Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

+1 -800-456-478-23

IDMATRIX
Матрица доступа и ее роль в организации - IKOD

Матрица доступа и ее роль в организации

Матрица доступа и ее роль в организации

Одной из ключевых задач при управлении информационной безопасностью организации является управление доступом к информации. Для обеспечения безопасности информации, необходимо контролировать, кто и как использует информацию в организации. В этой статье мы рассмотрим, что такое матрица доступа и как ее использование может помочь в управлении доступом к информации в организации.

Что такое матрица доступа?

Матрица доступа – это инструмент управления доступом к информации, который позволяет контролировать, кто имеет доступ к какой информации и какие действия с ней разрешены. В матрице доступа информация классифицируется по уровню секретности, а каждый пользователь или группа пользователей имеет определенный уровень доступа к информации. Таким образом, матрица доступа позволяет организовать эффективную систему управления доступом к информации.

Матрица доступа может быть представлена в виде таблицы, в которой строки представляют пользователей или группы пользователей, а столбцы – различные уровни доступа к информации. В каждой ячейке таблицы указывается уровень доступа каждого пользователя или группы пользователей к конкретной информации.

Для чего нужна матрица доступа?

Матрица доступа играет ключевую роль в управлении доступом к информации в организации. Она позволяет организовать эффективную систему управления доступом к информации и убедиться в том, что только те пользователи, которым это разрешено, имеют доступ к конфиденциальной информации.

Использование матрицы доступа имеет несколько преимуществ. Во-первых, это позволяет упростить управление доступом к информации и сократить количество ошибок, связанных с несанкционированным доступом к конфиденциальной информации. Во-вторых, это повышает уровень безопасности информации в организации, так как матрица доступа позволяет контролировать доступ к информации и обеспечивать ее защиту от несанкционированного доступа. В-третьих, использование матрицы доступа помогает повысить эффективность работы организации, так как позволяет сосредоточиться на более важных задачах, не связанных с управлением доступом к информации.

Однако, необходимо отметить, что использование матрицы доступа не является панацеей для всех проблем, связанных с безопасностью информации в организации. Важно убедиться в том, что матрица доступа охватывает все критически важные данные и не допускает возможности для несанкционированного доступа к ним. Кроме того, матрица доступа должна регулярно обновляться и адаптироваться к изменяющимся условиям в организации, таким как изменения в организационной структуре, персонале или внешних условиях.

Требования регуляторов для ведения матрицы доступа в организации

Матрица доступа как неотъемлемая часть информационной безопасности тем или иным образом фигурирует в различных правовых актах многих государств мира.

Например, рекомендации о ведении учета и контроля доступа к информации прописаны в таких законодательных актах Республики Казахстан:

  • Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 “Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности”
  • Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48. Зарегистрировано в Министерстве юстиции Республики Казахстан 18 апреля 2018 года № 16772 законодательных актах Российской Федерации:

Или законодательных актах Российской Федерации:

  • Федеральный закон Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных»;
  • Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Приказ ФСТЭК России от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 11 февраля 2013 года №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

Помимо конкретных законов тех или иных государств есть описанные рекомендации в различных международных стандартах, таких как:

  • ISO 27001
    • приложение A.7 Безопасность человеческих ресурсов
    • приложение A.9 Контроль доступа
  • COBIT5
    • раздел DSS06.03 Управление ролями, ответственностью и доступом (Manage roles, responsibilities, access privileges and levels of authority)
    • раздел DSS05.04 Управление учетными записями и доступом (Manage user identity and logical access)
  • CIS v8
    • раздел 5 – Управление учетными записями (Account Management)
    • раздел 6 – Контроль доступа (Access Control)
  • ITIL
    • книга Сервисные операции (Service Operations) раздел Управление доступом (Access management)
  • NIST
    • Управление учетными записями и доступом (Identity and Access Management)

Порой ведение матрицы доступа носит не просто рекомендательный характер, но и как жестко регулируемое требование.

Проблематика управления матрицей доступа

Несмотря на существование современных средств автоматизации управления доступами (IDM системы), процесс управления матрицей доступа во многих организациях производится в ручном режиме.

Как правило, матрица доступа ведется при помощи больших и сложных файлов Excel с использованием макросов, самописных приложений (ограниченной функциональности), а в худшем случае, каждый раз восстанавливается из нормативной документации. К тому же, информация о доступах и привилегиях к системам находится у IТ подразделения или разработчиков и представляет собой несвязанные блоки информации.

Сложности при ручном управлении матрицей доступа:

  • Влияние человеческого фактора при управлении матрицей доступа
  • Невозможность разграничить доступ к редактированию матрицы
  • Трудоемкость обновления при изменениях в организационной структуре и бизнес-процессах
  • Отсутствие аудиторского следа и как следствие большая сложность проведения аудита и расследований
  • Практическая невозможность контроля за конфликтами полномочий
  • Различные правила предоставления доступа в ресурсах

IDMX Lite — Как удобная система управления матрицей доступа

Несмотря на то, что задача ведения матрицы доступа в организациях существует уже давно, специализированных систем для ее ведения очень мало.

Одной из таких систем является IDMX Lite (ранее IDMatrix). Это автоматизированное средство управления матрицей доступа к информационным ресурсам организации. Оно является PRE-IDM решением, которое используется для запуска полноценно функционирующего процесса управления учетными записями за счет формализации и автоматизации.

Одним из преимуществ «IDMX Lite» является интеграция с кадровой системой организации для поддержания актуальной информации о штатной структуре и владельцах информационных систем. Также одной из основной функции является интеграция со всеми информационными ресурсами организации для получения информации о всех доступных ролях и полномочиях для эффективного формирования уровней привилегий в этих системах.

«IDMX Lite» может быть также интегрирован с системами управления учетными записями (IDM) и выступать как эталон для проведения аудита уровня привилегий в информационных системах. Это позволяет выполнять требования внешних регуляторов по поддержанию актуальности матрицы доступа.

Таким образом главным преимуществом «IDMX Lite» является отсутствие необходимости использования сложных таблиц (xls), содержащих данные о профилях должностей и их привилегиях, что повышает эффективность процесса управления учетными записями и предоставления доступа к информационным ресурсам.

Использование данного инструмента позволяет построить эффективную систему управления матрицей доступов, а главное формализовать ее.

Выгоды для бизнеса от ведения матрицы доступа

Ведение матрицы доступа имеет ряд выгод для бизнеса. Во-первых, это позволяет организации обеспечивать безопасность своих конфиденциальных данных и предотвращать утечки информации. Это также позволяет организации соблюдать требования регуляторов и законодательства в области безопасности данных.

Во-вторых, матрица доступа может помочь повысить эффективность работы организации, ускорив процессы доступа к информации и сократив время на обработку запросов на доступ. Она также позволяет установить четкие правила и ответственность для каждого пользователя или группы пользователей, что повышает прозрачность и улучшает управление доступом к информации.

Итак, матрица доступа является важным инструментом для обеспечения безопасности информации в организации. Она позволяет организовать эффективную систему управления доступом к информации и помогает повысить эффективность работы организации. Однако, для того чтобы она была эффективной, необходимо ее правильно вести и регулярно обновлять в соответствии с изменяющимися условиями в организации.

Автор: 
Сергей Гибнер