Контроль доступа к корпоративным данным: стратегии и технологии

Получить консультацию по Solar DAG

ФИО

Телефон

Я даю согласие на обработку персональных данных, на условия Политики по обработке персональных данных, а также на получение информационных материалов и рассылок

Каждая компания стремится обеспечить высокий уровень безопасности конфиденциальной информации, а сделать это можно только при условии организованного управления доступом к корпоративным данным и надлежащего контроля за соблюдением политик работы с информационными активами. Рассказываем, какие стратегии и принципы стоит реализовать в своей организации, с помощью каких инструментов можно контролировать доступ к чувствительным сведениям.

Основные принципы контроля доступа к корпоративным данным

Чтобы защитить информационные массивы от утечки и несанкционированных действий, необходимо разграничить доступ к корпоративным данным. При этом важно соблюдать следующие принципы:

Обеспечить доступность сведений пользователям с соответствующими полномочиями.
Реализовать принцип наименьших привилегий, чтобы избежать злоупотребления правами доступа.
Внедрить средства защиты информации и контроля доступа к данным.

Чтобы назначить сотрудникам полномочия, необходимо проанализировать все информационные массивы, которые есть в распоряжении компании. Около 80% информации является неструктурированной, а это значит, что большой объем сведений не имеет определенного формата и находится в разных хранилищах, что затрудняет их обработку. Такие данные нужно классифицировать, чтобы затем назначить права доступа к ним и контролировать все операции с ними. В этом поможет решение класса Data Access Governance – продукт Solar DAG, предназначенный для управления массивами неструктурированных данных.

принципы контроля доступа к корпоративным данным

Технологии контроля доступа к корпоративным данным

Рассмотрим, каким образом можно снижать риски несанкционированных действий с информацией и утечки чувствительных сведений.

Идентификация и аутентификация пользователей

Идентификация и аутентификация – процедуры, которые очень важны для построения комплексной и эффективной системы управления доступом. Рассмотрим понятия подробнее:

Идентификация – процесс представления пользователя информационной системе. Это происходит так: пользователь вводит предварительно назначенный идентификатор (например, имя, адрес электронной почты или номер телефона), а система проверяет, существует ли он. Если наличие идентификатора подтверждено, процедура считается успешно пройденной.
Аутентификация – процесс подтверждения личности пользователя, который подразумевает введение ключа, чаще всего пароля. Тем самым пользователь подтверждает право доступа к учетной записи. Если аутентификация многофакторная, проверка будет состоять как минимум из двух этапов: например, пользователь должен ввести пароль от учетки, затем код из электронной почты. Также возможна аутентификация с помощью токена или биологических факторов (узора вен, голоса, отпечатка пальца и т. д.).

Аутентификация считается одной из основных технологий контроля доступа к корпоративным данным, поскольку она препятствует несанкционированному использованию учетных записей. Если нужно защитить ИТ-среды с критичными ресурсами, применяется, как минимум, двухфакторная аутентификация, но чаще трехфакторная, подразумевающая владение физическими устройствами, такими как токен или специальный ключ.

Ролевой подход к назначению полномочий

Ролевой моделью называют подход, в рамках которого пользователям назначаются определенные роли, включающие фиксированные наборы полномочий. Права доступа формируются в зависимости от должностей, служебных обязанностей и текущих задач.

Преимущества ролевой модели:

Оперативное добавление или сокращение полномочий для обладателей одной роли, при этом не придется менять права для каждого сотрудника отдельно.
Назначение ролей для новых сотрудников буквально в один клик. Роли уже будут содержать полномочия, необходимые для выполнения служебных обязанностей.
Оптимизация управления доступом к корпоративным данным, предотвращение хаоса в полномочиях.
Возможность управления SOD-конфликтами – ситуациями, когда одному и тому же сотруднику назначаются несовместимые между собой полномочия.

Ролевая модель подойдет, если компания ставит в приоритет централизованное управление доступом к информационным ресурсам и корпоративным данным, прозрачное распределение ответственности. Однако следует понимать, что стопроцентную ролевую модель в крупной организации построить невозможно из-за постоянных изменений в бизнес-деятельности, которые непосредственно влияют на организационную структуру и обязанности персонала. Чтобы закрыть потребности сотрудников в необходимых правах доступа, достаточно придерживаться подхода на 80%. Недостающие привилегии в рамках отдельных задач пользователи смогут запрашивать по заявкам.

Аудит и мониторинг доступа

Для безопасности данных недостаточно просто разграничить доступ к информационным массивам – нужно постоянно контролировать пользовательские действия. Для мониторинга и проведения аудита будет полезна система Solar DAG, которая предоставляет информацию о перемещении данных и обо всех операциях с ними. Также она обнаруживает любые изменения, связанные с полномочиями, и уведомляет о них ответственных лиц, что позволяет своевременно выявлять попытки несанкционированного доступа и нарушения политик безопасности.

С помощью Solar DAG удобно осуществлять контроль доступа к корпоративным данным, поскольку система в соответствии с поставленными задачами формирует детальные отчеты. Например, в них могут быть отражены полномочия всех учетных записей, зарегистрированных в информационных системах компании.

Стратегии управления доступом к корпоративным данным

Для осуществления эффективного контроля доступа к корпоративным данным нужно создать политики доступа для конкретных пользователей или групп пользователей. В них следует включить правила, диктующие, кто и на каких основаниях может просматривать конфиденциальную информацию. Также в политиках должны быть отображены роли и обязанности персонала организации.

Чтобы защитить конфиденциальную информацию, целесообразно предоставить пользователям и учетным записям минимально достаточный для работы набор полномочий. Применение принципа наименьших привилегий позволит снизить потенциальные риски информационной безопасности и минимизировать вероятность несанкционированного использования корпоративных учетных записей.

Как реализовать принцип наименьших привилегий:

Четко определить уровень доступа обладателей тех или иных ролей к информационным системам и конкретным конфиденциальным данным.
Внедрить платформу класса Privilege Access Management (РАМ), например Solar SafeInspect, предоставляющую инструменты для управления привилегированными учетными записями с расширенными полномочиями в информационных системах, мониторинга пользовательских действий в режиме реального времени. Такое решение позволит предотвратить несанкционированное использование учетных записей и обнаружить нарушения внутренних политик безопасности.
Использовать решение Identity Governance&Administration (далее – IGA) Solar inRights, с помощью которого можно реализовать ролевую модель назначения полномочий и автоматизировать управление жизненным циклом учетных записей.
Разделить локальную сеть на контролируемые сегменты. Сегментация приведет к тому, что те или иные сотрудники будут оперировать только ресурсами из того сегмента, к которому предоставлен доступ.
Использовать многофакторную аутентификацию при входе в системы.
Предусмотреть ротацию паролей – их периодическую смену согласно заданному расписанию.

Важен комплексный подход к обеспечению соблюдения внутренних политик и осуществлению контроля доступа к корпоративным данным. Применить такой подход можно путем внедрения систем Solar DAG, Solar inRights, Solar SafeInspect и DLP-решения Solar Dozor для контроля использования информации. Эти продукты взаимно обогащают функциональность друг друга, благодаря чему формируется эффективный контур ИБ.

Практические аспекты защиты информационных активов

Первый аспект – повышение уровня осведомленности сотрудников об актуальных угрозах безопасности данных, их обучение основам кибергигиены. Можно проводить инструктажи, тренинги, семинары для всего персонала или отдельных подразделений компании. Также следует ознакомить сотрудников с мерами ответственности за нарушение политик работы с данными.

Второй аспект – внедрение многоуровневой защиты данных. Помимо инструментов для контроля доступа к корпоративным данным, необходимо использовать другие средства обеспечения безопасности, например системы предотвращения сетевых атак и утечек информации.

Третий аспект – анализ вероятных угроз безопасности данных и своевременное реагирование на нарушения. Чем раньше будут выявлены уязвимости в ИТ-инфраструктуре и проблемы избыточных полномочий, тем меньше вероятность инцидентов и глобального ущерба для предприятия.

управление доступом к корпоративным данным

ЗАКЛЮЧЕНИЕ

Контроль доступа к корпоративным данным позволяет соблюсти основные принципы работы с информацией, то есть обеспечить конфиденциальность, целостность и доступность сведений. Также он важен с точки зрения информационной безопасности, поскольку помогает снизить риски утечки и других несанкционированных действий с данными. Существует много инструментов для осуществления контроля доступа, в том числе те, что предоставляет платформа Solar DAG. Наше решение даст понимание, где хранится та или иная чувствительная информация и кто может ее использовать, позволит соблюдать политики хранения информационных массивов и контролировать изменения структуры прав доступа.