Контроль та управління правом доступу вирішують завдання щодо захисту від незаконного проникнення на об'єкти та несанкціонованого використання ресурсів. Вибір моделі управління доступом — це визначальний, ключовий елемент захисту, який забезпечує необхідний рівень безпеки для організацій та інформаційних систем будь-якого призначення. Практичну дієвість зобразили чотири науково розроблених моделі та методи управління доступом, де враховані як специфіки суб'єктів, так і ступінь важливості безпеки об'єктів або ресурсів.

Моделі управління доступом поділяються на такі категорії:

  • дискреційне (виборче) управління;
  • обов'язковий (мандатний) метод управління;
  • рольова модель управління;
  • управління доступом на основі правил.

Дискреційний контроль доступу

Виборчий метод управління доступом передбачає право власника або адміністратора об'єкта визначати та контролювати всіх, хто має доступ до системи або ресурсів, ґрунтуючись на ідентифікаційну інформацію про суб'єктів (ключі доступу), допущених до контрольованої системи. Модель дискреційного доступу не представляє складності в налаштуванні та управлінні, й сумісна з більшістю програмного забезпечення та операційних систем, таких як Windows та інших. При цьому, адміністратор створює списки допущених до об'єкта та вид використання ресурсу.

Перевага дискреційного контролю доступу полягає в тому, що адміністратор може легко й швидко налаштувати дозвіл, визначаючи, хто й куди отримує доступ. При цьому, він ґрунтується на інтересах діяльності установи та режимі загальної політики безпеки організації. Недоліком є те, що занадто багато повноважень надається адміністратору списку. Це може спричинити ненавмисне надання доступу стороннім суб'єктам, які можуть порушити цілісність системи безпеки організації та розпорядитися ресурсом без відома власника.

Мандатний контроль доступу

Обов'язкове або примусове управління доступом вважається найбільш обмежувальною формою доступу, оскільки воно надає контроль та управління системою й точками доступу тільки власнику об'єкта або адміністратору системи. В обов'язковій моделі контролю доступу застосовується таке поняття, як мітка об'єкта або мандат, який визначає ступінь важливості ресурсу та присвоюється йому в момент створення. У мандатній моделі користувачам не дозволяється змінювати рівень доступу до ресурсів, перевищуючи той, який спочатку встановлений адміністратором.

Якщо потрібно підвищити рівень доступу, то створюється новий профіль з обліковими даними користувача. Адміністратору надано право змінювати налаштування тільки відповідно параметрами системи, які визначаються загальною політикою безпеки об'єкта. Обов'язковий контроль доступу доцільно використовувати на об'єктах та для організацій, де потрібна максимальна безпека й обмеження. Це такі структури як військові та урядові установи, а також корпорації, які вважають за необхідне застосовувати підвищений рівень безпеки.

Модель рольового управління доступом

Основний принцип рольової моделі передбачає розподіл функцій персоналу з урахуванням виду діяльності організації в цілому або роботи конкретного підрозділу, або при виконанні судових проектів. При використанні рольового методу немає потреби визначати тип доступу для кожного окремого користувача ресурсом. Досить встановити ступінь допуску для ролі, яку виконує користувач ресурсу відповідно до посадових обов'язків або при виконанні окремого завдання. При цьому, допуск строго визначений роллю виконуваної співробітником та не виходить за межі, визначені початковим сценарієм.

Перевага рольового методу полягає в тому, що доступом до ресурсу може користуватися кілька користувачів, які призначені на одну і ту ж роль або навпаки — один співробітник призначається на виконання декількох ролей без перегляду індивідуального рівня доступу. Однак, якщо в інтересах роботи виконавець вимагає розширити сферу допуску, передбачену роллю, то адміністратор переглядає ступінь доступу для кожного конкретного випадку. Метод рольового управління СКУД найбільш підходить для динамічних та мінливих хмарних систем управління.

Контроль та управління доступом на основі правил

Ця форма управління схожа з рольовим методом, але відрізняється тим, що власниками об'єктів та адміністратором ресурсів встановлюються чіткі правила щодо обмеження доступу до об'єкта в певний час доби або дозволяється тільки з конкретного пристрою. Крім того, дозволи до допуску можуть бути визначені кількістю попередніх спроб входу або місцем знаходження користувача. Також дозволи на доступ можуть бути визначені комбінацією встановлених правилами дій.

Ця модель відмінно підходить для управління доступом в організаціях, які мають велику кількість об'єктів з різним ступенем рівня доступу та різним регламентом роботи. Гнучкість системи безпеки на основі правил дозволяє визначати безліч комбінацій доступу в залежності від мінливого оточення.