Меню

Когда контроль рисков на основе ролей является оптимальной стратегией по обеспечению безопасности?

|

В статье описывается процесс упрощения назначения пользователей посредством стратегии контроля рисков на основе ролей и четырехуровневой модели архитектуры с возможностью оценки значимости различных видов ролей.

Многие компании используют стратегию контроля доступа на основе ролей (RBAC) и разные методы в рамках этой стратегии для обеспечения безопасности данных в SAP-системе. Рисков, присущих этой стратегии, можно избежать путем внедрения стратегии контроля рисков на основе ролей (RBRC), которая позволяет присваивать полномочия на доступ к данным, не являющимся уязвимыми, широкому кругу пользователей при вводе ограничений доступа к уязвимым данным и процессам. Стратегия RBRC представляет собой сочетание стратегии RBAC и принципа обязательного контроля доступа (MAC), что позволяет разрабатывать гибкие возможности доступа для конечных пользователей.

В статье будут рассмотрены ключевые элементы стратегии RBRC. Кроме того, далее будет представлена четырехуровневая архитектура, в которой конкретные пользователи распределяются по разным уровням в соответствии с определенным объемом полномочий. Сначала познакомимся с основами стратегии RBAC и ее методами, а затем перейдем к обсуждению стратегии RBRC.

Ключевое понятие

Принципом стратегии контроля доступа на основе ролей (RBAC) является присвоение пользователям полномочий на выполнение только тех функций, которые входят в их должностные обязанности. Большинство компаний используют стратегию RBAC в целях контроля доступа к SAP-системе для пользователей. Стратегия контроля рисков на основе ролей (RBRC) добавляет элемент оценки рисков, который предполагает не только предоставление доступа согласно должностным обязанностям, но и позволяет присваивать полномочия на доступ к данным, не являющимся уязвимыми, широкому кругу пользователей. RBRC представляет собой смещение парадигмы проектирования для поощрения владельцев бизнес-процессов на совместное использование доступа к неуязвимым и частично уязвимым данным в целях сокращения расходов на администрирование при соответствующем контроле доступа к уязвимым данным и доступа на основе разделения обязанностей.

Стратегия RBAC

Основным принципом стратегии RBAC является присвоение пользователю полномочий только в том объеме, в котором это необходимо для выполнения его должностных обязанностей. Существует несколько методов RBAC, используемых разработчиками систем безопасности для создания рабочих ролей. Одним из наиболее распространенных методов RBAC является определение ролей путем группирования операций или задач, относящихся к конкретному бизнес процессу или должностной функции. Например, бизнес-процесс обработки платежей может включать следующие операции или задачи:

  • проводку входящего платежа;
  • обработку платежного требования;
  • аннулирование выставленного счета.

Оформите подписку sappro и получите полный доступ к материалам SAPPRO

У вас уже есть подписка?

Войти

Обсуждения Количество комментариев1

Комментарий от  

Ольга Камалетдинова

  |  08 июля 2010, 00:53

Статья полезна безусловна. Материалов по GRC очень мало. Однако, в данном материале приведены слишком простые примеры и не совсем понятно, как данная схема будет работать на большом предприятии. Особенно на предприятии с несколькими филиалами, в каждом из которых есть свои особенности, свои исторически сложившиеся устои и принципы разделения обязанностей и, соответственно, полномочий.