Регламент предоставления доступа к информационным ресурсам

Информационные активы компаний представляют огромную ценность для бизнеса. Зачастую содержат коммерческую тайну, персональные данные сотрудников и клиентов, финансовую отчетность, собственные разработки и многое другое. Подобная информация представляет большой интерес для конкурентов и хакеров, может быть украдена, использована против интересов компании. Большую проблему в этом вопросе представляют внутренние утечки информации, вызванные случайными или преднамеренными действиями собственного персонала. Для снижения рисков утечки важно использовать в работе компании проработанный регламент предоставления доступа к информационным ресурсам. Это позволяет организовать процесс доступа, соблюдать определенные правила в работе.

Нормативно-правовая база РФ в отношении регламентов доступа к информации

В российском законодательстве присутствует ряд нормативно-правовых актов, где затрагивается тема регламента предоставления доступа к информационным ресурсам сотрудникам компании-оператора, гражданам, другим организациям:

• 149-ФЗ от 27.07.2006. Описывает права граждан и организаций на получение информации от государственных органов, а также порядок ее ограничения (статья 8).

• 8-ФЗ от 09.02.2009. Устанавливает правила предоставления доступа к данным о деятельности госорганов. (статьи 3-21).

• 152-ФЗ от 27.07.2006. Обозначает обязанности оператора при обработке ПДн, необходимость применения защитных мер в отношении информации, ограничении доступа. (статья 19).

• Приказ ФСТЭК России № 21 от 18.02.2014. Описывает меры по защите ПДн при работе с ними оператором, проведение процедур идентификации, аутентификации для получения доступа к данным.

Описанный выше перечень нормативных актов в отношении регламентов доступа к информации нельзя считать исчерпывающим. Как такового единого для всех стандарта в области организации доступа к информации нет. Этот вопрос затрагивают другие нормативно-правовые акты РФ, касающиеся средств обеспечения защиты данных. В частности, ПП РФ № 1119 от 01.11.2012, 98-ФЗ от 29.07.2004. В связи с этим лучше всего руководствоваться в данном вопросе максимальным числом законодательных актов.

Как владельцу компании создать регламент, организовать управление доступом?

1. Создать подробный список критически важной информации, доступ к которой должен быть ограничен. Например, ПДн клиентов, сотрудников, дополнительная информация, связанная с конфиденциальными сведениями. Чем полнее и детальнее составлен перечень, тем меньше двусмысленностей возникает в дальнейшем.

2. Изучить нормативную базу в области защиты информации. Регламент должен опираться на конкретные требования регуляторов, быть актуальным и полезным для персонала компании. При необходимости и уточнении отдельных моментов допускается создать собственные методические указания, правила в компании, объясняющие порядок получения доступа к данным.

3. Подписать с сотрудниками компании договор о неразглашении конфиденциальной информации с указанием ее точного перечня, обозначить ответственность за разглашение конфиденциальной информации.

4. Составить порядок допуска к работе с конфиденциальной информацией. В нем отражается, кто конкретно и на каких должностях допускается к работе с информацией, какие действия разрешены, какими правилами необходимо руководствоваться.

5. Разработать инструктаж, в который включены условия получения доступа к данным. В инструктаже обычно содержатся: время предоставления доступа, его условия, ситуации, связанные с отзывом прав и изменением их статуса, меры по обеспечению безопасности информации.

6. Обозначить область применения регламента. Указать конкретные процессы, объекты, субъекты информации, которые непосредственно затрагивает регламент.

7. Включить в список обязательных: процедуры идентификации, аутентификации пользователей как один из инструментов выполнения регламента.

8. Ознакомить всех сотрудников организации с регламентом под личную подпись, получить их согласие, запустить его в работу.

9. Использовать средства защиты и мониторинга информации, которые помогут контролировать исполнение регламента, обнаруживать нарушителей. Например, IDM, DLP.

Как Solar inRights помогает контролировать доступ?

Solar inRights – это решение класса IDM/IGA. С его помощью можно организовать автоматизированное управление доступом к информационным активам компании и контролировать исполнение регламентов безопасности. Solar inRights обладает всеми необходимыми функциями, которые направлены на контроль доступа к информации, гибкое управление правами пользователей, ведение мониторинга:

1. Автоматизирует управление жизненным циклом сотрудников в организации. Поддерживает этот процесс, начиная со стадии приема на работу сотрудника и заканчивая его увольнением. Снижает роль человеческого фактора и риски безопасности за счет использования готовых шаблонов прав, которые назначаются группам или отдельным пользователям в информационной системе.

2. Собирает полную статистику по действиям пользователей в информационной системе. Отмечает нарушения регламентов предоставления доступа к информационным ресурсам. Формирует детальную картину прав в отношении каждого сотрудника компании.

3. Управляет правами пользователей. Принимает, отклоняет заявки на предоставление доступа. Дополняет, меняет, блокирует права пользователей в информационной системе согласно политикам безопасности.

Использование автоматизированных инструментов управления и контроля доступом, как например, Solar inRights помогает повысить информационную безопасность, облегчить работу ИБ, ИТ-отделов компании. За счет дополнительной интеграции с другими системами возможно добиться успеха в обеспечении информационной безопасности и повысить продуктивность труда в организации.