eng
Выпуск #2/2021
А.Рычкова, Ю.Чепурина
ПОДСИСТЕМА АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ ПРЕДПРИЯТИЯ
ПОДСИСТЕМА АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ ПРЕДПРИЯТИЯ
Просмотры: 1468
DOI: 10.22184/2070-8963.2021.94.2.22.27
Деятельность любого предприятия сегодня связана с обработкой и хранением большого объема информации в различных, зачастую децентрализованных, информационных системах. Постоянно появляются новые виды угроз несанкционированного доступа к конфиденциальной информации. Целью работы является снижение рисков информационной безопасности предприятия за счет создания подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия. Предлагаемые модели построены с использованием подхода структурного анализа и проектирования, адаптированного для решения задач в области защиты информации, и являются основой для проектирования подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия.
Деятельность любого предприятия сегодня связана с обработкой и хранением большого объема информации в различных, зачастую децентрализованных, информационных системах. Постоянно появляются новые виды угроз несанкционированного доступа к конфиденциальной информации. Целью работы является снижение рисков информационной безопасности предприятия за счет создания подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия. Предлагаемые модели построены с использованием подхода структурного анализа и проектирования, адаптированного для решения задач в области защиты информации, и являются основой для проектирования подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия.
Теги: access rights management automated system information resources management object management subsystem unauthorized access автоматизированная система информационные ресурсы несанкционированный доступ объект управления подсистема управления управление правами доступа
ПОДСИСТЕМА АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА
пользователей к информационным ресурсам предприятия
А.Рычкова, к.пед.н., доцент кафедры
вычислительной техники и защиты информации
Оренбургского государственного университета / rnansy@yandex.ru,
Ю.Чепурина, магистрант
Оренбургского государственного университета / juliachepurina98@gmail.com
УДК 004.056.52, DOI: 10.22184/2070-8963.2021.94.2.22.27
Деятельность любого предприятия сегодня связана с обработкой и хранением большого объема информации в различных, зачастую децентрализованных, информационных системах. Постоянно появляются новые виды угроз несанкционированного доступа к конфиденциальной информации. Целью работы является снижение рисков информационной безопасности предприятия за счет создания подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия. Предлагаемые модели построены с использованием подхода структурного анализа и проектирования, адаптированного для решения задач в области защиты информации, и являются основой для проектирования подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия.
Широкое внедрение цифровых технологий наряду с задачами обеспечения производительности, устойчивости и надежности информационных систем, выдвигает на передний план защиту обрабатываемых в них данных от несанкционированного доступа (далее – НСД) внутренних и внешних нарушителей. Анализ фактов несанкционированного доступа к информации показывает, что информационные системы весьма уязвимы с точки зрения безопасности.
Мониторинг угроз безопасности, проведенный по итогам 2019 года Аналитическим центром InfoWatch [1], свидетельствует, что угрозы несанкционированного доступа занимают лидирующие позиции. В 80% утечка информации из компании происходит непосредственно по вине ее сотрудников. Было зарегистрировано 1276 случаев утечки конфиденциальной информации такого рода, что на 22% больше, чем за аналогичный период 2018 года (1039 утечек). Следует признать, что предприятия на данный момент уделяют недостаточно внимания системам разграничения и управления правами доступа пользователей к информационным ресурсам [2].
Стандартные системы управления правами доступа актуальны для малых предприятий с небольшим количеством пользователей и информационных систем. Для крупномасштабных предприятий необходимы автоматизированные решения, способные контролировать большой поток заявок на предоставление и блокирование доступа, чтобы снизить риски несанкционированного доступа и утечки конфиденциальной информации [3–5].
Целью данного исследования является снижение риска информационной безопасности за счет повышения оперативности управления правами доступа пользователей к информационным ресурсам автоматизированной системы предприятия.
Целевая функция, характеризующая снижение риска информационной безопасности, представлена в выражении 1:
E = {t, p, Zущ, Zпр} →min (1)
Zпр≤Zущ,
где E – риск от утечки конфиденциальной информации при реализации несанкционированного доступа к автоматизированным информационным системам (далее – АИС) предприятия;
t – время, затраченное на реализацию базовых функций администратора безопасности при работе с правами доступа пользователей в АИС предприятия;
p – вероятность реализации угроз;
Zущ – величина ущерба от реализации угроз;
Zпр – затраты на реализацию проекта.
Повышение оперативности управления правами доступа позволит сэкономить время, затраченное на реализацию базовых функций администратора безопасности при работе с правами доступа пользователей в АИС предприятия. При этом администратор также тратит меньше времени на анализ выходных отчетов и выявление ошибок и неточностей системы, что снижает вероятность реализации угроз. При снижении вероятности реализации угрозы соответственно снижается риск от утечки конфиденциальной информации.
С ростом мощности информационных систем и числа пользователей сопровождение и администрирование подсистемы управления правами доступа значительно усложняется. Возникает потребность автоматизировать процесс назначения и блокирования прав доступа пользователей к информационным ресурсам предприятия, разработке отдельной подсистемы управления правами доступа.
На рис.1 представлена концептуальная модель задачи разработки подсистемы автоматизированного управления правами доступа (далее – УПД) пользователей к информационным ресурсам предприятия.
Автоматизированная система УПД пользователей к информационным ресурсам предприятия включает следующие элементы:
Система управления:
Объект управления: состав и состояние поступивших заявок на предоставление доступа к системе разграничения доступа при интеграции информационного обеспечения автоматизированных систем предприятия.
Охватываемые информационные потоки (далее – ИП):
ИП1 – внешние документы, документ на имя руководителя предприятия для предоставления доступа к информационным ресурсам (номер, ФИО, должность, название организации, дата
Описание состава документов или фрагментов документов, входящих в рассматриваемые информационные потоки исследуемого предприятия, приведены в табл.1.
На основе методологии структурного анализа и проектирования разработана функциональная модель деятельности предприятия в рамках решаемой задачи, представленная в нотации методологии IDEF0, включающая в себя контекстную диаграмму системы управления правами доступа пользователей к информационным ресурсам предприятия (рис.2).
Математическая модель задачи управления правами доступа пользователей к информационным ресурсам АИС предприятия строится на основе ролевой модели управления доступом и описывается множеством субъектов (S) – пользователей АИС предприятия:
S = {s1,s2,...,sn};
множеством объектов (O) – перечнем информационных систем предприятия
O = {o1,o2,...,on};
множеством привилегий (P), определяющих набор прав доступа (R – чтение, W – запись, D – удаление), необходимый пользователю АИС предприятия для выполнения текущей задачи:
P = {p1,p2,...,pn}.
Множество ролей (R) определяется функцией на уровне авторизации пользователей информационной системы предприятия:
R = {r1,r2,...,rn}.
Матрица доступа к информационным ресурсам предприятия формирует для каждой категории пользователей (в соответствии с его ролью) набор прав доступа субъектов к объектам доступа определенной информационной системы [7–11].
Автоматизация управления правами доступа пользователей к информационным ресурсам предприятия предоставляет следующие возможности:
Проектирование и разработка подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия на основе представленных моделей позволит существенно повысить эффективность и оперативность процесса управления правами доступа к информационным ресурсам. В результате разработки подсистему автоматизированного управления правами доступа пользователей к информационным системам предприятия снижаются риски информационной безопасности, связанные с несанкционированным доступом внешних и внутренних нарушителей.
ЛИТЕРАТУРА
Официальный сайт компании InfoWatch: Аналитика отрасли информационной безопасности [Электронный ресурс]. – Режим доступа: https://www.infowatch.ru/analytics/reports (дата обращения: 20.01.2020).
Пасечников С.В., Авдеев В.В. Анализ проблем предоставления прав доступа к информационным системам // Системный администратор. 2020. № 5 (210). С. 93–95.
Демурчев Н.Г., Касимов Р.И. Математическая модель информационно аналитической системы регионального государственного управления // Вестник Ставропольского государственного университета. 2009. № 4. С. 132–137.
Боганов А.В. Подход к автоматизации управления учетными записями пользователей корпоративной информационной системы // Бизнес-информатика. 2009. № 3(9). С. 16–20.
Богаченко Н.Ф. Анализ проблем управления разграничения доступа в крупномасштабных информационных системах // Математические структуры и моделирование. 2018. № 2(46). С. 135–152.
Волкова Т.В., Кудинов Ю.А., Рычкова А.А. Модель защиты данных электронной информационно-образовательной среды Оренбургского государственного университета // Интеллект. Инновации. Инвестиции. 2016. № 2. С. 100–108.
Пестунова Т.М., Родионова З.В. Управление процессом предоставления прав доступа на основе анализа бизнес-процессов // Прикладная дискретная математика. 2008. № 2. С. 91–96.
Шахгельдян К.И., Крюков В.В., Гмарь Д.В. Система автоматического управления доступом к информационным ресурсам вуза // Информационные технологии. 2006. № 2. С. 19–29.
Крюков В.В., Шахгельдян К.И. Развитие информационной инфраструктуры вуза для решения задач управления // Университетское управление. 2004. № 4. С. 67–77.
Богданов Н.Г., Бочков П.В., Нечаенко Н.Д. Администрирование безопасности корпоративных информационных систем на основе ролевого управления доступом // Информационные системы и технологии. 2015. № 2(88). С. 124–130.
Ахмед Весам М.А. Использование единой аутентификации и ролевой модели доступа при организации доступа к базам данных из интернета с использованием серверов-посредников // Вопросы защиты информации. 2016. № 1 (112). С. 8–11.
пользователей к информационным ресурсам предприятия
А.Рычкова, к.пед.н., доцент кафедры
вычислительной техники и защиты информации
Оренбургского государственного университета / rnansy@yandex.ru,
Ю.Чепурина, магистрант
Оренбургского государственного университета / juliachepurina98@gmail.com
УДК 004.056.52, DOI: 10.22184/2070-8963.2021.94.2.22.27
Деятельность любого предприятия сегодня связана с обработкой и хранением большого объема информации в различных, зачастую децентрализованных, информационных системах. Постоянно появляются новые виды угроз несанкционированного доступа к конфиденциальной информации. Целью работы является снижение рисков информационной безопасности предприятия за счет создания подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия. Предлагаемые модели построены с использованием подхода структурного анализа и проектирования, адаптированного для решения задач в области защиты информации, и являются основой для проектирования подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия.
Широкое внедрение цифровых технологий наряду с задачами обеспечения производительности, устойчивости и надежности информационных систем, выдвигает на передний план защиту обрабатываемых в них данных от несанкционированного доступа (далее – НСД) внутренних и внешних нарушителей. Анализ фактов несанкционированного доступа к информации показывает, что информационные системы весьма уязвимы с точки зрения безопасности.
Мониторинг угроз безопасности, проведенный по итогам 2019 года Аналитическим центром InfoWatch [1], свидетельствует, что угрозы несанкционированного доступа занимают лидирующие позиции. В 80% утечка информации из компании происходит непосредственно по вине ее сотрудников. Было зарегистрировано 1276 случаев утечки конфиденциальной информации такого рода, что на 22% больше, чем за аналогичный период 2018 года (1039 утечек). Следует признать, что предприятия на данный момент уделяют недостаточно внимания системам разграничения и управления правами доступа пользователей к информационным ресурсам [2].
Стандартные системы управления правами доступа актуальны для малых предприятий с небольшим количеством пользователей и информационных систем. Для крупномасштабных предприятий необходимы автоматизированные решения, способные контролировать большой поток заявок на предоставление и блокирование доступа, чтобы снизить риски несанкционированного доступа и утечки конфиденциальной информации [3–5].
Целью данного исследования является снижение риска информационной безопасности за счет повышения оперативности управления правами доступа пользователей к информационным ресурсам автоматизированной системы предприятия.
Целевая функция, характеризующая снижение риска информационной безопасности, представлена в выражении 1:
E = {t, p, Zущ, Zпр} →min (1)
Zпр≤Zущ,
где E – риск от утечки конфиденциальной информации при реализации несанкционированного доступа к автоматизированным информационным системам (далее – АИС) предприятия;
t – время, затраченное на реализацию базовых функций администратора безопасности при работе с правами доступа пользователей в АИС предприятия;
p – вероятность реализации угроз;
Zущ – величина ущерба от реализации угроз;
Zпр – затраты на реализацию проекта.
Повышение оперативности управления правами доступа позволит сэкономить время, затраченное на реализацию базовых функций администратора безопасности при работе с правами доступа пользователей в АИС предприятия. При этом администратор также тратит меньше времени на анализ выходных отчетов и выявление ошибок и неточностей системы, что снижает вероятность реализации угроз. При снижении вероятности реализации угрозы соответственно снижается риск от утечки конфиденциальной информации.
С ростом мощности информационных систем и числа пользователей сопровождение и администрирование подсистемы управления правами доступа значительно усложняется. Возникает потребность автоматизировать процесс назначения и блокирования прав доступа пользователей к информационным ресурсам предприятия, разработке отдельной подсистемы управления правами доступа.
На рис.1 представлена концептуальная модель задачи разработки подсистемы автоматизированного управления правами доступа (далее – УПД) пользователей к информационным ресурсам предприятия.
Автоматизированная система УПД пользователей к информационным ресурсам предприятия включает следующие элементы:
Система управления:
- руководство (руководитель предприятия, руководители структурных подразделений);
- отдел информационных технологий (администратор безопасности и начальник отдела ИТ ведут учет данных, связанных с предоставлением доступа к интегрированным ресурсам, и предоставляют (блокируют) доступ к объектам доступа).
Объект управления: состав и состояние поступивших заявок на предоставление доступа к системе разграничения доступа при интеграции информационного обеспечения автоматизированных систем предприятия.
Охватываемые информационные потоки (далее – ИП):
ИП1 – внешние документы, документ на имя руководителя предприятия для предоставления доступа к информационным ресурсам (номер, ФИО, должность, название организации, дата
- 1 (начало доступа), дата 2 (окончание доступа), тип доступа и объект доступа (перечень подсистем) для внешних, сторонних пользователей, не являющихся сотрудниками предприятия;
- ИП2 – выходной документ (отчет) для принятия решения о необходимых мерах по управлению контингентом субъектов доступа;
- ИП3 – входной поток, включающий перечень плановой, нормативной и распорядительной информации для осуществления процесса автоматизации системы УПД;
- ИП4 – входной поток, характеризующий состояние объекта управления [6].
