Как в компании организовать разграничение доступа к информации?

Как в компании организовать разграничение доступа к информации?


Разграничение доступа к информации является одним из важнейших аспектов обеспечения информационной безопасности в любой компании. Но на практике организовать его так, как нужно, удается не всегда и не всем. В чем же хитрость?
На самом деле, никакой хитрости в разграничении доступа к корпоративным данным нет. Единственное непременное условие успеха подобного начинания – это системный подход, отсутствием которого, к сожалению, страдают очень многие компании. С чего же нужно начать, если вы решили разграничить доступ к информации в вашей компании?
В первую очередь, необходимо провести классификацию имеющейся у вас информации. Основными признаками для её  классификации должны служить степень её конфиденциальности и важности для организации, время её жизни (одни документы устаревают за неделю, другие – за год), необходимость в работе для тех или иных сотрудников. Фактически, эта классификация – практически готовая инструкция по тому, как и кому обеспечивать или ограничивать доступ к тем или иным сведениям, и без неё вести дальнейшую работу по внедрению разграничения доступа в организации будет очень и очень трудно.
Некоторые компании пропускают это «ненужный» подготовительный этап, мотивируя подобный шаг тем, что на классификацию данных уходит слишком много времени. Продуктивным подобный подход назвать сложно: это как если бы строители не рыли котлован  и не заливали фундамент, ссылаясь на нехватку времени. Построенный таким способом дом рухнет еще быстрее, чем был возведен.
После того, как информация классифицирована, можно определить уровни доступа и группы пользователей, которые будут иметь право доступа к информации на соответствующих уровнях. Здесь не нужно увлекаться, ведь как слишком малое, так и слишком большое количество уровней и групп будут работать неэффективно: в первом случае разграничить доступ удастся не полностью, во втором – можно просто запутаться, кто и к чему должен иметь доступ.
Далее важно всё это тщательно задокументировать, описать в виде раздела политики безопасности компании и должностных инструкций. Также необходимо определить того, кто должен отвечать за разграничение доступа и дальнейшую классификацию вновь появляющейся информации. Как правило, с последним проблем не возникает – эта роль естественным образом ложится на отдел информационной безопасности, или, в небольшой организации, просто на сотрудника, который отвечает за обеспечение информационной безопасности в компании.
После того, как подготовлены документы, можно приступать к выбору технических средств разграничения доступа к данным. Несмотря на то, что существует ряд специальных решений, не стоит забывать и о встроенных средствах операционных систем, СУБД и различных корпоративных программных продуктов, таких, к примеру, как CRMили ERP-система. С помощью грамотной реализации разработанных политик разграничения доступа на уровне корпоративной информационной сети и отдельных ресурсов, входящих в неё, можно решить проблему, что называется, «малой кровью», то есть, обойтись без заметных финансовых вложений  непосредственно в средства разграничения доступа.
Тем не менее, вдаваться в излишнюю экономию здесь тоже совсем не стоит, и лучше довериться специалистам отдела информационной безопасности. Если они  посчитают, что имеющихся в компании программных средств недостаточно, и посчитают экономически целесообразным внедрить, скажем, систему аутентификации  на основе смарт-карт, или систему контроля перемещения сотрудников внутри офиса, то к их мнению стоит прислушаться.
Немаловажную роль в обеспечении разграничения  доступа играет контролирующее ПО, такое, как DLP-системы. Контролируя информационные потоки внутри организации, DLP-система позволяет проследить, насколько эффективно реализуются в компании разработанные ею самой политики безопасности, причем это относится не только к разграничению доступа к данным, но и ко многим другим аспектам обеспечения информационной безопасности компании.
Качественная DLP-система позволит, к примеру, определить появление на рабочих станциях пользователей документов, которые не относятся к разрешенной для них категории. Соответственно, обнаружение подобных инцидентов будет означать, что где-то в корпоративной системе информационной безопасности есть солидная брешь, которая угрожает компании дорогостоящими утечками данных. Обнаружить подобные «пробоины» без применения DLP-систем весьма затруднительно, если вообще реально.
Безусловно, стоит заранее подготовиться к тому, что на реализацию всех описанных выше шагов потребуется немало времени  и финансов, но зато в вашей компании будет намного ниже риск утечки конфиденциальных данных, чем у большинства ваших конкурентов. А учитывая то, что средняя стоимость утечки в мире составляет уже $5,5 млн, это конкурентное преимущество является более чем весомым аргументом в пользу того, чтобы ввязываться во все эти сложности.
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.