Когда контроль рисков на основе ролей является оптимальной стратегией по обеспечению безопасности?

Томас Цан
798
1

Многие компании используют стратегию контроля доступа на основе ролей (RBAC) и разные методы в рамках этой стратегии для обеспечения безопасности данных в SAP-системе. Рисков, присущих этой стратегии, можно избежать путем внедрения стратегии контроля рисков на основе ролей (RBRC), которая позволяет присваивать полномочия на доступ к данным, не являющимся уязвимыми, широкому кругу пользователей при вводе ограничений доступа к уязвимым данным и процессам. Стратегия RBRC представляет собой сочетание стратегии RBAC и принципа обязательного контроля доступа (MAC), что позволяет разрабатывать гибкие возможности доступа для конечных пользователей.

В статье будут рассмотрены ключевые элементы стратегии RBRC. Кроме того, далее будет представлена четырехуровневая архитектура, в которой конкретные пользователи распределяются по разным уровням в соответствии с определенным объемом полномочий. Сначала познакомимся с основами стратегии RBAC и ее методами, а затем перейдем к обсуждению стратегии RBRC.

Ключевое понятие

Принципом стратегии контроля доступа на основе ролей (RBAC) является присвоение пользователям полномочий на выполнение только тех функций, которые входят в их должностные обязанности. Большинство компаний используют стратегию RBAC в целях контроля доступа к SAP-системе для пользователей. Стратегия контроля рисков на основе ролей (RBRC) добавляет элемент оценки рисков, который предполагает не только предоставление доступа согласно должностным обязанностям, но и позволяет присваивать полномочия на доступ к данным, не являющимся уязвимыми, широкому кругу пользователей. RBRC представляет собой смещение парадигмы проектирования для поощрения владельцев бизнес-процессов на совместное использование доступа к неуязвимым и частично уязвимым данным в целях сокращения расходов на администрирование при соответствующем контроле доступа к уязвимым данным и доступа на основе разделения обязанностей.

Стратегия RBAC

Основным принципом стратегии RBAC является присвоение пользователю полномочий только в том объеме, в котором это необходимо для выполнения его должностных обязанностей. Существует несколько методов RBAC, используемых разработчиками систем безопасности для создания рабочих ролей. Одним из наиболее распространенных методов RBAC является определение ролей путем группирования операций или задач, относящихся к конкретному бизнес процессу или должностной функции. Например, бизнес-процесс обработки платежей может включать следующие операции или задачи:

  • проводку входящего платежа;
  • обработку платежного требования;
  • аннулирование выставленного счета.

Вы хотели бы увидеть полную версию статьи?

Если вы являетесь подписчиком журнала SAP Professional Journal, пожалуйста, введите в правом верхнем углу логин и пароль.

Если вы хотите подписаться на журнала SAP Professional Journal, пожалуйста, обратитесь в редакцию или сделайте заказ на сайте.

Правила получения тестового доступа к статьям SAP Professional Journal

Функциональная область: Управление рисками / GRC
Комментарии:

Ольга Камалетдинова (Рейтинг: 97) 00:53, 08 июля 2010

Статья полезна безусловна. Материалов по GRC очень мало. Однако, в данном материале приведены слишком простые примеры и не совсем понятно, как данная схема будет работать на большом предприятии. Особенно на предприятии с несколькими филиалами, в каждом из которых есть свои особенности, свои исторически сложившиеся устои и принципы разделения обязанностей и, соответственно, полномочий.

Любое воспроизведение запрещено.
Копирайт © «Издательство ООО «Эксперт РП» Copyright © 2010 Wellesley Information Services. All rights reserved.