Для минимизации рисков утечек ценной для компании информации необходимо контролировать права доступа сотрудников к информационным ресурсам.
Одной из первостепенных задач службы информационной безопасности является инвентаризация прав доступа сотрудников к целевым системам и файловым ресурсам. Ролевое управление доступом и использование типовых моделей доступа упрощает процесс инвентаризации.
Типовой доступ - это использование шаблонных групп, профилей, ролей в информационных системах для предоставления доступа. Например:
Рис. 1. Типовой доступ (группы, роли, профили).
При ролевом управлении доступа используются шаблоны с набором прав и полномочий, необходимых сотрудникам для выполнения своих должностных обязанностей, то есть на основании вхождения сотрудника в определенное подразделение и его принадлежность к конкретной должности ему положены определенные права к информационным ресурсам. В большинстве случаев этих прав достаточно. В качестве исключения, у сотрудника могут возникать дополнительные индивидуальные права доступа, необходимые для выполнения каких-то временных задач или поручений руководства, например участия в проекте, замещение коллеги на время отпуска и т.п.
Для обеспечения информационной безопасности компании создания или оптимизации ролевой модели, на основании которой будет производиться аудит прав доступа - недостаточно, хотя ролевое управление доступом снижает нагрузку на службы автоматизации и информационной безопасности.
Нерешенными остаются следующие проблемы:
Внедрение IDM-системы «КУБ», при котором в обязательном порядке осуществляется оптимизация ролевой модели, решает перечисленные выше задачи и позволяет сделать управление доступом и управление информационной безопасностью в целом более эффективным.
Согласно аналитическим исследованиям компании Infowatch примерно в 70% случаях утечек конфиденциальной информации виноваты собственные сотрудники. Как правило, каждый сотрудник имеет в компании не одну, а несколько ролей и очень важно при организации управления доступом обеспечить ему необходимые и достаточные права для выполнения своих обязанностей.
IDM-система является превентивной мерой предотвращения утечек информации, позволяющей управлять доступом на основе ролей, контролировать действующие права сотрудников, выстраивать матрицу доступа на основе действующей политики ИБ и мониторить все изменения целевых систем.
Задача построения эффективной системы управления информационной безопасностью сегодня актуальна не только для крупнейших государственных, промышленных и нефтяных холдингов, но и для относительно небольших организаций, имеющих высокий уровень автоматизации, работающих с персональными данными или имеющих информацию, составляющую коммерческую тайну. При выстраивании такой системы управления информационной безопасностью важно объединить организационные и программные меры в единый управляемый блок, который позволит:
Неотъемлемой частью системы управления информационной безопасностью является политика доступа к защищаемым информационным ресурсам. В целях обеспечения конфиденциальности, доступности и целостности информационных ресурсов доступ к ним должен предоставляться только авторизованным пользователям в объеме, необходимом для выполнения ими своих должностных обязанностей. Политика доступа определяет:
Целью Политики является минимизация угроз нарушения информационной безопасности, направленных на предоставление неправомерного доступа к информационным ресурсам организации, с учетом требований нормативно-правовых актов РФ в области защиты информации.
Система «КУБ» позволяет решить ряд задач, возникающих при построении системы управления информационной безопасностью: