|
|
@@ -0,0 +1,23 @@
|
|
|
+# Управление доступом субъектов доступа к объектам доступа
|
|
|
+
|
|
|
+Управление доступом является краеугольным камнем информационной безопасности. Его цель — обеспечить авторизованный доступ к информации и ресурсам системы, предотвратив несанкционированные операции. Данный механизм определяет, кто (субъект) и что (объект) может делать в системе.
|
|
|
+
|
|
|
+Субъект доступа — это активный компонент системы, инициирующий операцию доступа к данным или ресурсам. В роли субъекта обычно выступают пользователи, процессы или программы, действующие от имени пользователей. Каждому субъекту присваивается уникальный идентификатор и уровень полномочий.
|
|
|
+
|
|
|
+Объект доступа — это пассивный компонент системы, содержащий информацию или представляющий собой ресурс, к которому осуществляется доступ. Примерами объектов являются файлы, каталоги, записи в базах данных, принтеры, порты, блоки памяти.
|
|
|
+
|
|
|
+Основная задача управления доступом — регулирование взаимодействия между субъектами и объектами на основе установленных правил. Эти правила формируются в соответствии с политикой безопасности организации.
|
|
|
+
|
|
|
+Можно выделить три фундаментальных модели управления доступом: дискреционную (избирательную), мандатную (принудительную) и ролевую.
|
|
|
+
|
|
|
+Дискреционное управление доступом (DAC — Discretionary Access Control) предоставляет владельцу объекта право самостоятельно определять, каким субъектам и в каком объеме предоставлять доступ. Классическим примером являются списки контроля доступа (ACL — Access Control List) в операционных системах, где для каждого файла указано, какие пользователи могут читать, записывать или исполнять его.
|
|
|
+
|
|
|
+Мандатное управление доступом (MAC — Mandatory Access Control) является более строгой моделью. Правила доступа устанавливаются централизованно администратором безопасности на основе классификации информации и присвоения меток конфиденциальности как субъектам, так и объектам. Решение о доступе принимается системой автоматически путем сравнения этих меток. Субъект не может по своему усмотрению изменить правила. Эта модель характерна для государственных и военных структур.
|
|
|
+
|
|
|
+Ролевое управление доступом (RBAC — Role-Based Access Control) стало де-факто стандартом для корпоративных сред. Доступ предоставляется не напрямую пользователям, а ролям, которые им назначаются. Пользователь, получая роль, автоматически наследует все ее полномочия. Это значительно упрощает администрирование: при смене должности сотрудника достаточно изменить его роль, а не переназначать сотни индивидуальных разрешений.
|
|
|
+
|
|
|
+Помимо базовых моделей, существуют гибридные и более современные подходы, такие как управление доступом на основе атрибутов (ABAC — Attribute-Based Access Control). В ABAC решение о доступе принимается динамически на основе множества атрибутов: атрибутов субъекта (должность, отдел), объекта (тип, классификация), действия и контекста (время суток, место подключения).
|
|
|
+
|
|
|
+Реализация механизмов управления доступом требует тщательного проектирования. Необходимо провести детальный анализ бизнес-процессов, классифицировать информацию, определить роли и их иерархию, формализовать правила. Критически важным является принцип минимальных привилегий: субъект должен получать ровно тот уровень доступа, который необходим для выполнения его задач, и не более.
|
|
|
+
|
|
|
+Эффективное управление доступом не только защищает от внешних угроз и внутренних злоупотреблений, но и обеспечивает выполнение требований регуляторов в области защиты персональных данных и коммерческой тайны, формируя системный и контролируемый подход к безопасности информации.
|
