ПОДСИСТЕМА АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ ПРЕДПРИЯТИЯ
Деятельность любого предприятия сегодня связана с обработкой и хранением большого объема информации в различных, зачастую децентрализованных, информационных системах. Постоянно появляются новые виды угроз несанкционированного доступа к конфиденциальной информации. Целью работы является снижение рисков информационной безопасности предприятия за счет создания подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия. Предлагаемые модели построены с использованием подхода структурного анализа и проектирования, адаптированного для решения задач в области защиты информации, и являются основой для проектирования подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия.
пользователей к информационным ресурсам предприятия
А.Рычкова, к.пед.н., доцент кафедры
вычислительной техники и защиты информации
Оренбургского государственного университета / rnansy@yandex.ru,
Ю.Чепурина, магистрант
Оренбургского государственного университета / juliachepurina98@gmail.com
УДК 004.056.52, DOI: 10.22184/2070-8963.2021.94.2.22.27
Деятельность любого предприятия сегодня связана с обработкой и хранением большого объема информации в различных, зачастую децентрализованных, информационных системах. Постоянно появляются новые виды угроз несанкционированного доступа к конфиденциальной информации. Целью работы является снижение рисков информационной безопасности предприятия за счет создания подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия. Предлагаемые модели построены с использованием подхода структурного анализа и проектирования, адаптированного для решения задач в области защиты информации, и являются основой для проектирования подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия.
Широкое внедрение цифровых технологий наряду с задачами обеспечения производительности, устойчивости и надежности информационных систем, выдвигает на передний план защиту обрабатываемых в них данных от несанкционированного доступа (далее – НСД) внутренних и внешних нарушителей. Анализ фактов несанкционированного доступа к информации показывает, что информационные системы весьма уязвимы с точки зрения безопасности.
Мониторинг угроз безопасности, проведенный по итогам 2019 года Аналитическим центром InfoWatch [1], свидетельствует, что угрозы несанкционированного доступа занимают лидирующие позиции. В 80% утечка информации из компании происходит непосредственно по вине ее сотрудников. Было зарегистрировано 1276 случаев утечки конфиденциальной информации такого рода, что на 22% больше, чем за аналогичный период 2018 года (1039 утечек). Следует признать, что предприятия на данный момент уделяют недостаточно внимания системам разграничения и управления правами доступа пользователей к информационным ресурсам [2].
Стандартные системы управления правами доступа актуальны для малых предприятий с небольшим количеством пользователей и информационных систем. Для крупномасштабных предприятий необходимы автоматизированные решения, способные контролировать большой поток заявок на предоставление и блокирование доступа, чтобы снизить риски несанкционированного доступа и утечки конфиденциальной информации [3–5].
Целью данного исследования является снижение риска информационной безопасности за счет повышения оперативности управления правами доступа пользователей к информационным ресурсам автоматизированной системы предприятия.
Целевая функция, характеризующая снижение риска информационной безопасности, представлена в выражении 1:
E = {t, p, Zущ, Zпр} →min (1)
Zпр≤Zущ,
где E – риск от утечки конфиденциальной информации при реализации несанкционированного доступа к автоматизированным информационным системам (далее – АИС) предприятия;
t – время, затраченное на реализацию базовых функций администратора безопасности при работе с правами доступа пользователей в АИС предприятия;
p – вероятность реализации угроз;
Zущ – величина ущерба от реализации угроз;
Zпр – затраты на реализацию проекта.
Повышение оперативности управления правами доступа позволит сэкономить время, затраченное на реализацию базовых функций администратора безопасности при работе с правами доступа пользователей в АИС предприятия. При этом администратор также тратит меньше времени на анализ выходных отчетов и выявление ошибок и неточностей системы, что снижает вероятность реализации угроз. При снижении вероятности реализации угрозы соответственно снижается риск от утечки конфиденциальной информации.
С ростом мощности информационных систем и числа пользователей сопровождение и администрирование подсистемы управления правами доступа значительно усложняется. Возникает потребность автоматизировать процесс назначения и блокирования прав доступа пользователей к информационным ресурсам предприятия, разработке отдельной подсистемы управления правами доступа.
На рис.1 представлена концептуальная модель задачи разработки подсистемы автоматизированного управления правами доступа (далее – УПД) пользователей к информационным ресурсам предприятия.
Автоматизированная система УПД пользователей к информационным ресурсам предприятия включает следующие элементы:
Система управления:
- руководство (руководитель предприятия, руководители структурных подразделений);
- отдел информационных технологий (администратор безопасности и начальник отдела ИТ ведут учет данных, связанных с предоставлением доступа к интегрированным ресурсам, и предоставляют (блокируют) доступ к объектам доступа).
Объект управления: состав и состояние поступивших заявок на предоставление доступа к системе разграничения доступа при интеграции информационного обеспечения автоматизированных систем предприятия.
