Какие существуют риски при слабой системе раздачи прав? В том случае, если доступ в программу получит пользователь, который имеет недостаточный уровень подготовки или злой умысел, он может случайно или преднамеренно исказить, или уничтожить информацию. Отсутствие продуманной модели разграничения доступа пользователей может привести к нежелательному раскрытию и распространению закрытой информации.
Разграничение доступа в корпоративных информационных системах, таких как система Олимп, является эффективным средством предупреждения возможного ущерба вследствие нарушения конфиденциальности или целостности данных. Кроме задачи защиты информации разграничение доступа решает важную задачу оптимизации рабочего пространства пользователя. Иными словами – каждый сотрудник должен работать с той информацией, которая ему необходима.
Рассмотрим структуру системы разграничения прав доступа в программном комплексе Олимп. В первую очередь рассмотрим ее ключевые элементы - субъекты доступа и объекты доступа.
Субъект доступа — это лицо, действия которого регламентируются правилами разграничения доступа. В системе Олимп субъект доступа - это пользователь. Каждому пользователю соответствует учетная запись с уникальным именем, период предоставления доступа и пароль.
Пароль может отличаться от того, который вводит пользователь при включении компьютера, а может быть синхронизирован с ним. В этом случае нет необходимости помнить два пароля, а при смене пароля входа в операционную системы Олимп «узнает» об этом автоматически.
Лицензирование системы Олимп построено на предоставлении фиксированного числа конкурентных универсальных клиентских лицензий. Это означает, что лицензионное ограничение распространяется не на количество установленных рабочих мест, а на число одновременно работающих пользователей. Для обеспечения устойчивой работы предприятия и комфортной работы ключевых сотрудников в учетной записи можно зарезервировать пользователю персональную клиентскую лицензию. Это позволит гарантировать ему вход в систему при любых условиях.
Объект доступа – это элемент информационной системы, доступ к которому регламентируется правилами разграничения доступа. В системе Олимп такими элементами могут быть функциональные или информационные объекты.
Функциональные объекты доступа называются контрольные точки. Ограничение доступа к ним позволяет разрешить или запретить пользователю выполнять те или иные действия. К таким объектам относятся пункты меню выбора модуля, режима или действия, экранные формы, элементы экранных форм: списки, кнопки, области ввода информации.
В случае отсутствия у пользователя доступа к контрольной точке типа пункт, данный пункт не отображается в меню, которое он видит. Таким образом в системе Олимп формируется индивидуальное рабочее пространство каждого сотрудника. При широкой функциональной насыщенности системы каждый пользователь видит только то, что ему необходимо, и ничего лишнего. Это не только защищает информацию, но и повышает производительность сотрудников, ускоряет процесс освоения системы новыми пользователями.
Для защиты данных система Олимп предоставляет большой набор инструментов разграничения доступа по содержанию информации. Например, пользователю можно обеспечить доступ к просмотру списка сотрудников только своего подразделения, или предоставить возможность регистрировать входящую корреспонденцию только в одном электронном журнале. Без таких инструментов не может эффективно работать многопользовательская корпоративная информационная система. Особенно это относится к системам, в которых ведутся персональные данные.
Широкий функционал системы раздачи прав пользователям неизбежно ведет к повышению трудоемкости этого процесса. Увольнение и прием новых сотрудников, внутреннее перемещение – все это вызывает необходимость выполнить настройку доступа.
Разработчики системы Олимп большое внимание уделяют созданию удобного интерфейса и сервисов для повышения комфорта работы администраторов. Перечислим основные приемы оптимизации процесса раздачи прав.
Роли пользователей. Должностные обязанности и, соответственно, действия в информационной системе определяются ролью сотрудника в организации. Иногда сотрудник исполняет несколько ролей. Например, он выступает в роли делопроизводителя и регистрирует документы, а кроме этого выступает в роли контролера исполнения поручений руководителя. Набор ролей поставляется с системой Олимп, каждая роль предусматривает набор объектов доступа с предопределенными правами.
Администратору достаточно указать перечень ролей пользователя и соответствующий комплект прав ему будет предоставлен. Это гораздо проще, чем разбираться с объектами доступа и для каждого пользователя решать, предоставлять ли ему данный объект.
Копирование системы прав. Часто новый сотрудник приходит на место ранее работавшего. По прежнему сотруднику была проведена раздача прав и определение доступа к информации. Хочется новому сотруднику обеспечить аналогичный доступ. В системе Олимп присутствует такая возможность. Можно распространить права доступа выбранного пользователя одному или нескольким новым. Таким образом, однажды настроив систему доступа пользователей дальнейшее подключение новых сотрудников занимает считанные минуты.
Обработка увольнения. При внесении информации об увольнении сотрудника доступ в систему закроется датой увольнения автоматически. Это освобождает администратора системы от необходимости контролировать процесс увольнения сотрудников и вносить дату окончания доступа в учетную запись.
В одной статье сложно описать весь арсенал средств, которые присутствуют в системе Олимп для обеспечения безопасности и конфиденциальности информации. Они развиваются и модернизируются вместе с развитием и совершенствованием системы.