В зоне доступа. Управление доступом на предприятии

- -
- 100%
- +

Редактор Елена Захарова
Редактор Вероника Кузьмина
Корректор Венера Ахунова
Художник Алексей Мецлер
© Александр Захаров, 2026
ISBN 978-5-0070-4386-1
Создано в интеллектуальной издательской системе Ridero
Введение
Тот, кто владеет информацией — владеет миром. Но мало ею только владеть, ее надо использовать по назначению, а для этого предоставлять к ней доступ лицам, которым это положено для трудовых обязанностей.
Внимание к информационной безопасности и защите информации компании любого размера в современном мире является гарантией существования компании в целом, а отсутствие контроля порождает несанкционированный доступ, злоупотребление полномочиями и как результат — утечки информации или ее искажение/уничтожение.
Одной из самых больших проблем в информационной безопасности является, как ни странно, безопасное управление доступом к информации, к местам ее хранения и обработки. В крупных компаниях, где систем и ресурсов очень много, как и видов информации, это и вовсе превращается в невыполнимую задачу.
Кому можно получать доступ, а кому нельзя? Порой на этот простой вопрос не могут ответить даже авторы самой информации и владельцы процессов, в которых она обрабатывается. Вопросы о механизмах такого доступа и способах управления и вовсе ставят людей в тупик.
В настоящей книге описана разработанная и неоднократно испытанная автором модель управления доступом, которая базируется на нескольких ранее изученных способах, совмещающих подходы DAC, MAC, RBAC и ABAC. Именно совмещение подходов позволяет гибко и вместе с тем безопасно решать задачу по управлению доступами.
В этой книге я познакомлю вас с тем, из чего строится доступ, практическими методами определения и формирования ролей, комбинирования, управления ими, их учета, а также с формированием доступа к информационным системам и учетом таких доступов, используя как простые методы, вроде учета в Excel (как универсального инструмента, который может быть преобразован в структуры баз данных), так и системы управления доступом на базе Active Directory и продуктов IDM.
Изучив эту книгу, вы сможете понять, какая информация подлежит защите, где она хранится, как передается и как к ней обеспечивается доступ, что такое доступ, роли, их составляющие части, полномочия, как принимаются решения, вы сможете самостоятельно строить ролевые модели, вести учет и выполнять работы по автоматизации процессов или подойти к возможности внедрения системы класса IDM.
Отзывы читателей, участвовавших в закрытых чтениях рукописи:

«Книга написана доступным и понятным языком. Материал хорошо структурирован, простроены четкие взаимосвязи между всеми сторонами рассматриваемого вопроса. Даны практические рекомендации и предложены шаблоны необходимых документов. Актуальность книги обусловлена нарастающими темпами изменения ландшафта и количества киберугроз, а также требований регуляторов. Рекомендуется к прочтению как студентам специальностей, связанных с ИБ, так и преподавателям и действующим специалистам. Безусловно, рекомендована к прочтению Руководителями ИБ предприятий для упрощения выстраивания процессов».
Сергей Михайлович Терешин,
Руководитель и создатель курсов «Информационная безопасность. Professional», «Внедрение и работа в DevSecOps», онлайн-университет Otus

«Хорошо структурированная книга на понятном языке, описывающая полный жизненный цикл управления доступом. Отдельно хочу подчеркнуть, что в книге описано не просто „как должно быть“, а даны практические шаги по реализации процесса управления доступом организаций в разных слоях организаций, начиная с верхнеуровневых слоев и заканчивая конкретными техническими шагами по реализации. Категорически рекомендую к прочтению руководителям ИБ, администраторам ИС и специалистам по ИБ, а также студентам по ИБ».
Мельников Александр Юрьевич.
Senior DevSecOps АФЛТС

«Книга Александра Захарова «В зоне доступа» выделяется на фоне литературы по информационной безопасности своей исключительной практической ориентированностью и системностью в раскрытии темы управления доступом.
Автор не ограничивается поверхностным обзором, а предлагает читателю детальную методологию: от анализа исходных требований и построения фундамента в виде ролевых моделей и матриц доступа (включая тонкости разделения обязанностей — SOD) до организации процессов их жизненного цикла, согласования, аудита и финального внедрения соответствующих систем.
Особую ценность представляют готовые регуляторные артефакты в приложениях: формулировки политик, регламентов и порядков, которые можно адаптировать для использования в организации.
Главы, посвященные пентесту доступов и внедрению систем, переводят теорию в плоскость реальных проектов.
Актуальность материалов обусловлена растущими требованиями Регуляторов и необходимостью противодействия инсайдерским угрозам через грамотное управление привилегиями.
Кому необходимо прочесть:
— Руководителям и архитекторам ИБ — для выстраивания или аудита процессов управления доступом.
— Специалистам по внутреннему контролю и аудиту.
— Студентам технических и управленческих специальностей в ИБ как образец структурирования сложного предмета.
Книга заслуживает высокой оценки и является must-read для профессионалов, серьезно относящихся к построению эффективной системы безопасности».
Максим Вениаминович Чащин,
Руководитель курса «CISO / Директор по информационной безопасности»,
онлайн-университет Otus»

«В современном мире информационной безопасности сложилась парадоксальная ситуация: несмотря на огромное количество средств защиты (межсетевые экраны, SIEM, DLP), наиболее уязвимым звеном остается сам процесс предоставления доступа сотрудникам к информации. Хаос в учетных записях, «плавающие» роли и неконтролируемые полномочия сводят на нет работу даже самых дорогих систем безопасности.
Книга Александра Захарова «Управление доступом на предприятии» — это не очередное перечисление терминов из стандартов, а, по сути, практическое «руководство к действию». Автор, обладающий более чем 15-летним опытом в сфере ИБ и инженерии, предлагает читателю не абстрактную теорию, а выстраданную на реальных проектах методологию.
Главное достоинство книги — ее системность. Автор предлагает отказаться от попыток управлять доступом «как получится» и внедряет четкую, иерархическую модель, которую он называет «методом пирамиды». Читателю предлагается пройти путь от фундамента — рекогносцировки активов и реестров систем — до самой вершины, где формируются удобные профили пользователей.
Особого внимания заслуживает язык изложения. В отличие от сухих академических трудов, книга читается легко. Автор не боится быть прямым, критикует устаревшие подходы и с юмором описывает типичные проблемы, с которыми сталкиваются специалисты на практике.
Отдельно хочется отметить наличие в конце книги готовых шаблонов (Приложение 1 и 2) — «Политики управления доступом» и «Порядка управления ролевыми моделями». Это бесценный материал для любого ИБ-специалиста или ИТ-руководителя, который можно брать и адаптировать под реалии своей компании, экономя месяцы на разработку документации с нуля».
Тираспольский Сергей Александрович
Заместитель декана: НИУ ВШЭ в Нижнем Новгороде / Факультет информатики, математики и компьютерных наук
Доцент: НИУ ВШЭ в Нижнем Новгороде /
Факультет информатики, математики и компьютерных наук / Кафедра информационных систем и технологий

«Отличная работа. У автора получилась не просто книга с теорией, а полноценное проработанное руководство по построению системы управления доступом. Хорошо раскрыта тема, от базовых понятий до практических методик формирования ролевых моделей. Понравилось, что материал основан на личном опыте.
Также хочу отметить, что материал изложен понятно и четко. Сложные концепции объясняются доступно. Предлагаются готовые решения, шаблоны, схемы процессов. Думаю, будет очень полезно как начинающим, так и профессионалам в области процесса управления доступом и учетными записями».
Виктор Игнатов
Руководитель направления
Управление технической защиты информации
ПАО Московская Биржа
Термины и определения


Глава 1. На чем строится доступ? Рекогносцировка информации, сетей, ресурсов и систем
Чтобы что-то защищать, надо сначала это увидеть, перечислить и учесть!
Настоящая глава расскажет о том, на чем базируется построение доступа, как определить, что такое «защищаемая информация», обрабатывающие ее ресурсы, процессы и системы, как их учесть, чтобы затем ими корректно управлять.
Начнем с главного — понимания, на чем строится доступ.
Что есть в любой компании — информация, подлежащая защите (далее защищаемая информация). Это информация, которую требуется защищать от воздействий внешнего/внутреннего нарушителя, так и информация, которая должна быть доступна только отдельным категориям сотрудников для выполнения прямых обязанностей.
Защищаемая информация может быть определена законами РФ или отраслевыми стандартами как подлежащая защите в организации, так и информация определенного вида, защищать которую необходимо в соответствии с распоряжением руководства и внутренними нормативными документами. Подробнее об этом мы поговорим чуть позже.
В начале есть информация, которую нужно защищать. Чтобы ее хранить, используют базу данных, хранимую, в свою очередь, на сервере. С учетом того, что информация и база данных с сервером нужны не одному работнику, могут использоваться несколько серверов. Для удобства использования вашей информации и базы данных используют серверы приложений и веб-серверы, которые красиво вам ее предоставят и позволят легко управлять, не мешая другим работникам. Несколько серверов объединяются в автоматизированную систему, которая работает быстрее и позволяет выполнять не все сразу, а разные функции.
Автоматизированная система, в свою очередь, может быть не одна, а вступать в интеграцию с другими системами, чтобы получать/отдавать необходимую ей дополнительную защищаемую и иную информацию и в итоге предоставлять сервис вашей компании. Разумеется, это упрощенная позиция, в которой не описано множество особенностей, но тут важен смысл и понимание природы доступа.
Упрощенно изучим это на схеме 1.
Как вы можете убедиться, для того чтобы добраться до необходимой информации, необходимо преодолеть немалый путь, включающий разные технологии, сети, протоколы, серверы, автоматизированные системы, базы данных и файловые ресурсы.
Тут сделаем ремарку, что на пути пользователя, помимо всего вышеуказанного, есть еще и ограничители — такие как аутентификация (механизм определения пользователя, а именно, что он тот, за кого себя выдает), авторизация (механизм соотнесения введенной информации о логине/пароле с возможностью доступа) и средства защиты, которые в случае нарушения правил просто заблокируют или ограничат действия в системе или на пути к ней.
Весь этот путь по узлам и сквозь технологии и средства защиты, стоящие на пути от вашего рабочего места до необходимой вам в работе информации, и есть доступ, включающий инструкции и правила прохода каждого из узлов в согласованном порядке.
Составные части доступа, которые входят в него, но могут быть частями обеспечивающих подсистем (например, сетевые устройства и правила экранирования, файловые хранилища и т. д.), называются — пререквизитами доступа.

Схема 1
Важно заметить, что доступ относится к разным составным частям, которые завязаны как на возможностях работы человека с компьютером, так и взаимодействиях систем друг с другом. Именно поэтому доступ не может быть основан только на работе систем, в нем непременно в опосредованной форме присутствует человек. Однако поскольку человека нельзя напрямую подключить к системе, используется его идентифицируемый реквизит — Учетная запись.
Учетная запись — совокупность данных, которая идентифицирует пользователя в компьютерной системе или ином ресурсе.
Учетные записи формируются в соответствии с правилами компании на основании ФИО работника и любых дополнений к этой информации (например, нумерации), чтобы сделать имя учетной записи абсолютно уникальным. Это особо важно, так как у одного сотрудника может быть не одна, а несколько учетных записей с разным уровнем привилегий (например, он разработчик или администратор системы), или же система/системы подразумевают формирование учетных записей строго локально, не ориентируясь ни на какие каталоги доступа.
Именно учетным записям на узлах или глобальной учетной записи, на которую «смотрят» эти узлы, присваиваются права доступа в рамках формируемого пути к системе и взаимодействия человека с системой. Если же речь идет о машинном взаимодействии, то к учетной записи также добавляется необходимая информация о способах взаимодействия, местонахождении ресурсов и т. д. (например, адрес ресурса, идентификаторы машины, с которой нужно разрешить подключение на средствах обеспечения безопасности).
Чтобы защищаемую информацию никто, кроме ответственных работников, не изменил, не удалил или она не попала к не допущенным лицам, должны быть разработаны правила доступа к информации и способы управления таким доступом (выдавать и блокировать) в нужное время.
Различают 4 основных общепринятых подхода к управлению доступом, которыми мы будем пользоваться частично или полностью для решения задачи:
Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.
Дискретное (избирательное) управление доступом (англ. discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также используются названия дискреционное управление доступом, контролируемое управление доступом и разграничительное управление доступом.
Управление доступом на основе ролей (англ. Role-based access control, RBAC) — ограничивает доступ пользователей к системам, сетям и дополнительным ресурсам, предоставляя им только то, что необходимо для выполнения их конкретной роли. По сути, RBAC использует принцип наименьших привилегий (PoLP), чтобы пользователям предоставлялся доступ только к тому, что им нужно для эффективной работы.
Управление доступом на основе атрибутов (англ. Attribute-based access control ABAC) — определяет, кто может получать доступ к системам, сетям и данным на основе атрибутов, связанных со стандартами безопасности, ресурсами организации и средой пользователя. В отличие от RBAC, ABAC выходит за рамки роли пользователя и для авторизации доступа к ресурсам учитывает факторы, не относящиеся к его личности, например, его характеристики, среду и устройство.
И вроде кажется, что по отдельности эти методы уже перекрывают потребности в управлении доступом, но ровно до тех пор, пока вы не столкнетесь с ограничениями каждого из таких подходов, скудностью в описании учета и «серыми» зонами в принятии решений по тем или иным заявкам.
Разработанный мной метод включает в себя лучшее из всех 4 подходов и выстраивает единую удобную концепцию, позволяющую сохранить гибкость и при этом высокий уровень информационной безопасности.
Тем не менее до использования в том или ином виде методов управления доступами необходимо определить классификацию защищаемой информации и где она обрабатывается и хранится, прежде чем защищать ее и предоставлять к ней доступ.
Как это сделать?
Как было указано ранее, в большинстве случаев основные категории уже продиктованы действующими законами или отраслевыми стандартами, а все остальное зависит от взгляда руководства на данное направление.
К защищаемой информации точно могут быть отнесены в любой компании:
• Персональные данные работников/клиентов/партнеров и т. д. компании (определяется законом 152-ФЗ РФ и подзаконными актами, а также документами ФСТЭК России);
• Коммерческая тайна (определяется законом 98-ФЗ РФ — перечень такой информации формируется самостоятельно, за исключением категорий информации, определенной законом, которые не могут таковыми быть).
Если ваша компания работает в отдельных сферах (например, связи, финансовой сфере, сферах производства и иных областях), то к защищаемой информации необходимо отнести требования отраслевых стандартов или регуляторов (Роскомнадзора, ФСБ, ФСТЭК).
