Одна из ключевых задач отделов ИБ организаций – обеспечить безопасность обрабатываемой конфиденциальной информации. Важно понимать, что опасность далеко не всегда исходит извне – угрозы часто зреют внутри компании. Например, сотрудники могут намеренно или случайно слить корпоративные сведения, изменить или удалить файлы, совершить попытку несанкционированного доступа и т. д. Свести к минимуму такие риски поможет контроль и мониторинг доступа к данным. Если служба безопасности будет знать, кто, когда и зачем взаимодействовал с информацией, станет проще предотвращать и расследовать инциденты. Обсудим, как вести мониторинг доступа данных, в чем он заключается и какие инструменты помогут организовать эффективный контроль пользователей информационных систем.

Зачем нужен мониторинг доступа к данным

Сначала разберемся, что такое мониторинг. В общем виде это наблюдение за теми или иными объектами с фиксацией всех взаимодействий с ними. В контексте этой статьи под объектами мониторинга подразумеваются информационные системы и данные, которые в них обрабатываются, а под целью мониторинга – возможность установить, соблюдают ли сотрудники компании регламенты работы с информацией и не было ли случаев несанкционированного доступа. Если в процессе наблюдения обнаруживаются нарушения, то собранные факты сыграют роль доказательств причастности персонала к инцидентам в сфере безопасности.

Без мониторинга службе безопасности будет намного сложнее контролировать сотрудников. Особенно это касается крупных компаний с многотысячным персоналом и несколькими филиалами. Однако и небольшие предприятия нуждаются в мониторинге, поскольку они тоже располагают конфиденциальными данными, утечка или несанкционированное изменение которых может привести к серьезным последствиям.

Как вести мониторинг доступа к данным

Первым делом необходимо оценить риски безопасности, чтобы определить уровень мониторинга. Обычно под наблюдение берут следующие объекты:

  • Случаи авторизованного доступа. При этом фиксируются идентификаторы пользователей, типы событий, даты и временные промежутки, программы и файлы, с которыми было взаимодействие.
  • Операции с использованием привилегированного доступа.
  • Соблюдение политик предоставления полномочий.

Основная цель мониторинга доступа к данным – протоколирование действий всех, кто взаимодействует с информацией, или конкретных привилегированных пользователей. Сотрудники службы безопасности исследуют полученную отчетность и выявляют возможные проблемы. Например, в процессе мониторинга с помощью PAM-систем (Privileged Access Management) могут быть обнаружены неудачные попытки доступа, нарушения политик безопасности, несанкционированные действия привилегированного пользователя. Ни один инцидент не останется без внимания, поскольку наблюдение ведется в режиме реального времени.

Также для мониторинга будут полезны IdM-системы. С их помощью можно в онлайн-режиме отслеживать нарушения политик предоставления полномочий. Системы фиксируют любые расхождения в правах и попытки назначать полномочия в обход IdM, то есть нарушения, которые могут привести к инцидентам ИБ.

инструмент по мониторингу доступа к данным

Использование Solar inRights для мониторинга доступа к данным

IGA-система Solar inRights – отечественная платформа для автоматизации управления правами доступа к информационным системам организации и рисками, а также контроля доступа сотрудников к конфиденциальным данным.

С помощью коннекторов Solar inRights интегрируется с целевыми системами, откуда получает информацию о пользователях и их правах, сверяет эти данные с регламентами компании и утвержденной ролевой моделью и, если выявляет какие-либо расхождения и нарушения, то мгновенно на них реагирует.

Система в режиме реального времени отслеживает любые изменения – от появления новых прав до удаления текущих полномочий конкретных сотрудников. В результате мониторинга доступа к данным она формирует выборки по нарушениям с детализацией, после чего направляет уведомления ответственным сотрудникам, которые принимают решение, как реагировать на инциденты (например, легализовать расхождения или заблокировать пользователей). Кроме того, можно задать сценарии автоматического реагирования на те или иные события.

IGA-система интегрируется с другими средствами обеспечения информационной безопасности. Например, РАМ-решениями (Privileged Access Management) для управления привилегированными учетными записями – инструментами, которые могут записывать все действия сотрудников с расширенными наборами полномочий. Такая интеграция позволяет сделать мониторинг доступа к данным более детальным и эффективным.

Заключение

Мы разобрались, зачем нужен мониторинг доступа к данным – для того, чтобы контролировать действия пользователей, допущенных к работе с конфиденциальной информацией компании. Это один из самых эффективных способов выявить нетипичное поведение сотрудников, подозрительную активность, расхождения в полномочиях. Результаты процесса обязательно протоколируются, формируются в подробные отчеты и выступают в качестве доказательной базы при выявлении инцидентов.

Мониторинг доступа к данным позволяет своевременно обнаружить несанкционированные действия с информацией и облегчить расследование инцидентов. Организовать этот процесс в компании поможет отечественная IGA-система Solar inRights для управления доступом. Решение позволяет обеспечить прозрачный контроль взаимодействий пользователей с информационной базой организации, предотвратить внутренние нарушения и облегчить работу сотрудников службы безопасности. Еще один аргумент за внедрение инструмента – возможность автоматизировать большинство операций и свести к минимуму фактическое участие сотрудников в процессах контроля доступа.