Безопасность персональных данных и конфиденциальной информации обеспечивается предоставлением пользователям разных прав доступа к ним. Аудит доступа – это совокупность действий, правил и внутренних регламентов, обеспечивающих контроль за безопасностью информации при помощи регистрации в журналах учета любых событий, связанных с действиями пользователей в ИС: чтение, копирование, изменение файлов, содержащих ПД.
Порядок осуществления аудита доступа
Превентивные меры защиты доступа к файлам и папкам оказываются лучшим решением в ситуации, когда защита информации зависит от собранности пользователей, их понимания того, что действия не только протоколируются, но и могут стать доказательством в вопросах привлечения к ответственности, иногда перерастающей из дисциплинарной в уголовную.
Рассматривая аудит доступа как процесс, его можно разделить на три этапа:
- разработка параметров и правил аудита;
- утверждение и внедрение политик аудита;
- ведение журнала безопасности и учета действий пользователей (в электронном виде, в рамках операционной системы или специальной программы).
Параметры или конфигурация – это технические настройки информационной системы. Они призваны обеспечить техническое прохождение аудита, определяя параметры и объем изучения. В настройках указывается, какие именно действия пользователей при работе с папками и файлами протоколируются.
Они позволяют вести поиск в гигантском объеме фиксируемых событий и определяют технические моменты:
- планируют временной регламент аудита;
- определяют параметры ведения журнала, размер файлов, в которых ведется учет действий пользователей;
- устанавливают местонахождение сведений о доступе к данным в папках и каталогах системы;
- определяют параметры реакции системы на выявление ошибок или инцидентов информационной безопасности.
Политика аудита доступа – нормативно-распорядительный документ компании, носящий стратегический характер. В его основе лежит общий подход к политике безопасности в компании.
Среди частных вопросов в документе прописаны:
- перечень регистрируемых событий, призванный выделить только важные действия и не создавать проблем с нехваткой дискового пространства для хранения данных аудита доступа;
- общий объем хранящейся информации, каталоги и папки ее хранения, период хранения и регламент уничтожения.
Журнал учета сохраняет все данные об операциях с папками и файлами, содержащими конфиденциальную информацию. Его параметры требуют тонкой настройки, чтобы информация не была избыточной.
Среди регистрируемых событий учитываются:
- удаление файла или папки;
- переименование;
- копирование информации;
- вход в систему или выход из нее;
- запуск программы;
- чтение документов, вывод информации на экран или на печать.
Контролировать операции пользователей с чувствительными документами можно с помощью «СёрчИнформ FileAuditor».
Аудит доступа на примере Windows
Штатные модели аудита данных реализуются в рамках Windows. Первым шагом становится настройка встроенных локальных или групповых политик безопасности. Политика аудита расположена в разделе «Параметры безопасности» в директории «Локальные политики», ее нужно настроить исходя из позиции руководства компании.
При настройке аудита доступа к объектам в журнале учета будет появляться отметка «успех», если действие совершено и завершено успешно, или «отказ», если прав пользователя на совершение операции недостаточно.
Контролировать можно действия различных субъектов:
- отдельных пользователей;
- назначенных групп пользователей (сотрудников подразделения или субъектов с равными правами доступа);
- встроенного субъекта безопасности, например, отдельной учетной записи.
Можно выбрать отдельных лиц, чьи действия контролируются, можно выбрать эту операцию для всех пользователей. Далее настраиваются объекты, от принятых в компании политик безопасности зависит, будут ли это папки, подкаталоги, файлы или все перечисленное, включая отдельные события.
События для Windows делятся на подгруппы, классифицируемые по уровню риска:
- критические;
- предупреждения;
- подробности;
- ошибки;
- сведения.
Мониторинг и аудит доступа настраиваются или для всех компьютеров, работающих в информационной системе предприятия, или для некоторых из них, например, для тех, на которых обрабатываются персональные данные.
Действия и события регистрируются в журнале безопасности, он находится в папке «Управление компьютером». Объем вносимых данных зависит от первичных настроек аудита доступа. Чтобы удаление файла было зафиксировано в журнале под определенным кодом, для этого файла предварительно настраиваются политики аудита.
Поиск событий в журналах учета Windows сложен из-за объема информации и отсутствия тонких инструментов для фильтрации событий.
Системные администраторы вынуждены дополнительно применять системы мониторинга данных или самописные скрипты.
Работа с настройкой аудита доступа требует от системных администраторов большого опыта и умения прогнозировать инциденты информационной безопасности, но она становится эффективным инструментом для устранения рисков, связанных с безопасностью данных.
17.12.2019