Так, например, для банковской и финансовой сферы регулятором является Банк России, а принимаемые им стандарты и постановления обязательны для исполнения всеми финансовыми организациями, начиная от микрофинансовой организации и ломбарда, заканчивая гигантами банковской сферы.
Стандартами в финансовой сфере являются на сегодняшний день:
• 683-П — постановление Банка России, определяющее требования к защите информации;
• ГОСТ 57580—1,2 — описывает обязательные требования по защите информации и соответствующих процедурах их обеспечения;
• PCI-DSS — международный стандарт по защите информации банковских карт и данных об их владельцах.
Если компания работает в сферах, связанных с обороной государства, или взаимодействует с ведомствами, связанными с обороной государства или обеспечением безопасности, то также может присутствовать информация, составляющая государственную тайну.
Также может присутствовать информация в соответствии с деятельностью компании и соответствующим процессом ведения бизнеса и получения доходов. Полный перечень нормативных документов могут предоставить юристы либо руководители подразделений вашей компании после изучения данного вопроса.
Для простоты понимания в данной книге мы будем оперировать теми видами защищаемой информации, обеспечение безопасности которых наиболее популярно.
Исходя из сказанного выше, следует вывод, что прежде, чем приступить к управлению доступом и тем более к его защите, необходимо сначала собрать информацию о том, какую информацию защищать, где она хранится и как она передается/обрабатывается.
Рекогносцировка — работа, связанная с инвентаризацией положения от информации к системам и механизмом, участвующим в ее обработке.
Он делится на несколько важных этапов, в рамках которых разрабатываются жизненно важные для дальнейшей работы процессы и документы, подразумевающие под собой определение «где-что-как-зачем обрабатывается».
На первом этапе рекогносцировки следует начать именно с перечисления всех видов информации, утеря/компрометация которой может вылиться в штраф, в потерю заработка для бизнеса либо уголовную ответственность руководства.
Может показаться, что руководство подразделения или подразделение ИТ знает все. Зачем тогда писать ненужную бумагу? Однако вы будете удивлены, когда к ним подойдете с этим вопросом или попытаетесь узнать детали. В 90% случаев никто ничего не знает, а действует по интуиции и в абсолютном бардаке. Поэтому составить и утвердить перечень — жизненно важно. Сбор данной информации — это предмет аудита, о проведении которого в данном контексте я углубляться не буду, остановимся лишь на его результате.
Пример того, как нужно минимально собрать информацию в виде таблицы-перечня со следующими столбцами:
• № — порядковый номер.
• Название защищаемой информации — Краткое название информации, подлежащей защите.
• Цель обработки — Описать, с какой целью производится обработка защищаемой информации по ее типу.
• Требование по защите — Указать прямую ссылку на закон, положение, постановление, ИСО/ГОСТ и т. д. или ваш внутренний документ.
• Виды документов — Описать все формы и виды документов, в которых есть защищаемая информация.
• Метка — Обозначение в документе, файле и/или ином носителе, дающее определение находящейся там защищаемой информации.
• Где обрабатывается/хранится — Указать либо помещения, либо подразделения, либо автоматизированные системы.
• Критичность — определяется в соответствии с риск-ориентированным подходом, моделями угроз и нарушителей, а также проверкой «что будет, если».
• Ответственный за обработку — лицо, назначаемое приказом на должность ответственного за обработку отдельного вида или подвида информации. Данное лицо будет влиять в дальнейшем на маршруты согласования.
Пример заполнения может быть следующим (Таблица 1):

Таблица 1
Дополнение таблицы информацией о критичности информации облегчит жизнь работникам безопасности и руководству, которые будут точно знать, что охранять и насколько критичны могут быть инциденты, связанные с такой информацией.
В любом учете никогда не скупитесь на достаточную понятность информации или набора данных. Лучше потратьте время и сделайте красиво и понятно, чем искать выходы во время активных действий или инцидентов безопасности. Любые доступные примеры таблиц дополняйте нужной вам информацией в дополнительных столбцах, заранее определяя, как их правильно заполнять.
На втором этапе рекогносцировки определяются процессы, в рамках которых производится обработка защищаемой информации по ранее составленному перечню.
Пример того, как нужно минимально собрать информацию в виде таблицы со следующими столбцами (Таблица 2):
• № — Порядковый номер.



