Контакты
Подписка 2025
Статьи по информационной безопасности

Доступные правила: как распределить права пользователей, чтобы это работало?

Алексей Парфентьев, 16/09/25

Подходов к настройке и распределению доступа много: дискретный, мандатный, ролевой, атрибутивный. В любом из них ИБ-специалисты сталкиваются с проблемой: “на бумаге" правила доступа выглядят хорошо, а на деле выявляются риски. Как защититься от случайных нарушений и злоупотребления правами со стороны пользователей? Поможет связка DLP+DCAP.

Автор: Алексей Парфентьев, заместитель генерального директора по инновационной деятельности "СёрчИнформ"

ris1_w-Sep-16-2025-08-37-20-5949-AM

Вкратце о проблеме

Главная задача матрицы доступа – оградить части инфраструктуры и места хранения данных от неправомерного использования. Но решить эту задачу "раз и навсегда" не получается. Во-первых, потому что компания и ее ИТ-системы, в которых распределяются права, – динамичная структура: меняются бизнес-процессы, инфраструктура, полномочия и задачи сотрудников. Чтобы разграничения не мешали бизнесу, права доступа нужно постоянно корректировать, согласовывать между системами и вносить исключения.

Во-вторых, потому что классические подходы к разграничению прав не учитывают человеческий фактор. Администраторы домена могут ошибиться при назначении пользовательских ролей или намеренно смошенничать. Пользователи с доступом могут вполне легитимно перенести данные из защищенного хранилища в открытую всем папку. Требуется постоянный контроль того, как сотрудники распоряжаются предоставленными им полномочиями.

Эти задачи можно автоматизировать дополнительными инструментами. Например, DCAP-системы возьмут на себя аудит пользовательских прав и операций. DLP усилит защиту от неправомерных действий пользователей за пределами домена и файловой системы. Но обо всем по порядку.

Возьмем задачу – актуализировать матрицу доступов – и разберемся, где при ее решении потребуется подстраховка.

Шаг 1. Сверить часы

Прежде всего нужно восстановить реальную картину, кому из действующих пользователей что доступно. И сверить идеальную матрицу, где расписано все как надо, с тем, как есть. Здесь нужна DCAP-система: в отличие от стандартных средств управления доменом, она покажет не статичную, а динамическую картину.

Например, DCAP "СёрчИнформ FileAuditor" отразит:

  • Актуальные права пользователей к локальным и сетевым ресурсам. В отдельном отчете можно просматривать сводные данные, данные за период, для всех или конкретных директорий, по всем или выбранным пользователям и группам. Можно найти всех, кому предоставлены те или иные разрешения на файл – и для кого они закрыты. Например, так удобно находить неучтенные привилегированные учетки с полным доступом ко всем ресурсам. Аудит можно уточнить, просмотрев отчеты по владельцам ресурсов или запустив поиск разногласий в наследовании прав в сложной структуре папок.
  • Операции пользователей с файлами в общих и локальных папках. Журнал подтягивается для каждого файла, его можно просмотреть за любой период. Аудит операций доступен и без привязки к конкретному объекту. Например, контроля требует любая операция удаления – система отразит все случаи, когда пользователи пытались это сделать, даже если операция была заблокирована или прервана. Аудит покажет, как сотрудники реально пользуются предоставленными им правами.
  • Невостребованные доступы: файлы и папки без операций. Специальный отчет подсвечивает все "мертвые" ресурсы в инфраструктуре, к которым никто не обращается. Его также можно настроить в разрезе по пользователям, чтобы найти открытые директории, не нужные в работе.

Кроме того, DCAP анализирует хранение данных: собирает статистику о том, что и в каком объеме хранится на ПК сотрудников и в сетевых папках. FileAuditor классифицирует файлы в хранилищах по контенту, так что ИБ-специалист различает данные, требующие защиты, и файловый "мусор" или ненужные дубликаты.

DCAP отражает жизненный цикл данных, их участие в бизнес-процессах. Таким образом ИБ-специалисту легче приблизить директивные правила доступа к потребностям компании.

