Политики доступа

Навигатор по разделу:

1. Общая информация

Раздел "Политики доступа" предназначен для создания и управления правилами, которые контролируют доступ пользователей к данным. Политика определяет:

  • Какие объекты попадают под ее действие;
  • Какие действия пользователей с этими объектами являются разрешенными или запрещенными;
  • Как система должна реагировать на нарушение политики.

Доступ к разделу осуществляется через основное меню — раздел "Политики доступа".



Рисунок — Путь к разделу "Политики доступа"

2. Список политик доступа

Чтобы просмотреть список политик доступа, перейдите в основное меню системы и выберите раздел "Политики доступа". На странице раздела слева отображается дерево каталогов.

Рисунок — Список каталогов
При выборе каталога в основной области отображаются политики доступа, входящие в него. Для каждой политики отображается следующая информация:

Таблица — Информация о политике доступа

Параметр

Описание

Название

Наименование политики

Встроенные

Признак, указывающий на происхождение политики. Значение "Да" означает, что политика является системной. Значение "Нет" означает, что политика создана администратором

Уровень риска

Оценка потенциального ущерба при нарушении данной политики. Возможные значения:
• Отсутствует — нарушение не влечет за собой существенного ущерба;
• Низкий — нарушение может привести к незначительным негативным последствиям;
• Средний — нарушение способно нанести заметный ущерб;
• Высокий — нарушение представляет серьезную угрозу безопасности, может привести к крупным потерям

Описание

Текстовое описание политики

Включена

Текущий статус политики в виде переключателя. Если переключатель активен, политика активна и контролирует доступ


Рисунок  — Список политик доступа
Для удобства работы со списком доступны фильтры по каждому из полей:

  • Фильтр по названию:

Чтобы отфильтровать список по названию политики, введите условие в поле фильтра. Доступны следующие условия: Содержит, Не содержит, Равно, Не равно, Начинается на, Не начинается на, Заканчивается на, Не заканчивается на. После добавления одного условия фильтрации можно добавить еще одно, объединив их логической связкой "Каждый" (должны соблюдаться все условия) или "Любой из" (должно соблюдаться хотя бы одно условие).

  • Фильтр по описанию:

Фильтрация по описанию работает аналогично фильтру по названию. Доступен тот же набор условий и логических связок.

  • Фильтр по источнику создания:

Чтобы отфильтровать политики по их происхождению, выберите значение "Да", чтобы отобразить только системные политики, или "Нет", чтобы показать только политики, созданные администратором.

  • Фильтр по уровню риска:

Выберите один или несколько значений уровня риска из списка: Отсутствует, Низкий, Средний, Высокий. Система автоматически отфильтрует список, отображая только политики с выбранными уровнями.

  • Фильтр по статусу активности:

Чтобы отфильтровать политики по статусу активности, выберите значение "Да", чтобы отобразить только активные политики, или "Нет", чтобы показать только отключенные.

3. Создание политики доступа

Чтобы создать новую политику, перейдите в основное меню системы и выберите раздел "Политики доступа". Откроется страница со списком политик доступа. Нажмите кнопку "Создать" в верхней части страницы и выберите "Политику". Откроется страница создания политики, состоящий из нескольких вкладок.

3.1. Вкладка "Основное"

На данной вкладке задаются общие параметры политики. Заполните следующие поля:
Таблица — Создание политики доступа

Параметр

Описание

Имя

Наименование политики доступа

Включена

Статус политики в виде переключателя. Если переключатель активен, политика активна и контролирует доступ

Уровень риска

Оценка потенциального ущерба при нарушении данной политики. Возможные значения:
• Отсутствует — нарушение не влечет за собой существенного ущерба;
• Низкий — нарушение может привести к незначительным негативным последствиям;
• Средний — нарушение способно нанести заметный ущерб;
• Высокий — нарушение представляет серьезную угрозу безопасности

Описание

Текстовое описание политики доступа


Рисунок — Вкладка "Основное"

3.2. Вкладка "Объекты доступа"

На данной вкладке определяются объекты, на которые будет распространяться действие политики. Политика будет проверять только те объекты, которые удовлетворяют заданным здесь условиям. Настройте следующие параметры:

Таблица  — Создание политики доступа

Параметр

Описание

Все объекты

Установите этот флаг, если политика должна применяться ко всем объектам во всех подключенных хранилищах. В этом случае настройка дополнительных условий на данной вкладке не требуется

Настройка условий

Логическая конструкция, определяющая срабатывание правила. Условие строится иерархически из логических групп и условий. Используется для применения политики к конкретным объектам, если флаг "Все объекты" не установлен.
Логическая группа — объединение несколько условий или групп. Для группы задается оператор:
• "И" — политика сработает, если выполнятся все условия внутри этой группы.
• "ИЛИ" — политика сработает, если выполнится хотя бы одно из условий внутри группы.
Условие — правило проверки. Состоит из трех частей:
1. Что проверять — выберите атрибут объекта для анализа из выпадающего списка. Возможные значения: Имя контейнера/объекта, Путь до контейнера/объекта, Скрытый, Дата обнаружения, Дата создания, Наименование хранилища, Наименование метки, Уровень конфиденциальности метки);
2. Оператор — выберите тип сравнения из списка. Возможные значения: Равно, Не равно, Содержит, Начинается на, Заканчивается на;
3. Значение — введите текст, ключевые слова, с которым будет сравниваться выбранный атрибут.


Рисунок — Вкладка "Объекты доступа"

3.3. Вкладка "Правила"

На данной вкладке определяются условия, при которых доступ пользователей к объектам (настроенным на вкладке "Объекты доступа") будет считаться разрешенным или запрещенным. Настройте следующие параметры:
Таблица — Создание политики доступа

Параметр

Описание

Применение правил

Определяет общий принцип, по которому система принимает итоговое решение о доступе на основе всех настроенных в политике правил. Выберите один из вариантов:
• "Запрещено, если одно из правил запрещено" — доступ блокируется, если хотя бы одно правило в политике его запрещает;
• "Разрешено, если одно из правил разрешено" — доступ разрешается, если хотя бы одно правило его явно разрешает;
• "Запрещено, если не разрешено" — доступ разрешен только если существует правило, которое его явно разрешает. Отсутствие разрешающего правила приводит к запрету;
• "Разрешено, если не запрещено" — доступ разрешен по умолчанию, если нет ни одного правила, которое его явно запрещает

Правила

После выбора применения правила добавляются конкретные правила, которые система будет оценивать в соответствии с выбранным режимом. Нажмите кнопку "Добавить правило" для создания каждого правила.
Для каждого добавляемого правила необходимо указать его суть:
• "Разрешить" — разрешает доступ, если выполняется его условие;
• "Запретить" — запрещает доступ, если выполняется его условие.
Детальное описание контекста доступа, при котором применяется выбранное действие. Строится с помощью логических групп и условий, аналогично вкладке "Объекты доступа"

3.4. Вкладка "Реакции"

На данной вкладке настраиваются действия системы, которые будут выполнены при нарушении политики доступа. Для добавления реакции выберите нужный канал уведомления из списка: Email, Syslog, Telegram, Max или Сценарий, затем нажмите кнопку "Добавить".

Рисунок — Вкладка "Реакции"

Для каждого канала открывается отдельное окно настройки. Для каналов Email, Telegram и Max это окно позволяет включить или выключить реакцию, выбрать шаблон уведомления (подробнее о создании и настройке шаблонов см. раздел "Шаблоны уведомлений") и указать получателей.


Рисунок — Вкладка "Реакции"
Для канала Syslog доступны включение/выключение и выбор логгера (подробнее о добавлении и настройке логгеров см. раздел "Логгеры").


Рисунок  — Вкладка "Реакции"
При выборе канала "Сценарий" открывается терминал для ввода пользовательского скрипта или команды, которую система выполнит в качестве реакции на нарушение. 

Подробнее о разработке сценариев см. в разделе "5.1. Разработка сценариев"


Рисунок — Вкладка "Реакции"

Можно добавить и настроить несколько реакций с разными каналами уведомления. После сохранения политики при каждом ее нарушении система выполнит включенные реакции.

3.4. Вкладка "Исключения"

Данная вкладка является информационной и предназначена для просмотра объектов, для которых действие текущей политики приостановлено. Исключения создаются вручную после анализа зафиксированных нарушений. На этапе создания или редактирования политики добавить исключение нельзя. Подробнее о добавлении исключений см. руководство пользователя, раздел "Нарушение политик".
Таблица — Создание политики доступа

Параметр

Описание

Хранилище данных

Наименование хранилища, в котором находится объект

Путь до файла/директории

Полный путь к файлу или директории

Дата исключения

Дата и время, когда исключение было добавлено

Ответственный

Пользователь, который добавил исключение

После настройки всех вкладок нажмите кнопку "Сохранить" в нижней части страницы.

4. Редактирование политики доступа

Чтобы изменить параметры политики доступа, перейдите в раздел "Политики доступа". В списке политик найдите нужную и нажмите кнопку "Редактировать" в ее строке.

Откроется страница редактирования политики доступа. Для редактирования доступны те же вкладки и поля, что и при создании. Внесите необходимые изменения в доступные поля на соответствующих вкладках и нажмите кнопку "Сохранить".

Встроенные политики недоступны для редактирования


Обсуждение