании на первом месте, ведь это ключ к обеспечению соответствия требованиям законодательства по защите данных, а также один из элементов обеспечения доверия клиентов по отношению к компании.