Почему контроль доступа играет жизненно важную роль в информационной безопасности

Информационная безопасность - это системы защиты личных или конфиденциальных данных. В наши дни большая часть этих данных находится в электронной форме, и контроль доступа играет огромную роль в их защите. В этой статье дается краткий обзор того, что такое контроль доступа, почему он так важен и почему вы должны использовать его как часть собственных усилий по обеспечению безопасности данных.

---

Определение контроля доступа

Контроль доступа - это тип безопасности, который регулирует, кто или что имеет доступ к определенным ресурсам, а также уровень контроля над этими ресурсами. Другими словами, кто к чему имеет доступ и что им разрешено с этим делать. Существует два типа контроля доступа: физический и логический.

• Контроль физического доступа: как следует из названия, контролирует доступ людей к физическим объектам или активам, таким как здания, кампусы, комнаты или инструменты.
• Логический контроль доступа: с другой стороны, контролирует доступ к электронным файлам, приложениям и данным, а также к компьютерным сетям.

В этой статье речь пойдет о последнем.

Почему контроль доступа так важен

Контроль доступа является такой полезной моделью информационной безопасности, потому что он сводит к минимуму вероятность того, что конфиденциальные данные будут скомпрометированы. Контроль доступа использует комбинацию аутентификации и авторизации. Во-первых, он проверяет личность того, кто хочет получить доступ к определенному ресурсу. Во-вторых, он определяет, разрешен ли им доступ к указанному ресурсу, а затем, есть ли у них разрешения или привилегии на его изменение каким-либо образом, будь то чтение, редактирование или даже удаление.

Обычный пример - отправить кому-то ссылку на документ Google. Поскольку по умолчанию документ Google является частным, чтобы предоставить кому-либо доступ, вам необходимо создать специальную ссылку для общего доступа. Когда вы это сделаете, у вас есть возможность изменить элементы управления доступом, решив, какую ссылку вы хотите им отправить, выбрав, может ли кто-либо, у кого есть ссылка, просматривать, комментировать или редактировать документ напрямую.

В организациях с современной IT-средой контроль доступа выглядит примерно так, но в гораздо большем масштабе. Например, IT-отделы часто ограничивают, какие группы сотрудников имеют доступ к определенным файлам и права на их редактирование, а также контролируют IP-адреса, которые могут получить доступ к сети компании. Некоторые примеры систем логического контроля доступа включают имена пользователей и пароли; VPN; и приложения 2FA, которые включают отправку пользователям push-уведомлений или одноразового пароля.

При этом не существует универсального подхода к контролю доступа. Фактически, существует множество методов на выбор, в зависимости от типа вашей организации.

Различные модели контроля доступа

Вот три наиболее часто используемых модели контроля доступа:

1. Контроль доступа на основе ролей (RBAC)

RBAC - один из наиболее широко используемых механизмов контроля доступа. Как следует из названия, доступ и разрешения предоставляются отдельным лицам или группам с предписанными ролями или определенными бизнес-функциями. Таким образом, вам не нужно указывать разрешение каждому человеку в организации индивидуально. Например, при таком подходе вы можете сделать так, чтобы только администраторы и сотрудники отдела кадров имели доступ к записям клиентов, а другие группы - нет.

2. Дискреционный контроль доступа (DAC)

DAC - это тип управления доступом, при котором владелец файла или системы выбирает, кто имеет доступ (и какой доступ) к нему на индивидуальной основе. Другими словами, это остается на усмотрение владельца. DAC можно (но не всегда) использовать вместе с RBAC.

3. Обязательный контроль доступа (MAC)

MAC - это недискреционный тип управления доступом, при котором центральный орган безопасности контролирует доступ к ресурсам на основе классификации безопасности. В системе такого типа пользователь может не иметь никаких полномочий для изменения файла или ресурса, даже если он технически является владельцем. Такая система обычно используется правительственными или военными организациями, которые имеют дело с сверхсекретной информацией.