Описание состава документов или фрагментов документов, входящих в рассматриваемые информационные потоки исследуемого предприятия, приведены в табл.1.
На основе методологии структурного анализа и проектирования разработана функциональная модель деятельности предприятия в рамках решаемой задачи, представленная в нотации методологии IDEF0, включающая в себя контекстную диаграмму системы управления правами доступа пользователей к информационным ресурсам предприятия (рис.2).
Математическая модель задачи управления правами доступа пользователей к информационным ресурсам АИС предприятия строится на основе ролевой модели управления доступом и описывается множеством субъектов (S) – пользователей АИС предприятия:
S = {s1,s2,...,sn};
множеством объектов (O) – перечнем информационных систем предприятия
O = {o1,o2,...,on};
множеством привилегий (P), определяющих набор прав доступа (R – чтение, W – запись, D – удаление), необходимый пользователю АИС предприятия для выполнения текущей задачи:
P = {p1,p2,...,pn}.
Множество ролей (R) определяется функцией на уровне авторизации пользователей информационной системы предприятия:
R = {r1,r2,...,rn}.
Матрица доступа к информационным ресурсам предприятия формирует для каждой категории пользователей (в соответствии с его ролью) набор прав доступа субъектов к объектам доступа определенной информационной системы [7–11].
Автоматизация управления правами доступа пользователей к информационным ресурсам предприятия предоставляет следующие возможности:
- автоматизацию рутинной работы по созданию большого количества учетных записей и предоставления прав доступа к информационным системам;
- организацию автоматизированных процессов согласования и исполнения запросов, связанных с изменением прав доступа;
- одновременное предоставление или изменение прав доступа большому количеству сотрудников;
- контроль над предоставлением и изменением прав доступа сотрудников и проведение расследований инцидентов информационной безопасности;
- своевременное блокирование доступа уволенных сотрудников.
Проектирование и разработка подсистемы автоматизированного управления правами доступа пользователей к информационным ресурсам предприятия на основе представленных моделей позволит существенно повысить эффективность и оперативность процесса управления правами доступа к информационным ресурсам. В результате разработки подсистему автоматизированного управления правами доступа пользователей к информационным системам предприятия снижаются риски информационной безопасности, связанные с несанкционированным доступом внешних и внутренних нарушителей.
ЛИТЕРАТУРА
Официальный сайт компании InfoWatch: Аналитика отрасли информационной безопасности [Электронный ресурс]. – Режим доступа: https://www.infowatch.ru/analytics/reports (дата обращения: 20.01.2020).
Пасечников С.В., Авдеев В.В. Анализ проблем предоставления прав доступа к информационным системам // Системный администратор. 2020. № 5 (210). С. 93–95.
Демурчев Н.Г., Касимов Р.И. Математическая модель информационно аналитической системы регионального государственного управления // Вестник Ставропольского государственного университета. 2009. № 4. С. 132–137.
Боганов А.В. Подход к автоматизации управления учетными записями пользователей корпоративной информационной системы // Бизнес-информатика. 2009. № 3(9). С. 16–20.
Богаченко Н.Ф. Анализ проблем управления разграничения доступа в крупномасштабных информационных системах // Математические структуры и моделирование. 2018. № 2(46). С. 135–152.
Волкова Т.В., Кудинов Ю.А., Рычкова А.А. Модель защиты данных электронной информационно-образовательной среды Оренбургского государственного университета // Интеллект. Инновации. Инвестиции. 2016. № 2. С. 100–108.
Пестунова Т.М., Родионова З.В. Управление процессом предоставления прав доступа на основе анализа бизнес-процессов // Прикладная дискретная математика. 2008. № 2. С. 91–96.
Шахгельдян К.И., Крюков В.В., Гмарь Д.В. Система автоматического управления доступом к информационным ресурсам вуза // Информационные технологии. 2006. № 2. С. 19–29.
Крюков В.В., Шахгельдян К.И. Развитие информационной инфраструктуры вуза для решения задач управления // Университетское управление. 2004. № 4. С. 67–77.
Богданов Н.Г., Бочков П.В., Нечаенко Н.Д. Администрирование безопасности корпоративных информационных систем на основе ролевого управления доступом // Информационные системы и технологии. 2015. № 2(88). С. 124–130.
Ахмед Весам М.А. Использование единой аутентификации и ролевой модели доступа при организации доступа к базам данных из интернета с использованием серверов-посредников // Вопросы защиты информации. 2016. № 1 (112). С. 8–11.
Отзывы читателей
