Уверен, что раньше этот вопрос задавали много раз. Я много дней искал в Интернете, но с каждым разом все больше и больше запутываюсь. Я читал стандарт 359-2012 и книги, но все же.
Какова на самом деле роль RBAC? Я видел много путаницы, когда люди склонны называть ролями бизнес-роль, которую может иметь пользователь, например Аналитик по безопасности или помощник по персоналу. Насколько я понимаю, это не роль. Роль - это то, что имеет смысл в системе. Например, я аналитик InfoSec, это моя бизнес-роль. Для RBAC мои роли будут назначены для каждого системного случая. Т.е. в базе данных у меня может быть роль Database_Admin, в другой системе я могу иметь роль System_User, в CRM я могу быть CRM_PowerUser, для доступа к файлам на FTP-сервере я могу выполнять роль FTP_ReadOnly. Итак, у меня есть несколько ролей, которые зависят от системы / приложения / ресурса.
Что касается бизнеса, мы можем сказать, что я аналитик InfoSec, который является сотрудником отдела безопасности, который также является обычным сотрудником. Каждый «наследует» предыдущий. Каждая из этих бизнес-ролей предоставляет доступ к системам / приложениям / ресурсам.
Подводя итог, у меня есть бизнес-функции InfoSec Analyst -> Сотрудник службы безопасности -> Обычный сотрудник, и каждая из этих бизнес-функций дает мне доступ к определенным ролям (как упоминалось выше).
Имеет ли это смысл? Я что-то не так понимаю?