GoldenLine
Zaloguj się
Jarosław Żeliński

Jarosław Żeliński Analityk i
Projektant Systemów

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Na stronach http://modernanalyst.com/ pojawił się artykuł o modelowaniu bezpieczeństwa. Ogólnie autor bazuje na macierzy:

http://www.modernanalyst.com/Resources/Articles/tabid/...

Mam z takim podejście regularnie problemy (to jest te systemy mają ;)), szczególnie właśnie w systemach operujących na dokumentach. Rzecz w tym, że podstawowe zasady bezpieczeństwa informacji zalecają, by dostęp do dokumentu wynikał z wykonywanej akurat pracy a nie tylko z poziomu uprawnień danej osoby. Innymi słowy: np. urzędnik ma dostęp nie do dokumentów każdej sprawy w swoim departamencie i każdej swojej a tylko do tej, która akurat prowadzi.

Implementacja kontekstowego udostępniania jest paradoksalnie znacznie łatwiejsza niż budowanie tablic, jeżeli mam w repozytorium tysiące dokumentów i setki pracowników może to być zadanie niewykonalne.

Co Wy o tym sądzicie?
Link do wypowiedziLink
Mateusz Kurleto

Mateusz Kurleto Szukamy wybitnych
talentów do
świetnego zespołu IT
w Gdańsku

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Jarek Żeliński:
Co Wy o tym sądzicie?
Ja ostatnimi czasy wychodzę z założenia, że do obiektu dostęp ma jego właściciel i Ci, którym udostępni. To dość dobry wzorzec i chyba najkorzystniejszy jako punkt wyjścia. Dość rzadko zdarza się, żeby trzeba go było znacznie modyfikować. Najczęstszą zmianą jest wprowadzenie wzorców udostępniania - np. dokument z automaty udostępniony jest przełożonemu.
Link do wypowiedziLink
Jarosław Żeliński

Jarosław Żeliński Analityk i
Projektant Systemów

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Mateusz Kurleto:
Jarek Żeliński:
Co Wy o tym sądzicie?
Ja ostatnimi czasy wychodzę z założenia, że do obiektu dostęp ma jego właściciel i Ci, którym udostępni. To dość dobry wzorzec i chyba najkorzystniejszy jako punkt wyjścia. Dość rzadko zdarza się, żeby trzeba go było znacznie modyfikować. Najczęstszą zmianą jest wprowadzenie wzorców udostępniania - np. dokument z automaty udostępniony jest przełożonemu.

przekazanie komuś sprawy to zmiana właściciela i kontekstu dokumentów podrzędnych... rozumiem, że (aktualny) właściciel to nie koniecznie twórca :)??
Link do wypowiedziLink
Mateusz Kurleto

Mateusz Kurleto Szukamy wybitnych
talentów do
świetnego zespołu IT
w Gdańsku

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Jarek Żeliński:
Mateusz Kurleto:
Jarek Żeliński:
Co Wy o tym sądzicie?
Ja ostatnimi czasy wychodzę z założenia, że do obiektu dostęp ma jego właściciel i Ci, którym udostępni. To dość dobry wzorzec i chyba najkorzystniejszy jako punkt wyjścia. Dość rzadko zdarza się, żeby trzeba go było znacznie modyfikować. Najczęstszą zmianą jest wprowadzenie wzorców udostępniania - np. dokument z automaty udostępniony jest przełożonemu.

przekazanie komuś sprawy to zmiana właściciela i kontekstu dokumentów podrzędnych... rozumiem, że (aktualny) właściciel to nie koniecznie twórca :)??
Nie koniecznie. Mogę udostępnić dokument innemu użytkownikowi z prawami właściciela a sobie te prawa zabrać. Ale to raczej rzadki przypadek. Niemniej jednak stosujemy takie podejście od niedawna więc obserwacje mogą się zmieniać.
Link do wypowiedziLink
Jarosław Żeliński

Jarosław Żeliński Analityk i
Projektant Systemów

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

przekazanie komuś sprawy to zmiana właściciela i kontekstu dokumentów podrzędnych... rozumiem, że (aktualny) właściciel to nie koniecznie twórca :)??
Nie koniecznie. Mogę udostępnić dokument innemu użytkownikowi z prawami właściciela a sobie te prawa zabrać. Ale to raczej rzadki przypadek. Niemniej jednak stosujemy takie podejście od niedawna więc obserwacje mogą się zmieniać.

ostatnio kilka razy miałem do czynienia z problemem wycieku danych (tajemnice służbowe, dane klientów itp...) i zawsze po "naprawie" sytuacji pojawiała się zasada: skoro nie potrzebne Ci do pracy to nie masz dostępu....
Link do wypowiedziLink
Halina Krzemień

Halina Krzemień Analityk-projektant,
COIG SA

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Systemy, nad którymi pracuję operują dostępem nie tylko do funkcjonalności, ale również do zakresu danych. Zakresy można budować z różnych cech danych i przydzielać do ról, grup użytkowników lub indywidualnie.
Może w Waszym przypadku też powinny pojawić się dwa wymiary:
- 'funkcjonalny' - do obsługi spraw/dokumentów i
- 'zakresowy' - ograniczający sprawy/dokumenty przydzielone do obsługi danemu użytkownikowi
Ale chyba nie to stanowi problem...
Można wzbogacić model o wymaganie jednoznaczności zakresu spraw do obsługi - tylko jeden użytkownik może pracować nad daną sprawą np. przydzielenie sprawy/dokumentu jednemu blokuje możliwość przydzielenia innemu albo przydzielenie sprawy/dokumentu jednemu odbiera dotychczasowemu...
Można użytkownikom wypadającym z systemu automatycznie odbierać uprawnienia...
Można dokumenty pogrupować w sprawy...
albo nadać cechy dokumentom, które w automatyczny sposób jednoznacznie zostaną przydzielone użytkownikowi...
Wszystko zależy od ostatecznego celu jaki chcemy osiągnąć...
Link do wypowiedziLink
Jarosław Żeliński

Jarosław Żeliński Analityk i
Projektant Systemów

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Halina Krzemień:
Systemy, nad którymi pracuję operują dostępem nie tylko do funkcjonalności, ale również do zakresu danych.

ale mówiąc o dokumentach mowa o danych przecież...
Wszystko zależy od ostatecznego celu jaki chcemy osiągnąć...

dokładnie, to na co chciałem zwrócić uwagę to fakt, że w "biznesie" prawa te są dynamiczne, macierz praw - statyczna... i tu problem...
Link do wypowiedziLink
Halina Krzemień

Halina Krzemień Analityk-projektant,
COIG SA

Temat: Modelowanie bezpieczeństwa i dostępu do informacji

Znalazłam coś na ten temat
http://www.google.pl/url?sa=t&rct=j&q=modelowanie%20dy...
chyba...Halina Krzemień edytował(a) ten post dnia 14.06.12 o godzinie 21:39
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

SZKOLENIE EFS - SZYBKIE MOD...




Wyślij zaproszenie do
Anuluj