Уровни доступа к данным

Главная — Информационная безопасность — Защита информации — Доступ к данным — Уровни доступа к данным

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Одним из способов обеспечения информационной безопасности компании является разграничение доступа к базам данных. Информация распределяется по конкретным профилям, создаются группы, в которые входят сотрудники, наделенные определенными правами (ролями) на обработку данных. Пользователей информационной базы подразделяют на типы, обладающие различными уровнями доступа к сведениям, необходимым для решения конкретных задач.

Для разграничения прав персонала используются СУБД (системы управления базами данных), позволяющие обеспечить безопасное хранение информации и контроль за пользовательскими ролями.

Как осуществляется управление доступом к информации

С помощью СУБД осуществляется взаимодействие между сервером компании (центральным компьютером, в котором хранятся данные) и клиентами (компьютерами отдельных пользователей). Для составления запросов используется язык программирования SQL.

В процессе обработки запросов и отправки нужных сведений SQL Server использует:

программы, позволяющие предоставить пользователям нужные данные;
специальный набор команд (интерфейс), с помощью которых осуществляется взаимодействие между различными приложениями;
программы копирования, сохранения данных, фиксирования информации о внесенных изменениях.

Наиболее популярными являются реляционные СУБД (MySQL, PostgreSQL, Visual FoxPro, Access, Clarion, Ingres, Oracle), где информация сохраняется в базах данных в виде таблиц (объектов доступа). В строках и столбцах содержатся наборы элементов с определенными параметрами.

С помощью СУБД пользователям предоставляются различные привилегии (возможности работы с данными): «просматривать», «изменять», «дополнять», «удалять».

Существуют следующие варианты управления доступом:

1. Избирательное. Для каждого объекта информации составляется список пользователей, допускаемых к ее обработке;

2. Мандатное. Данные помечаются определенным грифом (например, «секретно»). Сотрудники допускаются к обработке информации с конкретными грифами;

3. Доступ на основе ролей. Пользователей объединяют в группы по ролям (набору привилегий). Такой вариант особенно удобен при наличии большого штата сотрудников.

Для отслеживания пользовательских операций в БД на профессиональном уровне рекомендуем использовать Database Monitor. Узнать больше.

Категории пользователей БД

Различают следующие типы пользователей, получающих доступ к базам:

1. Проектировщики базы данных SQL. Они создают объекты БД на основе предметного анализа информации. При этом формируют определенную бизнес-логику (набор правил и ограничений при работе с данными);

2. Администраторы данных (управляющие). Это сотрудники, которые распределяют информацию в базе данных компании по степени важности и секретности. Они определяют, какие сведения должны быть занесены в хранилище (в системную библиотеку using system), а также разрабатывают условия безопасного допуска персонала к их изучению;

3. Администраторы баз данных (АБД) – специалисты в области информационных технологий, отвечающие за реализацию решений проектировщиков и управляющих. В их обязанности входит создание СУБД, обеспечение безопасного хранения и использования информации. Этой категории сотрудников предоставляются неограниченные привилегии и право устанавливать уровень доступности данных другим пользователям. Результаты разграничения размещаются в базе данных (в системном каталоге);

4. Программисты. Это создатели программ для изучения и обработки данных, помещенных в базу. Программы разрабатываются с учетом запросов пользователей, а также требований АБД;

5. Конечные пользователи – сотрудники с различным уровнем доступности БД.

Для вхождения в базу данных пользователи должны авторизоваться с помощью пароля и логина, пройти идентификацию (по адресу электронной почты, номеру мобильного телефона). Иногда требуется аутентификация по биометрическим данным, путем ответа на секретный вопрос или набора pin-кода.

Какие существуют уровни доступности информации

Назначение уровня доступности позволяет снизить риск потери информации при обработке большим количеством пользователей. Снижается вероятность ее намеренного или случайного разглашения сотрудниками компании. Предотвращается утечка данных.

Пользователю, работающему с таблицами данных SQL, может быть предоставлен один из следующих уровней:

полная доступность таблиц и проведение любых операций;
неограниченная возможность просмотра и обработки информации конкретного типа;
ограниченный допуск персонала к определенной информации при отсутствии ограничений к пользованию другими данными;
просмотр информации без права предпринимать какие-либо действия;
чтение данной таблицы и внесение изменений в определенный тематический раздел;
просмотр конкретной записи в таблице;
изучение всей таблицы с возможностью изменения отдельных записей или столбцов;
проведение различных операций в течение ограниченного времени;
выполнение вычислений и обработки предоставленных данных без права изучения таблиц и внесения в них изменений.

В целях более полного разграничения доступа принимаются такие меры как:

ограничение на количество запросов и их содержание;
минимизация количества записей в запросах;
ведение протоколов отправки запросов и получения ответов.

Технологии взаимодействия пользователей с сервером БД

При выборе прикладных программ (Enterprise-приложений) для СУБД важную роль играет технология допуска пользователей к информации.

Существуют следующие варианты осуществления связи между пользовательскими ПК и базовым компьютером:

Локальная модель	Информационная база и СУБД расположены на одном компьютере (SQL-сервере), возможно прямое подсоединение к файлам и таблицам БД.
Сетевая модель	Данные находятся на сервере компании, а управляющие программы – на компьютерах пользователей. При поступлении запроса таблица данных полностью скачивается на компьютер клиента и обрабатывается специальной программой. Подобная модель подходит, если пользователей немного.
Технология клиент-сервер	Драйвер для составления запроса в БД находится в компьютере пользователя. А на сервере компании размещается не только база данных, но и встроенные приложения для обработки запросов с учетом допуска клиентов. При этом подключается бизнес-логика (производится сортировка, маскировка, частичное удаление данных), а также объединяются сведения из БД различных филиалов компании.

Для облегчения связи между приложениями и хранилищами информации используется программное обеспечение Data Access Layer (DAL). Данные распределяются по классам (например, «схемы с описанием таблиц», «справочники», «статистические показатели») и направляются в «контейнеры» с различной степенью доступности. Это ускоряет выдачу ответов на запросы пользователей и обработку данных.

***

Разграничение доступности данных пользователям БД позволяет избежать разглашения коммерческих сведений, важных для развития бизнеса. Для сотрудников устанавливаются различные виды допуска. Им назначаются определенные роли (привилегии) в соответствии с задачами, которые они решают при работе с данными.

Управление доступностью информации осуществляется с помощью специальных систем (СУБД), регулирующих взаимодействие между клиентами (пользователями) и базовым компьютером, в котором хранятся коммерческие данные. За установку необходимого программного обеспечения отвечает администратор БД, которому предоставляется максимальный уровень допуска к информации.

14.10.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.