«Управление доступом — это не список «галочек» для проверяющего. Это архитектура реальной безопасности данных, где каждая из 17 мер из приказа ФСТЭК — это живой элемент системы, который нужно связать в цепочку. Ошибка в одной точке, например, в выдаче прав или контроле сессии, делает бессмысленными все остальные усилия, превращая защиту в формальность.»
🔐 Управление доступом к ПДн
Система контроля и разграничения прав доступа к персональным данным.
Информационная система, обрабатывающая персональные данные, — это многоуровневая среда. Управление доступом выполняет функцию распределённой системы контроля, определяющей, какой субъект, к какому объекту, при каких условиях и с какими действиями может получить доступ. Его отсутствие равносильно хранению конфиденциальных документов в общем коридоре.
В рамках 152-ФЗ и требований ФСТЭК эта система формализует и обеспечивает соблюдение ключевого принципа — минимально необходимых привилегий. Это значит, что права доступа назначаются строго в объёме, требуемом для исполнения конкретных должностных обязанностей, и не более того.
📊 Меры управления доступом (УПД) по ФСТЭК
17 обязательных мер контроля доступа к персональным данным, распределённых по уровням защищённости.
| Мера управления доступом | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 | Приоритет |
|---|---|---|---|---|---|
| УПД.1: Управление учётными записями пользователей | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.2: Реализация методов разграничения доступа | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.3: Управление информационными потоками | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.4: Разделение полномочий (ролей) | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.5: Назначение минимально необходимых прав | ✓ | ✓ | ✓ | ✓ | Критический |
| УПД.6: Ограничение неуспешных попыток входа | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.7: Предупреждение пользователя о мерах безопасности | ✗ | ✗ | ✗ | ✗ | Низкий |
| УПД.8: Оповещение о предыдущем входе | ✗ | ✗ | ✗ | ✗ | Низкий |
| УПД.9: Ограничение параллельных сеансов | ✗ | ✗ | ✗ | ✗ | Низкий |
| УПД.10: Блокирование сеанса при бездействии | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.11: Разрешение действий до аутентификации | ✓ | ✓ | ✓ | ✓ | Средний |
| УПД.12: Поддержка атрибутов безопасности | ✗ | ✗ | ✗ | ✗ | Низкий |
| УПД.13: Защищённый удалённый доступ | ✓ | ✓ | ✓ | ✓ | Критический |
| УПД.14: Контроль беспроводного доступа | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.15: Контроль мобильных устройств | ✓ | ✓ | ✓ | ✓ | Высокий |
| УПД.16: Управление взаимодействием с внешними системами | ✓ | ✓ | ✓ | ✓ | Критический |
| УПД.17: Обеспечение доверенной загрузки | ✓ | ✓ | ✓ | ✓ | Высокий |
Ключевые и наиболее проблемные меры
УПД.5 — Назначение минимально необходимых прав (принцип least privilege): Фундаментальная мера. Её формальное исполнение — простое следование матрице доступа. Реальная же сложность — в постоянном актуализировании этих прав при изменении обязанностей сотрудников. Именно здесь чаще всего возникают «забытые» привилегии, создающие уязвимости.
УПД.13 — Защищённый удалённый доступ: Критичен для современных инфраструктур. Требует не просто настройки VPN, а комплексного подхода, включающего двухфакторную аутентификацию, сегментацию сетевого периметра и контроль конечных точек.
УПД.16 — Управление взаимодействием с внешними системами: Часто недооценивается. АПИ, интеграционные шины, доступ сторонних сервисов — всё это каналы утечки. Мера требует формализации и контроля всех подобных соединений.
Технологии для реализации
- Средства каталогов (Active Directory, FreeIPA): Централизованное управление учётными записями и группами (УПД.1).
- Ролевые модели доступа (RBAC, ABAC): Механизм для реализации УПД.2, УПД.4 и УПД.5. RBAC (Role-Based Access Control) связывает права с бизнес-ролями.
- Системы для защищённого доступа (VPN, ZTNA): Решение для УПД.13. Современный тренд — Zero Trust Network Access, проверяющий каждую транзакцию.
- MDM/UEM платформы: Управление мобильными и endpoint-устройствами для выполнения УПД.15.
- PAM-решения (Privileged Access Management): Для контроля привилегированных учётных записей, что напрямую связано с УПД.5 и УПД.10.
🎛️ Методы разграничения доступа
Дискреционный, мандатный, ролевой и атрибутный подходы — выбор модели определяет глубину контроля.
Дискреционный контроль доступа (DAC)
Владелец данных или ресурса самостоятельно назначает права другим субъектам. Гибкость оборачивается рисками: права могут быть выданы без учёта корпоративной политики безопасности, система уязвима к социальной инженерии. Типичный пример — управление разрешениями NTFS в Windows.
Мандатный контроль доступа (MAC)
Доступ жёстко определяется системой на основе меток безопасности, присвоенных как субъектам (пользователям), так и объектам (файлам, записям). Пользователь не может произвольно изменить эти метки. Обеспечивает высокий уровень изоляции, но сложен в администрировании и часто избыточен для коммерческих организаций. Используется в системах, обрабатывающих гостайну, и реализован, например, в SELinux/AppArmor.
Ролевой контроль доступа (RBAC)
Права доступа назначаются не пользователям, а ролям. Пользователь получает права, будучи включённым в одну или несколько ролей (например, «Бухгалтер расчётного отдела», «Менеджер по продажам»). Эта модель лучше всего ложится на организационную структуру компании и является де-факто стандартом для бизнес-приложений и ИСПДн.
Контроль доступа на основе атрибутов (ABAC)
Более динамичная и детализированная модель. Решение о доступе принимается на основе множества атрибутов: кто запрашивает (роль, отдел), к чему (категория данных, метка конфиденциальности), в какое время, с какого устройства и т.д. Позволяет реализовать сложные политики, но требует развитой инфраструктуры (PEP, PDP, PIP) и часто используется в гибридной связке с RBAC.
Архитектура безопасности через управление доступом
Система управления доступом — это каркас безопасности всей ИСПДн. Рассмотренные 17 мер ФСТЭК — не разрозненный список, а взаимосвязанные контуры защиты.
Управление учётными записями (УПД.1) — это база. Назначение минимальных прав (УПД.5) через ролевую модель (УПД.2/4) формирует внутреннюю структуру. Контроль сессий (УПД.6, УПД.10) и защита периметра (УПД.13, УПД.14, УПД.16) обеспечивают безопасность взаимодействия.
Провал в любом из этих контуров, особенно в критичных мерах, создаёт брешь, через которую могут быть скомпрометированы персональные данные, несмотря на формальное выполнение всех остальных требований. Реализация УПД — это проектирование и поддержание целостной системы, где технические меры подкрепляются организационными процедурами, такими как регулярный пересмотр прав и аудит логов доступа.