Шаг 2. Навести порядок По результатам аудита ИБспециалисту нужно:

  • Исключить избыточные доступы к данным. Например, если сотрудник не обращался к открытой для него папке больше года или папка "Для руководства" по ошибке открыта стажерам кол-центра.
  • Устранить мертвые души. Например, активные учетки уволенных сотрудников.
  • Оптимизировать дисковое пространство: архивировать или удалить ползучие бэкапы и ненужные тяжелые файлы. Например, мультимедиа и игры, которые сотрудники хранят на рабочих ПК.

Выявленные проблемы хранения и распределения прав можно точечно исправить прямо в интерфейсе программы. Например, переназначить права на папку или файл. Но если требуется большая работа, лучше вести ее в контроллере домена. В этом случае DCAP подстрахует от злоупотреблений суперпользователей. FileAuditor интегрирован с Active Directory и контролирует действия администраторов по созданию учеток, выдаче прав и т.д. Можно настроить уведомления на критичные действия, чтобы ИБ-специалист вовремя узнал об ошибке и успел ее исправить.

Шаг 3. Исключить риски

Даже когда права в домене распределены должным образом, остаются уязвимости. Вот с чем это связано.

  1. Стандартные средства управления правами позволяют открыть пользователю разные виды доступа. Например, разрешить запуск и чтение файла, но запретить запись и сохранение. Но даже если доступ к файлу закрыт, оказавшись в папке, пользователь может просто перенести его в другое место – там запреты действовать не будут. Другой пример: открыв файл, который ему запрещено редактировать, пользователь спокойно скопирует его содержимое.
  2. Пользователи с легитимным доступом могут распорядиться им неправильно. Стандартные средства не предусматривают сценариев, когда сотруднику можно работать с файлом, но нельзя его "расшаривать" коллегам или отправлять за пределы компании. Поэтому для подстраховки нужны жесткие и контролируемые сценарии работы с данными. Отладить их помогают блокировки в DCAP и DLP.

DCAP "СёрчИнформ FileAuditor" опирается на контентную классификацию файлов. Поэтому блокирует доступ не к конкретным объектам в директориях, а ко всем документам с выбранным содержимым.

Кроме того, система определяет, в каких приложениях пользователи могут работать с такими файлами. Благодаря этому, например, работа с данными клиентов вне зависимости от их расположения будет доступна только пользователям из группы "Сейл-менеджеры". У всех остальных они просто не откроются. А сами "сейлы" не смогут прикрепить клиентскую базу в почте, мессенджере или отправить в облако, чтобы снизить риск утечки.

DLP и вовсе минимизирует риски. Такие системы контролируют каналы передачи информации, в том числе внутри компании. Это исключает и сливы конкурентам, и пересылку данных из "закрытой" папки коллегам без доступа. Кроме того, DLP работают там, где управление доменными правами бессильно. Например, DLP "СёрчИнформ КИБ" запретит распечатку документов, их запись на флешки и в буфер обмена. Заодно система позволяет подстраховаться от злоупотреблений внутри корпоративных хранилищ. Например, запретить запись в общие папки файлов с конфиденциальным контентом. Защитить папку на локальном ПК ото всех пользователей, кроме выбранного, – даже от администраторов с неограниченными правами. Или вовсе отключить кому-либо доступ к сетевым папкам как к внешнему устройству.

Шаг 4. Учесть потребности

Чтобы налаженная система доступов оставалась гибкой, ИБ-специалисту нужно оперативно подстраиваться под изменения в компании. Невозможно заранее предусмотреть все варианты, когда понадобится расширить права кому-либо из пользователей. Но можно облегчить работу с этими исключениями. Например, позволив сотрудникам прямо запрашивать их у ИБ, как только возникнет необходимость.

В системах "СёрчИнформ" есть интерфейс пользователя, с помощью которого сотрудники получают уведомления о действующих запретах и сработавших блокировках. Если кому-либо понадобился доступ к "закрытому" файлу, папке или устройству, он может сформировать запрос и обосновать свою потребность – например, задачей от руководства. ИБ-специалист получает запрос сразу и принимает решение: какие операции с объектом разрешить сотруднику и на какое время. Работу пользователя с предоставленными разрешениями можно проконтролировать – КИБ позволяет в реальном времени просматривать происходящее на его экране.

Это удобно, чтобы не разбираться с бесконечными исключениями в AD, а по истечении заданного периода все запреты восстановятся. При этом сотрудники смогут беспрепятственно выполнять свою работу. А если что-то пойдет не так, пока доступ предоставлен, его можно тут же отозвать.

Что в итоге?

Распределить доступы пользователей так, чтобы они раз и навсегда соответствовали идеальной матрице – идея утопическая. Однако с комбинацией инструментов – от классических средств до DLP и DCAP – можно добиться оптимального результата и соблюсти баланс между безопасностью и удобством для бизнеса.

DCAP-система поможет навести порядок в корпоративных хранилищах, обнаружить и устранить огрехи в распределении прав. DLP проконтролирует, как это работает, и застрахует от нарушений. Вместе системы сформируют сценарии безопасной работы с данными для всех сотрудников с учетом их реальных потребностей и полномочий в компании.

Попробуйте связку продуктов "СёрчИнформ" это бесплатно на 30 дней.
Темы:DLP"СёрчИнформ"DCAPЖурнал "Информационная безопасность" №3, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Внутренняя утечка, о которой может знать только DCAP
    Олег Митичкин, руководитель направления DCAP ГК InfoWatch
    Утечка все чаще начинается не с внешнего инцидента, а с внутренних изменений: доступов, которые никто не пересматривал, и файлов, оказавшихся не там, где нужно. В этом контексте DCAP – уже не просто инструмент для проверки хранилищ, а механизм, который помогает держать данные под контролем до того, как случится проблема. Это переход от точечной реакции к постоянному пониманию, где находятся риски и как с ними работать на уровне всей инфраструктуры.
  • UEBA усиливает DLP там, где правила молчат
    Лидия Виткова, к. т. н., начальник аналитического центра кибербезопасности компании “Газинформсервис"
    Что, если сотрудник уносит данные не нарушая ни одного правила? Он действует в рамках своих полномочий, не вызывает тревог в DLP и остается незамеченным – до тех пор, пока ущерб не станет необратимым. Инсайдерские угрозы эволюционируют, и классическим средствам защиты все труднее отличить норму от отклонения. Рассмотрим, как поведенческая аналитика возвращает смысл в защиту информации, усиливая DLP за счет наблюдения, контекста и раннего распознавания аномалий.
  • Геометрия DLP требует пересмотра
    Арен Торосян, руководитель продукта “Гарда DLP”
    Если ваш ландшафт СЗИ вообще, а DLP в частности, похож на лоскутное одеяло – вы не одиноки. Во многих крупных компаниях безопасность развивается не по плану, а по обстоятельствам: одно подразделение внедрило решение “для галочки”, другое – под влиянием подрядчика, третье унаследовало систему вместе с купленной дочкой. Так появляется распределенная сеть из разрозненных инсталляций, каждая из которых требует внимания, ресурсов и отдельной стратегии. В какой-то момент вся эта конструкция перестает поддаваться управлению – и становится риском сама по себе.
  • Чужое в допустимом контуре
    Сергей Вахонин, Директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)
    Инсайдерские угрозы редко становятся поводом для громких пресс-релизов, но именно они остаются наиболее устойчивыми и в то же время сложно выявляемыми источниками утечек. А с приходом удаленки, облаков и мнимой цифровой зрелости проблема и вовсе переместилась в категорию ежедневных рисков. Давайте подумаем, как подходить к инсайдерской угрозе не с позиций охоты на ведьм, а через архитектуру, анализ поведения, доверие и автоматизированный контроль. Без паранойи, но и без вредных иллюзий.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности