Протокол безопасности TLS: что это такое и как он устроен
Узнать большеВ любой организации спустя несколько лет работы формируется и закрепляется определенная система управления. Наличие достаточного штата сотрудников, разных подразделений, а также необходимость выполнения разнообразных задач подразумевают разграничение доступа пользователей. Это важный аспект для эффективного управления людскими ресурсами и поддержания информационной безопасности в компании.
Права доступа
Количество и разнообразие киберугроз с каждым годом увеличивается. Они несут ощутимые риски для компаний, особенно когда речь идет про работу с конфиденциальными сведениями, которые не могут находиться в открытом доступе для всех. Для защиты данных от утечки и их нецелевого использования применяется разграничение прав доступа. Это подразумевает внедрение определенной системы правил и ограничений, которые регламентируют порядок получения доступа пользователями к информационной системе, и действия, разрешенные к выполнению. Среди типичных прав встречаются:
-
Чтение и просмотр ресурсов. Это права с наименьшими привилегиями, которые могут распространяться на большую часть сотрудников компании необходимые для выполнения стандартных рабочих задач.
-
Запись. Права, позволяющие пользователю вносить изменения в систему. Например, обновление статистики через рабочее приложение и сохранение результатов.
-
Исполнение. Права высокого ранга, позволяющие выполнять важные действия в системе, которые несут последствия.
Например, оплата счетов компании главным бухгалтером.
Разграничение доступа позволяет избежать многих нежелательных ситуаций, а также бесконтрольного использования привилегий. Чаще всего для управления правами используют ролевую систему с принципом наименьших привилегий пользователей.
Функции системы разграничения доступа
-
Блокировать доступ тем сотрудникам, которые не обладают правами.
-
Разрешать доступ тем сотрудникам, кто наделен соответствующими привилегиями.
-
Ведение журнала доступа к ресурсам. Сбор информации, статистики, отражающей кто, когда получал доступ, какие действия выполнял.
-
Уведомлять офицеров безопасности о попытках несанкционированного доступа к информационным ресурсам и совершенных нарушениях.
-
Препятствовать утечкам данных за счет блокировки доступа к информационным ресурсам.
-
Проведение идентификации и аутентификации пользователей в системе.
-
Контроль целостности информационной и программной частей системы разграничения доступа.
Способы разграничения прав доступа
-
Индивидуальные. Вариант, когда одному пользователю прописываются разрешения и ограничения. Хороший пример здесь – генеральный директор, у которого открыто намного больше как данных, так и веб-ресурсов, чем у рядовых пользователей низкого ранга.
-
Групповые. В этом случае права разрешены или запрещены целому отделу, где группа людей выполняет сходные рабочие задачи. Например, отдел бухгалтерии располагает правами доступа к 1C и интернету, но в то же время не имеет прав доступа для внутренних ресурсов компании, имеющих отношение к отделу продаж или маркетинга. Групповое разграничение прав доступа считается оптимальным и гибким вариантом управления, потому что позволяет задать права целой группе пользователей, объединенных решением одинаковых задач. Это экономит время и исключает рутинную работу администраторов по назначению прав каждому сотруднику индивидуально.
-
Разделение функций ИТ и ИБ. Несмотря на то, что это разные по своим функциональным задачам службы, они тесно связанны межу собой работой, цифровыми технологиями, корпоративной инфраструктурой. При этом они располагают административными правами. Для того чтобы ИТ-сотрудники не могли изменять политики безопасности, а ИБ-сотрудники не могли вносить изменения в профили сотрудников выполняют разграничение доступа администраторов. Реализуется путем создания в системе двух ролей с уникальными возможностями – ИТ-администратор и ИБ-администратор.
Основные принципы контроля доступа
-
Мониторинг и анализ всех запросов в информационной системе.
-
Ведение журнала статистики и событий, происходящих внутри системы.
-
Идентификация, аутентификация сотрудников при работе с информационными ресурсами.
-
Парольная защита доступа.
-
Оповещение офицеров безопасности о нарушениях или инцидентах.
Разграничение доступа – важная и эффективная защитная мера. Изначальное отсутствие привилегий, минимальный набор прав у пользователей многократно снижают риски информационной безопасности. В этом вопросе можно использовать Solar webProxy. Благодаря ему можно в автоматическом режиме контролировать доступ сотрудников компании веб-ресурсам, разделить профили администраторов и защитить ИТ-инфраструктуру от угроз, а также снизить риски утечки информации.