Для обеспечения безопасности конфиденциальной информации, имеющейся в распоряжении крупных организаций, доступ персонала к данным строго разграничивается. Нарушение правил допуска может привести к утечке, искажению или уничтожению важных сведений. Последствиями становятся потеря клиентов, разглашение оригинальных технологий, материальные убытки, репутационный ущерб.
Доступ к файлам организуется таким образом, чтобы пользователи различного ранга могли изучать и обрабатывать только те данные, которые требуются для выполнения их служебных обязанностей. Соблюдение прав доступа контролируется с помощью специальных программных средств, имеющихся в системах управления базами данных (СУБД).
Для обеспечения информационной безопасности важно принять меры физической защиты файлов, хранящихся на диске или другом носителе, а также воспользоваться методами управления доступностью баз данных.
Для ограничения доступности различных объектов информации (файлов и папок с таблицами данных) их распределяют по профилю и степени секретности. Оговаривается набор допустимых операций. Пользователи объединяются в группы, которым дается доступ к определенной информации. Такое объединение облегчает администрирование, поскольку права доступа назначаются нескольким пользователям одновременно.
«СёрчИнформ FileAuditor» позволяет провести классификацию данных в автоматизированном режиме и узнать, сколько в компании данных, содержащих конфиденциальные сведения.
В различных операционных системах (например, таких как Windows и UNIX) используется свой список разрешенных операций.
Например, в системе UNIX имеется всего три операции: read (r) – читать, write (w) – писать и execute (x) – выполнить. Это укрупненные команды для комплексных действий с файлами и каталогами данных. Пометка rwx означает, что субъекту разрешено проведение любых операций с данными, rw – чтение и внесение записей.
В системе Windows набор операций более широкий. Предусматривается чтение, запись, дополнение, поиск, выполнение, изменение и т. д.
Права доступа к различным папкам отражаются в виде матрицы, в столбцах которой размещаются признаки субъектов (например, имена пользователей), а в строках – названия папок. На пересечении указываются разрешенные операции.
У каждого объекта данных имеется «владелец» (один или несколько создателей папок с файлами), который может выполнять любые операции, предусмотренные ограничениями.
Максимальные привилегии получает администратор БД. В его обязанности входит распределение остальных сотрудников по группам допуска к информации.
Существуют следующие методы контроля доступности информации:
Право распоряжаться доступом имеет владелец объекта. Он может предоставить другим пользователям файлы, их копии или программу, с помощью которой можно получить доступ к данным. Владелец имеет право изменять команды допуска к файловым папкам или полностью запретить их изучение.
Составляется список привилегированных пользователей и действий с папками (чтение, запись). Доступ к различным папкам предоставляется после идентификации субъекта, входящего в базу данных и делающего запрос. Система отыскивает пользователя в списке и разрешает обработку информации в указанных границах.
Возможна выдача общих разрешений по умолчанию всем субъектам, имеющимся в списке, с пометкой об ограничениях для каждого из них.
У этой методики есть недостаток. Существует риск передачи информации другим пользователям без согласования с владельцем, поскольку ограничений на подобное действие в системе не предусмотрено.
В этом случае доступ к данным предоставляется по иерархии. Информация распределяется по уровням конфиденциальности. Группы пользователей с высоким рангом допускаются к более важным сведениям. Им предоставляются права пользователей, входящих во все последующие группы. По мере снижения ранга для пользователей вводится все больше ограничений по доступности папок с данными.
Изменить привилегии пользователей может только системный администратор. Случайная или намеренная передача информации при этом исключается.
Каждой папке присваивается уровень безопасности (УБ):
УБ присваивается также каждому субъекту (отражает степень доверия к нему). Доступ предоставляется с учетом соотношения уровней безопасности субъекта и объекта. Например, субъект, имеющий средний УБ, не может быть допущен к изучению информации под грифом СС.
Доступ к информации распределяется в соответствии с ролями, назначенными пользователям. Уровень доступа зависит от выполняемых ими функций (ролей).
В разных ситуациях одному и тому же пользователю может быть поручено выполнение разных функций, в соответствии с которыми предоставляются различные виды допуска.
Ему может быть назначена одна или несколько ролей. В некоторых случаях одна и та же роль назначается нескольким пользователям.
Преимущества данного метода:
Выбор методики допуска к файлам зависит от политики информационной безопасности, которой придерживается компания.
В некоторых организациях с небольшим количеством сотрудников владельцами информационных ресурсов являются конкретные пользователи, которые и отвечают за доступность и безопасность папок с данными. В такой ситуации наиболее приемлемым является метод DAC. Если количество пользователей увеличивается, то управление доступом с использованием такого метода осложняется.
В организациях с большим штатом сотрудников, где безопасность информации играет особенно важную роль, проводится централизованное управление доступностью данных, используется метод MAC. Особенно часто им пользуются на оборонных предприятиях, в режимных учреждениях.
Иногда используется сочетание этих двух методов. При этом доступ к наиболее секретной информации предоставляется руководящим работникам в порядке иерархии, а контроль за использованием менее важной информации осуществляют рядовые пользователи.
Контролировать операции пользователей с чувствительными документами можно с помощью «СёрчИнформ FileAuditor».
В крупных организациях с большим количеством подразделений разнообразного назначения все данные хранятся в системном хранилище. Осуществляется централизованное ролевое управление допуском персонала к обработке информации (учитывается не принадлежность объекта, а цели его использования). Контролируется не столько доступность информации, содержащейся в папках, сколько ее обработка, исключающая утечку и удаление данных.
Важную роль в обеспечении информационной безопасности играет установка программного обеспечения для выявления и уничтожения вирусов, внедряемых злоумышленниками. С помощью вредоносных программ хакеры шифруют важную для пользователей информацию, уничтожают таблицы и изображения.
Чтобы устранить возможность такого шифрования, в системе Windows устанавливается «контролируемый доступ к папкам» (Controlled Folder Access) с использованием антивирусной программы Windows Defender (Защитник Windows), блокирующей шифровку информации в защищенных папках и файлах. При обнаружении подобных попыток операционная система сообщает о них пользователю.
***
Для защиты важной служебной информации от случайного или намеренного искажения и уничтожения контролируется допуск персонала к конфиденциальным данным. Используются методы, позволяющие ограничить доступ пользователей к различным информационным объектам и операциям по обработке данных.
Способы ограничения доступа зависят от степени секретности информации, а также политики безопасности, проводимой в организации. Важную роль играет антивирусная защита данных и контроль работы персонала с папками и файлами.
27.10.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных