Řízení přístupu je klíčovou součástí informační bezpečnosti. Definuje procesy a technologie, které určují, kdo (subjekt) může přistupovat k čemu (objekt) a jaké operace s ním může provádět.
Aby bylo řízení přístupu efektivní, musí projít čtyřmi základními fázemi:
Identifikace: Uživatel sdělí systému, kdo je (např. zadání uživatelského jména).
Autentizace: Ověření identity uživatele (např. heslo, otisk prstu, certifikát).
Autorizace: Prověření, zda má daný uživatel právo provést požadovanou akci.
Audit (Accountability): Zaznamenávání aktivit uživatele pro pozdější kontrolu.
V praxi se setkáváme s několika standardními modely, které určují, jak jsou oprávnění přidělována:
==== 1. DAC (Discretionary Access Control) ==== Libovolné řízení přístupu. Vlastník objektu (např. souboru) má plnou kontrolu nad tím, komu k němu udělí přístup.
Výhoda: Flexibilita.
Nevýhoda: Vysoké riziko chyby uživatele a šíření malware.
==== 2. MAC (Mandatory Access Control) ==== Povinné řízení přístupu. Oprávnění určuje centrální autorita na základě bezpečnostních úrovní (např. Přísně tajné vs. Veřejné). Často se používá v armádě.
Výhoda: Maximální bezpečnost.
Nevýhoda: Náročná správa a nepružnost.
==== 3. RBAC (Role-Based Access Control) ==== Řízení přístupu na základě rolí. Přístup není přidělován jednotlivcům, ale skupinám (rolím), jako je „Účetní“, „Administrátor“ nebo „Editor“.
Výhoda: Snadná správa ve velkých organizacích.
Příklad: Nový zaměstnanec dostane roli "HR" a automaticky získá přístup ke všem složkám personálního oddělení.
==== 4. ABAC (Attribute-Based Access Control) ==== Řízení na základě atributů. Nejpokročilejší model, který rozhoduje na základě kontextu (čas, poloha, zařízení, typ dat).
Příklad: Uživatel má přístup k databázi pouze v pracovní době a pouze pokud se připojuje z firemní sítě.
Moderní systémy by měly využívat více než jen heslo. Doporučuje se Vícefaktorová autentizace (MFA), která kombinuje:
Něco, co vím: (Heslo, PIN)
Něco, co mám: (Token, mobilní telefon, čipová karta)
Něco, čím jsem: (Biometrie – otisk prstu, sken sítnice)
Princip minimálních privilegií (Least Privilege): Uživatel by měl mít pouze ta oprávnění, která nezbytně potřebuje pro svou práci, a nic navíc.
| Pravidlo | Popis | Separation of Duties | Rozdělení úkolů mezi více lidí, aby jeden člověk nemohl zneužít systém (např. jeden platbu zadá, druhý schválí). | Pravidelná revize | Kontrola oprávnění alespoň jednou za čtvrt roku. | Zánik přístupu | Okamžité odebrání přístupů při ukončení pracovního poměru. |
|---|
Související témata:
[[bezpecnost:autentizace|Autentizační metody]]
[[it:sitova_bezpecnost|Síťová bezpečnost]]
[[normy:iso27001|Norma ISO 27001]]