Как разграничить доступ к информации?
Одним из важнейших моментов обеспечения информационной безопасности в любой организации является разграничение доступа к корпоративным данным. Однако в действительности организовать его правильно, удается не всем и не всегда. В чем же заключается хитрость?
В сущности, в разграничении доступа информации хитрости никакой нет. Главным обязательным условием успеха подобного процесса является системный подход, отсутствием которого, увы, страдают многие фирмы. С чего следует начать процесс по внедрению разграничения доступа к информации в компании?
Во-первых, нужно классифицировать имеющуюся информацию. Основные критерии для классификации информации:
— степень конфиденциальности;
— важность для компании;
— время жизни (некоторые документы устаревают за год, а некоторые – за неделю);
— надобность в работе для сотрудников.
Данная классификация является практически готовой инструкцией того, кому и как ограничивать либо обеспечивать доступ к каким-либо данным, и без нее проводить дальнейший процесс по разграничению доступа информации в компании будет довольно сложно.
Некоторые организации не придают должного значения этому подготовительному этапу, объясняя это тем, что на классификацию информации уходит много времени. Сложно назвать продуктивным такой подход.
После того как имеющиеся данные классифицированы, можно определить группы пользователей и уровни доступа, которым будет принадлежать право доступа к данным на соответствующих уровнях. Следует придерживаться середины, потому как очень большое, так и очень малое количество групп и число уровней будут неэффективно работать. В случае малого количества групп и малого числа уровней разграничить доступ к информации не удастся в полной мере. В случае большого количества групп и большого числа уровней – можно просто запутаться, к какой информации и кто из сотрудников должен иметь доступ.
На следующем этапе важно все задокументировать, изложить в виде должностных инструкций и раздела политики безопасности организации. Также следует определить ответственного за разграничение доступа данных и дальнейшую классификацию новой информации. В небольшой компании эту должность можно поручить сотруднику, который руководит обеспечением информационной безопасности на предприятии. В более крупной компании новую информацию может классифицировать отдел информационной безопасности.
После того, как этап подготовки документов окончен, можно выбирать технические инструменты разграничения доступа к данным. В настоящее время разработано много специальных решений, которые легко справятся с поставленной задачей. Однако, не стоит пренебрегать и СУБД, встроенных средств ОС. Помимо этого существует и различное корпоративное программное обеспечение, например, CRM- либо ERP-система. При помощи грамотного подхода к реализации разработанных правил разделения доступа на уровне замкнутой информационной сети и индивидуальных ресурсов, которые в нее входят, можно решить задачу, довольно просто, то есть обойтись без существенных финансовых затрат непосредственно на инструменты разграничения доступа.
Все же слишком экономить на этом не стоит и лучше предоставить решение задачи специалистам службы информационной безопасности. Если они решат, что имеющегося у организации программного обеспечения недостаточно и экономически обоснованно внедрить, например, систему отслеживания передвижения сотрудников внутри офиса либо систему распознавания на основе смарт-карт, то к их заключению следует прислушаться.
Существенное значение в обеспечении разграничения доступа информации играет контролирующее программное обеспечение, такое как DLP-системы. Данная система контролирует информационные потоки внутри компании и позволяет отследить, насколько эффективно реализуются в организации, разработанные правила безопасности.
Качественно разработанная DLP-система выявит появление на рабочих компьютерах сотрудников документов, которые являются запрещенными для этой группы. Соответственно выявление подобных случаев будет означать, что в замкнутой системе информационной безопасности есть большая недоработка, которая угрожает организации утечками дорогостоящей информации. Обнаружить подобные каналы утечки информации без использования DLP-систем очень сложно, если вообще реально.
Конечно, следует предварительно подготовиться к тому, что для реализации всех описанных выше этапов потребуется немало финансов и времени, однако зато в организации будет намного ниже угроза утечки конфиденциальной информации, чем у большинства конкурентов компании. Если взять во внимание то, что средняя цена утечки информации в мире составляет свыше 5.5 миллионов долларов, это конкурентное преимущество является довольно веским доводом в пользу того, чтобы взяться за эти сложности.