5.5 Матрица контроля доступа и журналы аудита
Безопасность в производственной среде требует бдительности для предотвращения как внешних угроз, так и внутренних рисков, включая случайное повреждение данных (например, когда оператор непреднамеренно изменяет основной технологический маршрут). Принцип минимальных привилегий обеспечивает надежную защиту. Пользователю должен быть предоставлен ровно тот уровень доступа, который необходим для выполнения его конкретных функций, и не более.
Стандарт управления доступом на основе ролей (RBAC)
Заголовок раздела «Стандарт управления доступом на основе ролей (RBAC)»Рекомендуется назначать разрешения ролям, а не отдельным пользователям. Когда сотрудник меняет должность, обновляется его роль, что позволяет сохранять управляемость и подотчетность индивидуальных настроек.
Типовые производственные роли
Заголовок раздела «Типовые производственные роли»- Оператор:
- Область ответственности: HMI рабочей станции.
- Права: Вход в систему, запуск/остановка цикла, квитирование аварийных сигналов.
- Ограничение: Нет доступа к рабочему столу Windows, настройкам сети или параметрам рецептов.
- Мастер смены / Специалист ТОиР:
- Область ответственности: Производственная линия.
- Права: Обход блокировок (с регистрацией кода причины), настройка механических смещений, устранение заеданий.
- Ограничение: Не может изменять основные данные (спецификацию материалов (BOM) или технологический маршрут).
- Инженер-технолог:
- Область ответственности: Технологический процесс.
- Права: Редактирование рецептов (в режиме черновика), анализ данных, изменение времен цикла.
- Ограничение: Не может самостоятельно утверждать (выпускать) свои изменения — для этого требуется подпись ответственного за качество.
- Менеджер по качеству:
- Область ответственности: Соответствие.
- Права: Утверждение/отклонение рецептов, выпуск основных данных, управление браком (устранение несоответствий).
- Ограничение: Не может редактировать параметры настройки оборудования.
- Администратор ИТ:
- Область ответственности: Инфраструктура.
- Права: Управление учетными записями пользователей, выполнение резервного копирования, применение обновлений.
- Ограничение: Не рекомендуется предоставлять администраторам ИТ права “суперпользователя” на бизнес-данные. Администратор ИТ не должен иметь возможности утвердить бракованное изделие.
- Аудитор:
- Область ответственности: Контроль.
- Права: Глобальный доступ только для чтения.
- Ограничение: Любой доступ на запись запрещен.
Матрица доступа
Заголовок раздела «Матрица доступа»| Действие | Оператор | Тех. обслуживание / Мастер | Инженер-технолог | Менеджер по качеству | Администратор ИТ |
|---|---|---|---|---|---|
| Выполнить производственный заказ | ✅ | ✅ | ✅ | ❌ | ❌ |
| Редактировать рецепт | ❌ | ❌ | ✅ (черновик) | ❌ | ❌ |
| Утвердить рецепт | ❌ | ❌ | ❌ | ✅ | ❌ |
| Обойти блокировку | ❌ | ✅ (с записью в журнал) | ✅ (с записью в журнал) | ❌ | ❌ |
| Списать бракованную единицу | ❌ | ❌ | ❌ | ✅ | ❌ |
| Управление пользователями | ❌ | ❌ | ❌ | ❌ | ✅ |
| Просмотр отчетов | ✅ (свои) | ✅ | ✅ | ✅ | ❌ |
Жизненный цикл доступа (JML): Прием, перемещение, увольнение
Заголовок раздела «Жизненный цикл доступа (JML): Прием, перемещение, увольнение»Со временем у пользователей имеют тенденцию накапливаться избыточные разрешения. “Размывание привилегий” происходит, когда сотрудник переходит в другой отдел, сохраняя старые права доступа и одновременно получая новые. Для снижения этого риска необходимо соблюдать четкий регламент управления жизненным циклом доступа.
Прием (новый сотрудник)
Заголовок раздела «Прием (новый сотрудник)»- Триггер: Заявка из отдела кадров или тикет в службу поддержки.
- Правило: Следует копировать установленный профиль (например, “Назначить права, идентичные правам стандартного оператора”).
- Валидация: Соответствующий руководитель утверждает запрос на назначение конкретной роли.
- Соглашение об уровне обслуживания (SLA): Доступ должен быть предоставлен к первому рабочему дню.
Перемещение (смена должности)
Заголовок раздела «Перемещение (смена должности)»- Триггер: Повышение в должности или перевод в другой отдел.
- Риск: Накопление конфликтующих прав (например, оператор, ставший инженером, сохраняет возможность выполнять производственные операции).
- Логика:
- Шаг 1: Отозвать все текущие разрешения.
- Шаг 2: Полностью применить разрешения новой роли.
- Рекомендация: Следует избегать простого “добавления” новой роли поверх старой.
Увольнение
Заголовок раздела «Увольнение»- Триггер: Уведомление от отдела кадров.
- Действие: Учетную запись следует отключить как можно скорее (как в Active Directory, так и в производственной системе MES).
- Срок: Рекомендуется выполнить отзыв доступа в течение часа с момента получения уведомления.
- Передача прав: Право собственности на любые утвержденные файлы или записи должно быть передано ответственному руководителю.
Журналы аудита: Сквозное протоколирование
Заголовок раздела «Журналы аудита: Сквозное протоколирование»Каждое действие, приводящее к изменению данных, должно быть зафиксировано. Если система не может достоверно восстановить, кто изменил настройку и когда, это ведет к несоответствию требованиям.
Принцип 4W при логировании
Заголовок раздела «Принцип 4W при логировании»Для каждой операции ВСТАВКИ, ОБНОВЛЕНИЯ или УДАЛЕНИЯ система должна фиксировать:
- Кто (Who): Уникальный идентификатор пользователя (рекомендуется избегать общих учетных записей, таких как “Администратор”).
- Когда (When): Метка времени в формате UTC.
- Что (What): Конкретное поле или объект, который был изменен.
- Значение (Value): Как старое значение, так и новое значение.
Периодическая проверка доступа (регламент)
Заголовок раздела «Периодическая проверка доступа (регламент)»Периодические проверки необходимы, поскольку уровень доверия и необходимые разрешения со временем меняются.
- Периодичность: Ежеквартально (каждые 90 дней).
- Процесс:
- Отдел ИТ формирует отчет обо всех активных пользователях и их назначенных ролях.
- Руководители подразделений получают списки, относящиеся к их командам.
- Действие: Руководитель должен явно подтвердить статус каждого пользователя: “Сохранить” или “Отозвать”.
- Логика: Если руководитель не проверил список до установленного срока, система может автоматически отключить неподтвержденные учетные записи для обеспечения соблюдения политики.
Резюме: Контроль доступа и аудит
Заголовок раздела «Резюме: Контроль доступа и аудит»| Параметр | Требование | Значение | Документ |
|---|---|---|---|
| Принцип доступа | Минимальные привилегии | Доступ строго по роли (RBAC) | Стандарт RBAC |
| Жизненный цикл (JML) | Перемещение сотрудника | Полный отзыв старых прав, назначение новых | Регламент JML |
| Аудит изменений | Принцип 4W | Кто, Когда, Что, Значение (старое/новое) | Требования к журналам |
| Доступ к журналам | Неизменяемость | Только чтение, запрет удаления | Политика аудита |
| Периодичность проверок | Регламентная проверка прав | Ежеквартально | График проверок |