Читать книгу Антихаос. Управление данными - - Страница 43

Часть II. Объекты управления: данные как активы компании
6. Атрибуты и характеристики объектов управления
6.5. Доступ к данным – от запретов к управляемому самообслуживанию

Оглавление

Введение: "От крепости к умному городу"

Если в разделе 6.2 мы обсуждали, как построить "цифровую крепость" для защиты данных, то здесь мы поговорим о том, как организовать в этой крепости "умную систему пропусков", чтобы защищенные данные могли приносить максимальную ценность бизнесу. Безопасность без доступности – это музей, который никто не посещает. Доступность без безопасности – это рынок, где все растащат.

6.5.1. Управление доступом как операционная реализация политик безопасности

Связь с разделом 6.2: Управление доступом является практической реализацией принципов безопасности, рассмотренных в подразделе 6.2.2. Если в 6.2 мы определили ЧТО защищать, то здесь мы определяем КАК предоставлять легитимный доступ.


Определение для руководителя:

Управление доступом к данным – это операционная система, которая превращает политики безопасности (раздел 6.2) в практические правила предоставления легитимного доступа к данным для решения бизнес-задач.


Ключевое отличие от раздела 6.2:

• 6.2 Безопасность: Фокус на защите от угроз, предотвращении утечек

• 6.5 Доступ: Фокус на обеспечении легитимного использования, повышении продуктивности

6.5.2. Модели управления доступом: от теории к практике

Связь с разделом 6.2: В подразделе 6.2.4 мы рассмотрели теоретические модели доступа (RBAC, ABAC). Здесь мы покажем их практическое применение.


Практическая реализация гибридной модели RBAC + ABAC:


Новая тема: Модель Data-as-a-Service (DaaS) для доступа


Самообслуживание с контролем:

ПОРТАЛ САМООБСЛУЖИВАНИЯ →

КАТАЛОГ ДАННЫХ (поиск и discovery) →

ЗАПРОС ДОСТУПА (с обоснованием) →

АВТОМАТИЧЕСКОЕ СОГЛАСОВАНИЕ (для стандартных случаев) →

ПРЕДОСТАВЛЕНИЕ ДОСТУПА (с ограничением по времени)

6.5.3. Специфика управления доступом для разных видов данных

Связь с разделом 6.2: В подразделе 6.2.3 мы классифицировали данные по чувствительности. Здесь мы показываем, как эта классификация влияет на модели доступа.


Расширенная матрица доступа с учетом бизнес-ценности:


Новая тема: Доступ в распределенных архитектурах

Проблема: В современных распределенных архитектурах (Data Mesh, Microservices) данные физически распределены, но доступ должен быть единым.

Решение: Единый сервис авторизации:

ЦЕНТРАЛЬНЫЙ AUTHORIZATION SERVICE →

УНИФИЦИРОВАННЫЕ ПОЛИТИКИ →

РАСПРЕДЕЛЕННОЕ ВЫПОЛНЕНИЕ (в каждом домене) →

ЦЕНТРАЛИЗОВАННЫЙ АУДИТ

6.5.4. Разрешение конфликтов: практические кейсы и решения

Связь с разделом 6.2: В подразделе 6.2.5 мы рассмотрели общие принципы разрешения конфликтов. Здесь приведем конкретные практические кейсы.


Кейс 1: "Конфликт скорости и безопасности"

Ситуация: Data Science отдел требует доступ к данным клиентов для построения ML-моделей. ИБ блокирует запрос из-за рисков нарушения 152-ФЗ.

Традиционное решение (из 6.2): Компромисс через анонимизацию

Продвинутое решение (новое): Federated Learning

• Данные не покидают защищенную среду

• ML-модели "приходят" к данным

• Результат: модели без риска утечки


Кейс 2: "Конфликт гибкости и контроля"

Ситуация: Бизнес-пользователи хотят самостоятельно комбинировать данные из разных источников. ИТ опасается несанкционированного использования.


Решение: Data Products с контрактами:

DATA PRODUCT (готовый набор данных) →

SERVICE LEVEL AGREEMENT (качество, доступность) →

USAGE POLICY (разрешенные сценарии использования) →

AUTOMATED COMPLIANCE CHECK (проверка соблюдения политик)


Новая тема: Доступ в экосистемах и партнерских сетях

Проблема: Как предоставить доступ внешним партнерам без рисков для безопасности?

Решение: API-менеджмент с гранулярным доступом:

EXTERNAL PARTNER →

API GATEWAY (аутентификация) →

RATE LIMITING (ограничение нагрузки) →

DATA MASKING (сокрытие чувствительных данных) →

USAGE ANALYTICS (мониторинг использования)

6.5.5. Нормативная база: практическая реализация требований

Связь с разделом 6.2: В подразделе 6.2.5 мы рассмотрели нормативные требования. Здесь покажем их практическую реализацию в системах доступа.


Практическая реализация 152-ФЗ в системах доступа:


Новая тема: Международные стандарты доступа

GDPR Requirements Implementation:

RIGHT TO ACCESS → Self-service портал для субъектов данных

DATA PORTABILITY → Standardized API для экспорта данных

PRIVACY BY DESIGN → Access control в архитектуре систем


Сравнительная таблица требований:

6.5.6. Техническая реализация: от концепции к практике

Связь с разделом 6.2: В подразделе 6.2.6 мы рассмотрели инструменты безопасности. Здесь фокус на инструментах управления доступом.


Современный стек технологий управления доступом:

Identity and Access Management (IAM):

• Аутентификация: Azure AD, Okta, Keycloak

• Авторизация: OpenPolicy Agent, Axiomatics

• Управление жизненным циклом: SailPoint, Saviynt

Data Access Governance:

• Каталогизация: Collibra, Alation, DataHub

• Классификация: BigID, Spirion

• Мониторинг: Immuta, Privacera

Новая тема: Доступ в гибридных и иных средах

Архитектурный паттерн: "Единый контроль в распределенной среде"

CENTRAL POLICY MANAGEMENT →

Антихаос. Управление данными

Подняться наверх