Ограничивающие политики доступа – это динамические, контекстно-зависимые правила, которые строго регламентируют, кто, что, когда, где и как может делать с конкретными данными, основываясь на их классификации
Как работают Ограничивающие Политики в DCSM:
1. Классификация – Основа Всей Системы:
Данные помечаются метаданными, указывающими их уровень конфиденциальности (например, "Строго Конфиденциально", "Конфиденциально", "Для Внутреннего Использования", "Публично").
Классификация может быть ручной (пользователем/администратором) или автоматической (с помощью DLP, анализа контента).
2. Определение Политик на Основе Классификации:
Политики привязываются непосредственно к данным через их метки классификации.
Эти политики "путешествуют" вместе с данными, где бы они ни находились (локальный сервер, облако SharePoint, USB-накопитель, почтовое вложение).
3. Контроль на основе ABAC (Контоль доступа на основе атрибутов):
Политики учитывают не только кто (пользователь/роль/группа), но и:
- Где: Сетевой адрес, геолокация, доверенное ли устройство/сеть?
- Когда: Рабочее время, выходные, конкретные часы?
- На чем: Рабочий ноутбук, личный смартфон, публичный терминал?
- Как: Разрешено ли редактирование, копирование, печать, пересылка? Можно ли снять классификацию?
Эрик Шмидт (Eric Schmidt), бывший CEO Google:
«Информация должна быть доступна на основе «необходимости знать». Слишком много информации, циркулирующей свободно внутри компании, — это не признак открытости, а признак уязвимости. Секретность — это не паранойя, это дисциплина.»