Управление доступом к данным

Управление данными не сводится только к их рациональному хранению и обработке – актуальными остаются и вопросы информационной безопасности. Перевод информации в электронную форму делает ее более чувствительной к внешним и внутренним угрозам. В первом случае необходимо защищать информацию от вторжения извне (из-за периметра корпоративной сети). Во втором случае важным аспектом является управление доступом к данным со стороны сотрудников собственной компании.

Современное программное обеспечение предоставляет множество возможностей по регламентации прав пользователей компьютеров, начиная от начальной авторизации, на стадии которой пользователи могут быть сильно ограничены в действиях, до управления правами в прикладных программах. Системы управления базами данных со своей стороны обеспечивают управление доступом к информации, предоставляя конкретным пользователям разные возможности: читать, изменять, добавлять и удалять информацию.

Существует много стратегий управления доступом к данным. Приведем некоторые из них:

• избирательное управление;

• мандатное управление;

• ролевое.

Избирательное управление доступом^[1] основано на использовании матрицы доступа, в которой по одному измерению перечисляются субъекты доступа, а по второму – объекты, к которым доступ должен предоставляться. На пересечении конкретных строк и столбцов прописываются права доступа субъекта к объекту. Права назначает либо владелец объекта, либо привилегированный пользователь (системный технолог, администратор базы данных).

Мандатное управление доступом основано на назначении грифов доступа для объектов и выдаче субъектам разрешений на обращение к информации с определенными грифами, что предотвращает нежелательное использование защищаемой информации. Данный подход уходит корнями в традиционное делопроизводство, в котором использовались грифы "Секретно", "Совершенно секретно", "Для служебного пользования" (ДСП).

Управление доступом на основе ролей есть развитие политики избирательного управления доступом, при которой права доступа субъектов системы на объекты группируются, образуя так называемые роли. Роли представляют собой совокупность прав доступа на объекты. Они позволяют упростить назначение нрав большому числу пользователей и обеспечить оперативное их изменение при необходимости модифицировать политику информационной безопасности, так как индивидуальное назначение и переназначение прав доступа при большом числе сотрудников представляет собой весьма трудоемкую операцию, к тому же чреватую ошибками.

На практике чаще всего имеет место сочетание трех выше- отмеченных стратегий управления доступом к данным.