Открыть сервис

Управление доступом

Управление доступом — это совокупность методов, правил и средств, обеспечивающих санкционированное использование ресурсов информационной системы (данных, программ, оборудования, сетевых сервисов) и предотвращающих несанкционированный доступ к ним. Управление доступом является фундаментальным элементом информационной безопасности, реализующим политику безопасности организации и определяющим, кто (субъект) и при каких условиях может выполнять определённые действия (операции) над объектами доступа.

Основные понятия

В рамках управления доступом выделяют три ключевых сущности:

  • Субъект доступа — активный участник процесса, инициирующий запрос на доступ. Субъектом может быть пользователь, процесс, программа, устройство или группа пользователей.
  • Объект доступа — пассивный элемент системы, над которым выполняются операции. Объектами являются файлы, каталоги, базы данных, принтеры, сетевые порты, системные вызовы и другие ресурсы.
  • Операция доступа — действие, которое субъект может совершить над объектом. Типичные операции: чтение, запись, выполнение, удаление, изменение прав, создание.

Модели управления доступом

Существует несколько базовых моделей, определяющих логику принятия решений о предоставлении доступа.

### Дискреционное управление доступом (DAC)

Дискреционная модель (Discretionary Access Control) основана на произвольном управлении правами со стороны владельца объекта. Субъект, создавший объект, может самостоятельно назначать другим субъектам права доступа к нему. В операционных системах эта модель реализована в виде списков управления доступом (ACL — Access Control List). Например, владелец файла в Windows может разрешить или запретить конкретному пользователю его чтение. Основной недостаток DAC — возможность неконтролируемого распространения прав (например, пользователь может передать доступ к файлу другому лицу, нарушив политику безопасности).

### Мандатное управление доступом (MAC)

Мандатная модель (Mandatory Access Control) использует систему меток безопасности, присваиваемых субъектам и объектам. Каждому субъекту назначается уровень допуска (например, «секретно», «совершенно секретно»), а каждому объекту — уровень конфиденциальности. Доступ разрешается только при условии, что уровень допуска субъекта не ниже уровня конфиденциальности объекта, и при соблюдении дополнительных правил (например, субъект не может записывать информацию на объект с более низким уровнем). MAC применяется в системах, требующих высокой степени защиты, — в государственных и военных информационных системах, а также в операционных системах с усиленной безопасностью (например, SELinux, AppArmor).

### Ролевое управление доступом (RBAC)

Ролевая модель (Role-Based Access Control) является наиболее распространённой в корпоративных информационных системах. Доступ предоставляется не отдельным пользователям, а ролям, которые назначаются пользователям. Роль определяет набор прав, необходимых для выполнения определённых должностных обязанностей. Например, роль «Бухгалтер» может включать права на чтение и запись в базу данных бухгалтерского учёта, но не на изменение системных настроек. RBAC упрощает администрирование: при изменении должностных обязанностей сотрудника достаточно изменить его роль, а не переопределять права для каждого объекта. В Российской Федерации ролевая модель часто используется в государственных информационных системах (ГИС), в том числе в Единой системе идентификации и аутентификации (ЕСИА).

### Атрибутивное управление доступом (ABAC)

Атрибутивная модель (Attribute-Based Access Control) является более гибкой и динамичной. Решение о доступе принимается на основе набора атрибутов субъекта, объекта, среды и действия. Атрибутами могут быть: время суток, местоположение, тип устройства, уровень угрозы, статус пользователя (например, «в отпуске»). ABAC позволяет реализовать сложные политики, например: «Разрешить доступ к финансовому отчёту только сотрудникам отдела продаж, находящимся в офисе, в рабочее время, при подключении с корпоративного ноутбука». Эта модель активно внедряется в облачных сервисах и системах управления доступом к API.

Методы аутентификации и идентификации

Управление доступом невозможно без процедур идентификации и аутентификации субъекта.

  • Идентификация — предъявление субъектом своего идентификатора (логина, номера карты, адреса электронной почты).
  • Аутентификация — проверка подлинности идентификатора с помощью одного или нескольких факторов:
  • Фактор знанияпароль, PIN-код, ответ на секретный вопрос.
  • Фактор владения — физический объект (смарт-карта, USB-токен, мобильный телефон с SIM-картой).
  • Биометрический фактор — отпечаток пальца, сканирование сетчатки глаза, голос, геометрия лица.
  • Фактор местоположения — привязка к определённой географической точке или IP-адресу.

В современных системах всё чаще применяется многофакторная аутентификация (MFA) , требующая использования двух или более факторов. Например, вход в личный кабинет портала «Госуслуги» требует ввода пароля (фактор знания) и одноразового кода из SMS (фактор владения).

Практическая реализация

### Операционные системы

В операционных системах семейства Windows управление доступом реализовано через механизм безопасности на основе объектов (Object Manager). Каждый защищаемый объект (файл, раздел реестра, процесс) имеет дескриптор безопасности, содержащий список ACL. В Linux и macOS применяется модель discretionary access control с правами владельца, группы и прочих (rwx-биты), а также расширенные механизмы (например, POSIX ACL, SELinux).

### Сетевые устройства и системы

В сетевой инфраструктуре управление доступом реализуется через списки контроля доступа (ACL) на маршрутизаторах и межсетевых экранах. ACL определяют, какие пакеты (по IP-адресам, портам, протоколам) могут проходить через интерфейс. В системах управления доступом к сети (NAC) применяются политики, проверяющие соответствие устройства требованиям безопасности (наличие антивируса, обновлений) перед предоставлением доступа к сети.

### Прикладное программное обеспечение

В веб-приложениях и корпоративных информационных системах управление доступом часто реализуется на уровне кода с использованием фреймворков (например, Spring Security, Django REST Framework). Разграничение прав может быть как простым (администратор/пользователь), так и сложным, с поддержкой RBAC и ABAC.

Критика и проблемы

Несмотря на фундаментальную важность, управление доступом сталкивается с рядом проблем:

  • Сложность администрирования — в крупных организациях с тысячами пользователей и миллионами объектов ручное управление правами становится трудоёмким и подверженным ошибкам.
  • Принцип наименьших привилегий — часто нарушается из-за удобства: пользователям предоставляют избыточные права, что увеличивает риски.
  • Атаки на механизмы — злоумышленники могут использовать уязвимости в реализации (например, обход ACL, подбор паролей, атаки на аутентификацию).
  • Конфликт с производительностью — проверка прав доступа для каждого запроса может замедлять работу системы, особенно при использовании сложных моделей (ABAC).

Законодательное регулирование в Российской Федерации

В Российской Федерации требования к управлению доступом регулируются рядом нормативных документов. В частности, Федеральный закон № 152-ФЗ «О персональных данных» обязывает операторов персональных данных реализовывать меры по разграничению доступа к обрабатываемым данным. Приказ ФСТЭК России № 21 от 18 февраля 2013 года устанавливает требования к системам управления доступом для государственных информационных систем. Для объектов критической информационной инфраструктуры (КИИ) действуют требования Федерального закона № 187-ФЗ, предписывающие использование сертифицированных средств защиты информации, включая средства управления доступом.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Гайдамакин Н. А. «Информационная безопасность: учебное пособие». — М.: Кнорус, 2019.
  5. Шнайер Б. «Прикладная криптография». — М.: Вильямс, 2003.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →