Маршрут согласования
Узнать большеИнформационные активы компаний представляют огромную ценность для бизнеса. Зачастую содержат коммерческую тайну, персональные данные сотрудников и клиентов, финансовую отчетность, собственные разработки и многое другое. Подобная информация представляет большой интерес для конкурентов и хакеров, может быть украдена, использована против интересов компании. Большую проблему в этом вопросе представляют внутренние утечки информации, вызванные случайными или преднамеренными действиями собственного персонала. Для снижения рисков утечки важно использовать в работе компании проработанный регламент предоставления доступа к информационным ресурсам. Это позволяет организовать процесс доступа, соблюдать определенные правила в работе.
Нормативно-правовая база РФ в отношении регламентов доступа к информации
В российском законодательстве присутствует ряд нормативно-правовых актов, где затрагивается тема регламента предоставления доступа к информационным ресурсам сотрудникам компании-оператора, гражданам, другим организациям:
-
149-ФЗ от 27.07.2006. Описывает права граждан и организаций на получение информации от государственных органов, а также порядок ее ограничения (статья 8).
-
8-ФЗ от 09.02.2009. Устанавливает правила предоставления доступа к данным о деятельности госорганов. (статьи 3-21).
-
152-ФЗ от 27.07.2006. Обозначает обязанности оператора при обработке ПДн, необходимость применения защитных мер в отношении информации, ограничении доступа. (статья 19).
-
Приказ ФСТЭК России № 21 от 18.02.2014. Описывает меры по защите ПДн при работе с ними оператором, проведение процедур идентификации, аутентификации для получения доступа к данным.
Описанный выше перечень нормативных актов в отношении регламентов доступа к информации нельзя считать исчерпывающим. Как такового единого для всех стандарта в области организации доступа к информации нет. Этот вопрос затрагивают другие нормативно-правовые акты РФ, касающиеся средств обеспечения защиты данных. В частности, ПП РФ № 1119 от 01.11.2012, 98-ФЗ от 29.07.2004. В связи с этим лучше всего руководствоваться в данном вопросе максимальным числом законодательных актов.
Как владельцу компании создать регламент, организовать управление доступом?
-
Создать подробный список критически важной информации, доступ к которой должен быть ограничен. Например, ПДн клиентов, сотрудников, дополнительная информация, связанная с конфиденциальными сведениями. Чем полнее и детальнее составлен перечень, тем меньше двусмысленностей возникает в дальнейшем.
-
Изучить нормативную базу в области защиты информации. Регламент должен опираться на конкретные требования регуляторов, быть актуальным и полезным для персонала компании. При необходимости и уточнении отдельных моментов допускается создать собственные методические указания, правила в компании, объясняющие порядок получения доступа к данным.
-
Подписать с сотрудниками компании договор о неразглашении конфиденциальной информации с указанием ее точного перечня, обозначить ответственность за разглашение конфиденциальной информации.
-
Составить порядок допуска к работе с конфиденциальной информацией. В нем отражается, кто конкретно и на каких должностях допускается к работе с информацией, какие действия разрешены, какими правилами необходимо руководствоваться.
-
Разработать инструктаж, в который включены условия получения доступа к данным. В инструктаже обычно содержатся: время предоставления доступа, его условия, ситуации, связанные с отзывом прав и изменением их статуса, меры по обеспечению безопасности информации.
-
Обозначить область применения регламента. Указать конкретные процессы, объекты, субъекты информации, которые непосредственно затрагивает регламент.
-
Включить в список обязательных: процедуры идентификации, аутентификации пользователей как один из инструментов выполнения регламента.
-
Ознакомить всех сотрудников организации с регламентом под личную подпись, получить их согласие, запустить его в работу.
-
Использовать средства защиты и мониторинга информации, которые помогут контролировать исполнение регламента, обнаруживать нарушителей. Например, IDM, DLP.
Как Solar inRights помогает контролировать доступ?
Solar inRights – это решение класса IDM/IGA. С его помощью можно организовать автоматизированное управление доступом к информационным активам компании и контролировать исполнение регламентов безопасности. Solar inRights обладает всеми необходимыми функциями, которые направлены на контроль доступа к информации, гибкое управление правами пользователей, ведение мониторинга:
-
Автоматизирует управление жизненным циклом сотрудников в организации. Поддерживает этот процесс, начиная со стадии приема на работу сотрудника и заканчивая его увольнением. Снижает роль человеческого фактора и риски безопасности за счет использования готовых шаблонов прав, которые назначаются группам или отдельным пользователям в информационной системе.
-
Собирает полную статистику по действиям пользователей в информационной системе. Отмечает нарушения регламентов предоставления доступа к информационным ресурсам. Формирует детальную картину прав в отношении каждого сотрудника компании.
-
Управляет правами пользователей. Принимает, отклоняет заявки на предоставление доступа. Дополняет, меняет, блокирует права пользователей в информационной системе согласно политикам безопасности.
Использование автоматизированных инструментов управления и контроля доступом, как например, Solar inRights помогает повысить информационную безопасность, облегчить работу ИБ, ИТ-отделов компании. За счет дополнительной интеграции с другими системами возможно добиться успеха в обеспечении информационной безопасности и повысить продуктивность труда в организации.