Модель Chinese Wall — не просто метафора для разделения данных. Это принцип, формализующий защиту от неочевидных угроз, когда речь идет не о внешних злоумышленниках, а о внутренних конфликтах интересов. В динамичной рабочей среде, где один и тот же сотрудник может сталкиваться с конкурирующими проектами, простые статические политики (например, RBAC) оказываются недостаточно гибкими. Chinese Wall переводит вопрос этики в математическую плоскость управления информационными потоками: кто, к каким данным имел доступ ранее и как это влияет на его последующие права.
Откуда растёт китайская стена: конфликт интересов как источник угроз
В традиционных подходах к информационной безопасности акцент делается на защиту от внешних попыток несанкционированного доступа. Однако внутренние риски не менее существенны: сотрудник, имеющий легитимный доступ к нескольким проектам, может непреднамеренно или умышленно допустить конфликт интересов. Например, консультант, одновременно работающий с двумя конкурирующими банками, становится потенциальным каналом утечки информации из-за пересечения своих задач.
Модель Chinese Wall призвана исключить такие пересечения. Её цель — гарантировать, что ни при каких обстоятельствах знания, полученные в одном конфликтном контексте, не перенесутся в другой. Это предотвращает протекание данных между конкурентами через общего сотрудника и защищает компании-клиенты от взаимной утраты доверия.
[ИЗОБРАЖЕНИЕ: Схема, иллюстрирующая конфликт интересов: один пользователь (консультант) связан с двумя конфликтующими организациями (Банк А и Банк Б). Между банками изображена красная линия с надписью «Конфликт интересов». Показано, что прямой поток информации между Банком А и Банком Б запрещён.]
Стена, построенная на трёх китах: объекты, конфликты и история доступа
Chinese Wall основывается на трёх центральных идеях:
- Объекты — отдельные блоки данных (файлы, таблицы, документы), группируемые по принадлежности к определённой компании-клиенту.
- Классы конфликта интересов — совокупности компаний-конкурентов, внутри которых возникает риск нежелательной передачи информации. К примеру, все банки на одном рынке или все компании отрасли.
- Очищенные (санитизированные) данные — данные, которые не содержат внутренней информации компаний и могут быть доступны независимо от истории доступа пользователя (например, публичная аналитика).
Ключевая особенность модели — динамический учет истории доступа. В отличие от мандатных или ролевых моделей, здесь система отслеживает, к каким компаниям и их данным уже обращался пользователь. Последующие права доступа зависят от его прошлого выбора.
Правила управления доступом
В основе политики Chinese Wall лежат два основных правила:
- Правило простой безопасности: Пользователь может получить доступ к объекту, если:
- Объект принадлежит компании, с данными которой пользователь уже работал,
- или пользователь ранее не обращался к данным ни одной организации из того же класса конфликта интересов.
- Правило согласованности (*-свойство): Пользователь, имеющий право записи, может вносить данные только в те объекты, которые принадлежат тому же набору, что и объекты, которые он уже читал. Это исключает возможность переноса информации в конфликтующие сегменты.
Фактически, после первого доступа в рамках конкурирующего класса, дальнейшие пересечения блокируются: пользователь остается на стороне одной компании, и «дверь» конкурента для него закрыта.
[ИЗОБРАЖЕНИЕ: Диаграмма, показывающая состояние доступа пользователя. Пользователь начинает в нейтральной точке. После первого доступа к данным «Компании А» открывается доступ ко всем данным «Компании А», но доступ к данным конфликтующей «Компании Б» блокируется. Блокировка обозначена красным крестом.]
Применение в российском ИТ-контексте
Модель Chinese Wall актуальна не только для аудита или консалтинга. В российских ИТ реалиях существует ряд сценариев, где она существенно повышает уровень защиты информации:
- Разработка и тестирование ПО: Проекты для нескольких конкурирующих заказчиков требуют чёткого разведения команд, репозиториев и обсуждений. Интеграция Chinese Wall с системами контроля версий позволяет предотвратить перемешивание спецификаций и исходного кода.
