Одним из способов защиты конфиденциальной информации от нежелательного разглашения является ограничение прав доступа персонала к ценным сведениям. Настройки прав доступа осуществляет системный администратор, который использует для этого специальные программы. При этом ограничивается доступ к документам или отдельным записям, вводится запрет на осуществление некоторых действий. Такие меры позволяют снизить риск утечки данных, их похищения хакерами, способными взломать пароли пользователей и проникнуть в информационную систему.

Порядок ограничения прав пользования информацией

Сотрудникам компании, которые занимаются обработкой служебной информации, предоставляются определенные права доступа. Совокупности этих прав называют пользовательскими ролями, которые объединяются по профилям. В каждом профиле создаются отдельные группы доступа.

С информацией такого профиля, работают сотрудники, входящихе в группы с различными правами («только чтение», «просмотр и изменение» и т. д) или сразу в несколько групп.

Настройку ограничений в правах производят в следующем порядке:

1. Распределяют сведения, которыми владеет компания, по различным профилям, требующим предоставления соответствующих прав доступа;

2. По каждому профилю создают группы, получающие права доступа с конкретными ограничениями (например, с правами на просмотр финансовых отчетов, поступающих от отдельных подразделений компании); 

3. В состав групп включают менеджеров, наделенных правами определенного уровня.

4. При необходимости расширить права сотрудников, создают дополнительную группу, не меняя прежних установок. Соответственно, разрабатывают новый профиль, в список добавляют необходимые роли и ограничения в правах и возможностях доступа.

Меры по предотвращению изменения доступа 

Если пользователи по неопытности или из-за небрежности случайно изменят настройки, может произойти сбой в работе операционной системы или отдельных приложений.

Для того чтобы случайное или намеренное изменение настроек в пользовательских правах стало невозможным, принимаются следующие меры:

1. Производится блокировка доступа к драйверам монитора, сетевым программам, способам отображения папок, файлов и ярлыков на экране компьютера. Это позволяет стабилизировать работу системы и облегчить выполнение операций по обработке информации;

2. Устанавливается защита файлов, связанных с работой операционной системы или отдельных приложений, чтобы их случайно не удалили или не переместили в неизвестную директорию. Восстановление таких файлов требует времени и кропотливого труда;

3. Ограничивается время доступа к информации. Для этого устанавливается специальная программа, с помощью которой настраивается запуск определенных приложений и их доступность в определенный временной период;

4. Создаются секретные папки или диски с информацией, недоступной для посторонних. Право на их просмотр, изменение или удаление дается после введения специальных паролей;

5. Блокируется доступ к компьютеру (например, при необходимости выйти из помещения на какое-то время). Используются программные средства, предоставляющие право начать работу на компьютере после идентификации пользователя. Блокировка сохраняется даже после перезагрузки Windows;

6. С помощью блокировки ограничивается право на подключение съемных устройств-носителей (дисков, флеш-накопителей, адаптеров Wi-Fi и Bluetooth). Такие устройства могут быть источниками проникновения в компьютер вредоносных программ, стирающих или искажающими информацию. 

Характер вводимых ограничений в правах на использование носителей зависит от конкретных условий работы. Например, можно настроить право доступа «Только просмотр» с невозможностью копирования данных, а также установки любых программ с этих устройств.

Ограничение доступности информации на уровне записей и полей

При работе с документами в базе данных производятся такие действия, как:

• чтение – изучение записей, содержащихся в таблицах;
• добавление – пополнение записей без внесения изменений в существующую информацию;
• изменение – внесение поправок в имеющиеся записи и конфигурацию таблиц БД;
• удаление – выборочное устранение записей и сохранение оставшихся информационных файловых ресурсов в неизменном виде.

При ограничении права доступа на уровне записей сотрудники, параллельно работающие с одними и теми же материалами, видят отдельные поля таблицы. Они имеют права на действия, необходимые для решения конкретных задач.

Для отслеживания пользовательских операций в БД на профессиональном уровне рекомендуем использовать Database Monitor. Узнать больше.   

Типы пользователей, наделяемых правом работы с информационной базой

Пользователей БД подразделяют на следующие типы:

• Вьюер (Viewer) – ему предоставляются права на просмотр данных, необходимых для работы;
• Редактор – наделяется правами просмотра и исправления данных;
• Создатель ресурсов – имеет права не только на просмотр материалов и внесение изменений, но и на создание новых веб приложений, которыми он может делиться с другими пользователями, обладающими теми же правами;
• Издатель – может анализировать и публиковать информацию, имеет права на ее регистрацию в хранилищах, а также изменение конфигурации веб-страниц с помощью определенных тегов;
• Администратор – обладает наиболее широкими правами доступа к информации, принимает меры для защиты данных.

Программы для ограничения допуска к информации

При разработке мер по ограничению пользовательского доступа в БД используются специальные программы, например:

• Folder Guard. Позволяет скрывать отдельные элементы БД или полностью блокировать доступ в систему;
• Universal Shield. Шифрует информацию, содержащуюся в файлах, предоставляет права на «чтение», «запись», «удаление» данных и другие действия.

***

Разграничение прав сотрудников компании на пользование информацией позволяет сохранить ее конфиденциальность, предотвратить случайную утечку или похищение сведений злоумышленниками. При назначении прав на использование данных учитывается степень их важности и профиль, которому они соответствуют. Распределяются пользовательские роли и права, предусматривающие получение доступа к различным данным, необходимым для осуществления конкретных производственных операций. 

При введении ограничений в правах пользователей используются программы, позволяющие блокировать допуск в систему и не допустить случайного или намеренного изменения настроек.

06.10.2020