Ролевая модель представления прав в системе

Тема ролевой модели представления прав в информационных системах (далее Система) наиболее актуальна при наличии нескольких ключевых аспектов:

1. Система внедрена в организации со сложной подчинённой матричной структурой (далее Организация) и управлением на основе её бизнес-процессов (далее БП).
2. В Системе несколько тысяч пользователей.
3. Система является критической для Организации и к ней предъявляются высокие требования к разграничению прав и безопасности.
4. В Системе сложная ролевая модель представления прав с высокой степенью детализации, дублями и множеством не актуальных прав.
5. Сложные отношения структурного подразделения информационных технологий с бизнес подразделениями.

Основные тезисы:

1. Матричную структуру организации можно воспроизвести в Системе за счёт использования разного типа ролей. Например:
   • Базовую официальную оргструктуру Организации можно воспроизвести с помощью ролей пользователей (индивидуальные роли сотрудников и других Систем, взаимодействующих с анализируемой Системой в рамках интеграции с возможностью «замещения») и подразделений (простые групповые роли с руководителями).
   • Проектную и функциональную фактическую структуру взаимодействия пользователей между собой и Системой можно реализовать с помощью контекстных ролей (групповые роли со сложными взаимосвязями и определением контекста использования ролей).
2. Вертикально и горизонтально агрегировать роли:
   • Вертикально агрегировать роли за счёт вложенности ролей подразделений друг в друга, а также предоставление доступа к ним ролей сотрудников.
   • Для обеспечения горизонтальной агрегации схожие по функционалу роли в разных СП заменить на контекстные роли, которые будут предоставлять права в контексте подразделений, в которые входит сотрудники.
3. Процесс предоставления прав в Системе вынести в отдельный микросервис. Интегрировать Систему и микросервис предоставления прав в ней с кадровой системой Организации для автоматизации предоставления, изменения и блокировки прав в рамках официальной оргструктуры Организации.
4. В Системе должен быть предусмотрен механизм лигирования данных о принадлежности пользователя к определённому подразделению или другому типу роли в каждой момент времени. Например, это возможно путём создания отдельной таблицы в базе данных (далее БД) Системы и в административном интерфейсе для внесения каждого изменения принадлежности пользователя к подразделениям и другим типам ролей.
5. На уровне всей Организации требуется внедрить внутренние регулятивные документы (далее ВРД), устанавливающие регламенты обеспечения существования ролевой модели представления прав в Системе, единые для всей Организации. Данные ВРД должны структурировать и формализовывать процесс предоставления прав, сдерживать Систему от появления микро-ролей и «ролевого взрыва», а также позволять оптимизировать управление рисками Организации, в том числе в области информационной безопасности.
6. В каждом структурном подразделении (далее СП) должны быть сотрудники, ответственные за взаимодействие пользователей их СП с Системой (далее Ответственные СП). Эти Ответственные СП должный быть обучены взаимодействию с ИС на достаточно высоком уровне, чтобы:
   • Обладать расширенными правами для взаимодействия со всеми объектами своего структурного подразделения внутри Системы, в том числе, разного уровня секретности, например, для служебного пользования (далее ДСП).
   • Иметь доступ к аналитике по своему СП внутри Системы.
   • Обеспечивать информационную поддержку сотрудников своего СП по взаимодействию с Системой.
7. В каждом БП должны быть ответственные сотрудники (далее Ответственные БП), которые должны обладать правами и обязанностями, аналогичными Ответственным СП, но в рамках своих БП.
8. Если Организацию и ее пользователей воспринимать, как системы, то их взаимодействие с Системой можно интерпретировать, как взаимодействие любых других систем через их интерфейсы.

---

Список использованных источников:

1. Управление доступом к информационной системе [В Интернете] / авт. Microsegment.ru // Microsegment.ru — Microsegment.ru, июль 2025 г.. — https://microsegment.ru/blog/information/system/granting-rights/managing-access/
2. Role-Based Access Control [В Интернете] / авт. David F. Ferraiolo and D. Richard Kuhn // 15th National Computer Conference — National Institute of Standards and Technology Technology Administration, 13-16 октября 1992. — 554
3. Role Based Access Control [В Интернете] / авт. csrc.nist.gov // csrc.nist.gov — csrc.nist.gov, 8 мая 2025 г. — июль 2025 г.. — https://csrc.nist.gov/projects/role-based-access-control
4. Стандарты ролевого подхода к управлению доступом [В Интернете] / авт. Денис Денисов // cleverics.ru — cleverics.ru, 25 октября 2015 — июль 2025 г.. —https://cleverics.ru/digital/2015/10/incits-rbac-standards/

информационная система информация корпоративная информационная система ролевая модель