Охватываемые информационные потоки (далее – ИП):
ИП1 – внешние документы, документ на имя руководителя предприятия для предоставления доступа к информационным ресурсам (номер, ФИО, должность, название организации, дата
- 1 (начало доступа), дата 2 (окончание доступа), тип доступа и объект доступа (перечень подсистем) для внешних, сторонних пользователей, не являющихся сотрудниками предприятия;
- ИП2 – выходной документ (отчет) для принятия решения о необходимых мерах по управлению контингентом субъектов доступа;
- ИП3 – входной поток, включающий перечень плановой, нормативной и распорядительной информации для осуществления процесса автоматизации системы УПД;
- ИП4 – входной поток, характеризующий состояние объекта управления [6].
Описание состава документов или фрагментов документов, входящих в рассматриваемые информационные потоки исследуемого предприятия, приведены в табл.1.
На основе методологии структурного анализа и проектирования разработана функциональная модель деятельности предприятия в рамках решаемой задачи, представленная в нотации методологии IDEF0, включающая в себя контекстную диаграмму системы управления правами доступа пользователей к информационным ресурсам предприятия (рис.2).
Математическая модель задачи управления правами доступа пользователей к информационным ресурсам АИС предприятия строится на основе ролевой модели управления доступом и описывается множеством субъектов (S) – пользователей АИС предприятия:
S = {s1,s2,...,sn};
множеством объектов (O) – перечнем информационных систем предприятия
O = {o1,o2,...,on};
множеством привилегий (P), определяющих набор прав доступа (R – чтение, W – запись, D – удаление), необходимый пользователю АИС предприятия для выполнения текущей задачи:
P = {p1,p2,...,pn}.
Множество ролей (R) определяется функцией на уровне авторизации пользователей информационной системы предприятия:
R = {r1,r2,...,rn}.
Матрица доступа к информационным ресурсам предприятия формирует для каждой категории пользователей (в соответствии с его ролью) набор прав доступа субъектов к объектам доступа определенной информационной системы [7–11].
Автоматизация управления правами доступа пользователей к информационным ресурсам предприятия предоставляет следующие возможности:
- автоматизацию рутинной работы по созданию большого количества учетных записей и предоставления прав доступа к информационным системам;
- организацию автоматизированных процессов согласования и исполнения запросов, связанных с изменением прав доступа;
- одновременное предоставление или изменение прав доступа большому количеству сотрудников;
- контроль над предоставлением и изменением прав доступа сотрудников и проведение расследований инцидентов информационной безопасности;
- своевременное блокирование доступа уволенных сотрудников.
Проектирование и разработка подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия на основе представленных моделей позволит существенно повысить эффективность и оперативность процесса управления правами доступа к информационным ресурсам. В результате разработки подсистему автоматизированного управления правами доступа пользователей к информационным системам предприятия снижаются риски информационной безопасности, связанные с несанкционированным доступом внешних и внутренних нарушителей.
ЛИТЕРАТУРА
Официальный сайт компании InfoWatch: Аналитика отрасли информационной безопасности [Электронный ресурс]. – Режим доступа: https://www.infowatch.ru/analytics/reports (дата обращения: 20.01.2020).
Пасечников С.В., Авдеев В.В. Анализ проблем предоставления прав доступа к информационным системам // Системный администратор. 2020. № 5 (210). С. 93–95.
Демурчев Н.Г., Касимов Р.И. Математическая модель информационно аналитической системы регионального государственного управления // Вестник Ставропольского государственного университета. 2009. № 4. С. 132–137.
Боганов А.В. Подход к автоматизации управления учетными записями пользователей корпоративной информационной системы // Бизнес-информатика. 2009. № 3(9). С. 16–20.
Богаченко Н.Ф. Анализ проблем управления разграничения доступа в крупномасштабных информационных системах // Математические структуры и моделирование. 2018. № 2(46). С. 135–152.
Волкова Т.В., Кудинов Ю.А., Рычкова А.А. Модель защиты данных электронной информационно-образовательной среды Оренбургского государственного университета // Интеллект. Инновации. Инвестиции. 2016. № 2. С. 100–108.
Пестунова Т.М., Родионова З.В. Управление процессом предоставления прав доступа на основе анализа бизнес-процессов // Прикладная дискретная математика. 2008. № 2. С. 91–96.
Шахгельдян К.И., Крюков В.В., Гмарь Д.В. Система автоматического управления доступом к информационным ресурсам вуза // Информационные технологии. 2006. № 2. С. 19–29.
Крюков В.В., Шахгельдян К.И. Развитие информационной инфраструктуры вуза для решения задач управления // Университетское управление. 2004. № 4. С. 67–77.
Богданов Н.Г., Бочков П.В., Нечаенко Н.Д. Администрирование безопасности корпоративных информационных систем на основе ролевого управления доступом // Информационные системы и технологии. 2015. № 2(88). С. 124–130.
Ахмед Весам М.А. Использование единой аутентификации и ролевой модели доступа при организации доступа к базам данных из интернета с использованием серверов-посредников // Вопросы защиты информации. 2016. № 1 (112). С. 8–11.