Добавление правил и политик проверки доступа

Для добавления правил и политик проверки доступа используйте раздел «Атрибутный доступ» панели навигации.

Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором раздел «Атрибутный доступ» будет доступен только администратору информационной безопасности. Формирование структуры атрибутного доступа (добавление атрибутов, редактирование политик и правил) контролируется системой и доступно администратору с привилегией «Изменение прав пользователей, раздача ролей, изменение политики», «Изменение метки безопасности и списка контроля доступа любого объекта».

Раздел основан на принципе атрибутного метода, предназначен для создания правил проверки доступа с необходимыми условиями. Система проверяет возможность выполнения определенного действия пользователя над объектом и/или сегментом данных через проверку атрибутов.

Примечание. Атрибутный метод доступен для одновременного использования с дискреционным методом.

Примечание. Добавление пользовательских атрибутов выполняется перед началом работы с разделом.

Убедитесь, что в контроле доступа установлен флажок «Использовать атрибутный доступ».

В разделе содержится структура атрибутного доступа, состоящая из иерархии элементов:

Важно. Если структура атрибутного доступа не задана, то все операции с объектами запрещены.

Для добавления набора политик:

в веб-приложении:

выделите в иерархии списка политик «Атрибутный доступ»:

нажмите кнопку «Создать» на панели инструментов;
выполните команду «Добавить набор» в открывающемся списке кнопки «Создать»;

выделите в иерархии списка существующий набор политик:

выполните команду «Добавить набор» в открывающемся списке кнопки «Создать»;

в настольном приложении:

выделите в иерархии списка политик «Атрибутный доступ»:

нажмите кнопку «Добавить»;
выполните команду «Добавить набор» в открывающемся списке кнопки «Добавить»;

выделите в иерархии списка существующий набор политик:

выполните команду «Добавить набор» в открывающемся списке кнопки «Добавить».

После выполнения одного из действий будет добавлен набор политик для выбранного элемента в иерархии списка. Задайте свойства набора политик на боковой панели «Свойства» в веб-приложении или в правой половине окна менеджера безопасности в настольном приложении.

Для добавления политики выделите в иерархии списка существующий набор политик:

в веб-приложении:

нажмите кнопку «Создать» на панели инструментов;
выполните команду «Добавить политику» в открывающемся списке кнопки «Создать»;

в настольном приложении:

нажмите кнопку «Добавить»;
выполните команду «Добавить политику» в открывающемся списке кнопки «Добавить».

После выполнения одного из действий будет добавлена политика для выбранного набора политик. Задайте свойства набора политик на боковой панели «Свойства» в веб-приложении или в правой половине окна менеджера безопасности в настольном приложении.

Для добавления правила выделите в иерархии списка существующую политику:

в веб-приложении:

нажмите кнопку «Создать» на панели инструментов;
выполните команду «Добавить правило» в открывающемся списке кнопки «Создать»;

в настольном приложении:

нажмите кнопку «Добавить»;
выполните команду «Добавить правило» в открывающемся списке кнопки «Добавить».

После выполнения одного из действий будет добавлено правило для выбранной политики. Задайте свойства набора политик на боковой панели «Свойства» в веб-приложении или в правой половине окна менеджера безопасности в настольном приложении.

Для атрибутного доступа, выбранного набора политик, политики, правила задайте свойства, определяющие доступ к объектам и/или сегментам данных, в правой половине окна менеджера безопасности в настольном приложении или на боковой панели «Свойства» в веб-приложении.

Описание свойств:

Наименование. Наименование, объединяющее по смыслу наборы политик, политики и правила;
Цель. Задает условие для дальнейшей проверки доступа действий пользователя к объекту;

Важно. Поле обязательно для заполнения при добавлении правила. При добавлении набора политик и политики цель задается в качестве фильтрации данных.

Условие. Дополнительное условие проверки доступа в виде динамически вычисляемого логического выражения. В качестве условия также задается атрибут элемента справочника НСИ для настройки прав доступа пользователя к элементу;
Эффект. Разрешение или запрет доступа по результату выполнения правила;

Примечание. Эффект срабатывает при совпадении результата вычисления логического выражения в цели и условии.

Алгоритм комбинации корневого набора/политик/правил. Раскрывающийся список алгоритмов, по которому определяется получение доступа:

Переопределение отказом. Запрет доступа, если хотя бы один из результатов вычисления вернул запрет;
Переопределение разрешением. Разрешение доступа, если хотя бы один из результатов вычисления вернул разрешение;
Применение первого доступного правила. Результат вычисления первого доступного правила в иерархии политики. Правило доступно при совпадении результата вычисления логического выражения в цели и условии;

Примечание. Если ни одно из правил недоступно, то политика не выполнится.

Применение единственного доступного правила. Результат вычисления единственного доступного правила в иерархии политики. Правило доступно при совпадении результата вычисления логического выражения в цели и условии;

Примечание. Если политика содержит несколько правил или единственное правило недоступно, то политика не выполнится.

Описание. Комментарий к формируемому набору политик, политике, правилу.

После создания политики проверки доступа в разделе будет представлена структура атрибутного доступа.

Для удобного размещения элементов атрибутного доступа в структуре используйте кнопки

«Вверх» и

«Вниз» или механизм Drag&Drop.

При необходимости удалите элементы атрибутного доступа с помощью кнопки «Удалить».