- Облачные мультитенантные сервисы: Обслуживание конкурентов в рамках единой инфраструктуры создает риск для перетекания данных через поддержку или администрирование. Система должна точно фиксировать и ограничивать доступ сотрудников после первого взаимодействия с клиентом.
- Корпоративные аналитические платформы: Централизованный анализ данных дочерних обществ холдинга с конфликтом интересов невозможен без механизма, строго следящего за тем, кто с какими данными работал.
Реализация: технические аспекты
Chinese Wall задаёт принцип, а не конкретную технологию. Практическая реализация требует продуманного внедрения в механизмы контроля доступа используемых ИС, сопровождения истории сессий, и особой архитектуры ПО.
Основные сложности внедрения
- Выделение конфликтных классов: Постоянная актуализация связей между компаниями и определение классов — задача частично ручная и зависящая от бизнес-процессов.
- Гранулярность объектов: Чем мельче выбран уровень контроля (например, не целый проект, а отдельные документы), тем выше точность, но возрастает нагрузка на хранение истории и проверку разрешений.
- Производительность: Для каждого запроса необходимо анализировать историю обращений пользователя, что особенно заметно в распределённых и нагруженных системах.
- Корректное управление очищенными данными: Необходимо убедиться, что «санитизированная» информация не несёт в себе скрытых идентификаторов или метаданных, приводящих к обходу политики.
[ИЗОБРАЖЕНИЕ: Схематичная архитектура системы с Chinese Wall — репозитории данных разбиты на конфликтные классы, пользовательский доступ меняется после первого обращения, отображены слои проверки истории доступа.]
Связь с российской регуляторикой
Нормативные акты РФ (152-ФЗ, приказы ФСТЭК) прямо не предписывают внедрение модели Chinese Wall. Однако ряд требований практически подразумевают ее элементы, особенно в части особого разделения доступа, учёта действий и контроля информационных потоков.
| Принцип Chinese Wall | Аналог в регуляторике | Комментарий |
|---|---|---|
| Динамическое разделение доступа по конфликту интересов | Обязанность разграничения прав (п. 10 ст. 19 152-ФЗ), RBAC/ABAC | Chinese Wall формализует сценарии, не покрываемые статическими ролями |
| Контроль потоков информации | Предотвращение несанкционированных передач (меры DLP и внутренний контроль) | В отличие от DLP, Chinese Wall предотвращает инцидент на этапе запроса, а не по факту |
| Использование истории действий | Учёт событий безопасности (п. 6 ст. 16 152-ФЗ, аудит по ФСТЭК) | Когда аудит участвует в принятии решений об ограничениях — это приближает систему к данной модели |
Использование описанной модели в сертифицируемых информационных системах демонстрирует продвинутый уровень защиты и внимание к внутренним рискам, что может быть положительно воспринято при проверках и аудите IT-безопасности.
Ограничения и критика модели
- Уязвимость к сговору: Защита распространяется только на одиночного пользователя. Если несколько лиц в сговоре, модель не предотвращает обмен информацией вне системы.
- Интеграционные и бизнес-ограничения: Ошибочный доступ к конфликтным данным трудно аннулировать; административные процедуры по сбросу истории сложны и чреваты ошибками.
- Усложнение администрирования: Необходимость отслеживать не только технические, но и бизнес-процессы, усложняет практическое применение политики.
В реальных проектах Chinese Wall часто сочетают с ролевыми или атрибутными моделями, используя ее принципы на наиболее рисковых данных, а не во всей системе.
Выводы
Chinese Wall — строгая и концептуально зрелая модель для систем с конфликтующими интересами, особенно востребованная в ИТ, где внутренние потоки информации сложнее внешних угроз. Даже частичное внедрение её принципов существенно снижает риски утечек и юридических конфликтов, поднимая уровень зрелости безопасности и соответствия российским требованиям обработки конфиденциальных данных. Она задает пример того, как управление историей доступа становится ключевым фактором современных политик безопасности.