Маршрут согласования
Узнать большеПри работе с информацией, ввиду ее огромного разнообразия и специфики, используются различные инструменты для упорядочивания и облегчения работы. Яркий пример здесь – информационные системы. С их помощью пользователи быстрее находят нужные данные, осуществляют удобную навигацию по разным разделам и взаимодействуют с её компонентами. В любой информационной системе используется какая-то модель доступа к информационным системам данных.
Что такое информационные системы данных?
Они представляют собой комплекс данных, оборудования для проведения коммуникации, программного обеспечения (ПО), и сопутствующих информационных ресурсов, которые образуют цельную систему, которая включает в себя группу компонентов:
-
Информационное обеспечение. Сюда включены подсистемы классификации, кодирования данных, схемы осуществления потоков информации, методы и подходы по созданию баз данных.
-
Техническое обеспечение. Представлено техническими средствами, которые нужны для обслуживания информационной системы.
-
Математическо-программное обеспечение. Разнообразные модели, методы, алгоритмы, необходимые для полноценного функционирования информационной системы.
-
Организационно-правовое обеспечение. Нормы, методы, средства, направленные на выполнение регламентов, политик компании персоналом при работе с информацией.
Информационные системы отличаются большим разнообразием. Они классифицируются по ряду критериев: структура, уровень автоматизации, характер использования информации и т.д.
Доступ к информационным системам данных
Для предоставления доступа к информационным ресурсам используется ряд технологий. Наиболее часто на практике применяют:
-
PKI (Public Key Infrastructure). Основывается на использовании уникальных открытых ключей. В качестве идентификаторов пользователя подходят токены, смарт-карты, сертификаты, которые выдаются удостоверяющим центром. Такой подход применяется при выполнении процедуры двухфакторной аутентификации. PKI доказала свою надежность и эффективность при использовании в банковских и биллинговых системах. Благодаря использованию криптографических методов, PKI дает высокую степень защиты корпоративных информационных систем.
-
SSO (Single sign-on). В основе лежит применение одного набора данных для делегирования доступа к разнообразным ресурсам информации. Реализуется посредством применения системы управления доступом, которая отвечает за идентификацию сотрудника во время входа в информационную систему. Для этого используются специальные сертификаты, которые подтверждают права пользователя. Такой подход к обеспечению доступа упрощает работу персонала в системе, а при необходимости и восстановлении учетной записи. Главным недостатком SSO считается высокая зависимость от единственного набора авторизационных данных. Их кража открывает киберпреступникам доступ к информационным ресурсам.
-
IdM (Identity Management). Комплексный подход к организации управления доступом, сочетающий использование систем контроля и управления доступом. IdM подразумевает централизованное управление доступом на основе ролевой модели с сохранением принципа наименьших привилегий. Также здесь используется актуальная матрица доступа для оперативного аудита прав пользователей в системе и анализа ситуации. IdM помогает автоматизировать процессы по управлению доступом, сокращает долю рутинной работы ИБ-подразделений и снижает вероятность ошибок при управлении правами. Этот подход рассматривается в качестве одного из наиболее эффективных решений.
Обеспечение безопасности доступа к информационным системам данных
Для выполнения контроля исполнения регламентов безопасности при работе с информационными ресурсами и поддержания их безопасности используется группа методов. Среди них должны присутствовать:
-
Классификация информации на категории по степени важности, уровню доступа. Данные необходимо разделить, обеспечить их раздельное хранение, контролировать доступ к особо ценным категориям информации.
-
Учет, регистрация, контроль носителей информации. Для них отводится специальное помещение, где создаются условия, препятствующие открытому доступу к данным.
-
Идентификация и аутентификация пользователей. Реализуются с помощью аппаратно-программных средств, которые проводят двухступенчатое и более определение личности пользователей, истинность предоставленных подтверждений. Помогают существенно уменьшить риски несанкционированного доступа к информации.
-
Использование разных групп средств защиты информации (СЗИ). Их задача – обеспечить мониторинг и контроль информационного периметра организации, своевременно выявлять попытки несанкционированного доступа. Здесь могут использоваться решения классов IdM/IGA, DLP.
Матрица доступа к информационной системе данных
Использование готовых моделей для управления доступом – распространенная практика. Одним из таких вариантов является матрица доступа, которая помогает регламентировать доступ к информационным ресурсам. Матрица представляет собой некий массив, где информация поделена на множество ячеек, каждая из которых соответствует объекту и субъекту информации. Совпадение пары субъект-объект определяет доступный режим доступа.
Матрица доступа заметно упрощает рутинную работу сотрудников отдела безопасности. Она упрощает обновление, расширение или отзыв прав. Использование матричных моделей оправдано для применения в тех организациях, где присутствует большое число персонала и приходится иметь дело с конфиденциальными сведениями. Матрица поможет распределить права между разными группами пользователей и исключит возникновение конфликтов полномочий.
Для повышения эффективности управления доступом к информационным системам данных в организации и его контроля все чаще используют IdM/IGA-решения. Например, Solar inRights. Данное решение использует матрицу доступа, основанную на принципах ролевой модели управления персоналом. Благодаря ему осуществляется полный и глубокий контроль всех пользователей в системе, снижаются риски безопасности, вызванные человеческим фактором, автоматизируется большая часть работы, связанной с предоставлением и контролем доступа. Тем самым повышается уровень защиты информационных активов компании и предупреждается большое количество возможных ИБ-инцидентов.