Аудит доступа

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ FileAuditor»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Безопасность персональных данных и конфиденциальной информации обеспечивается предоставлением пользователям разных прав доступа к ним. Аудит доступа – это совокупность действий, правил и внутренних регламентов, обеспечивающих контроль за безопасностью информации при помощи регистрации в журналах учета любых событий, связанных с действиями пользователей в ИС: чтение, копирование, изменение файлов, содержащих ПД.

Порядок осуществления аудита доступа

Превентивные меры защиты доступа к файлам и папкам оказываются лучшим решением в ситуации, когда защита информации зависит от собранности пользователей, их понимания того, что действия не только протоколируются, но и могут стать доказательством в вопросах привлечения к ответственности, иногда перерастающей из дисциплинарной в уголовную. 

Рассматривая аудит доступа как процесс, его можно разделить на три этапа:

  • разработка параметров и правил аудита;
  • утверждение и внедрение политик аудита;
  • ведение журнала безопасности и учета действий пользователей (в электронном виде, в рамках операционной системы или специальной программы).

Параметры или конфигурация – это технические настройки информационной системы. Они призваны обеспечить техническое прохождение аудита, определяя параметры и объем изучения. В настройках указывается, какие именно действия пользователей при работе с папками и файлами протоколируются. 

Они позволяют вести поиск в гигантском объеме фиксируемых событий и определяют технические моменты:

  • планируют временной регламент аудита;
  • определяют параметры ведения журнала, размер файлов, в которых ведется учет действий пользователей;
  • устанавливают местонахождение сведений о доступе к данным в папках и каталогах системы;
  • определяют параметры реакции системы на выявление ошибок или инцидентов информационной безопасности.

Политика аудита доступа – нормативно-распорядительный документ компании, носящий стратегический характер. В его основе лежит общий подход к политике безопасности в компании. 

Среди частных вопросов в документе прописаны:

  • перечень регистрируемых событий, призванный выделить только важные действия и не создавать проблем с нехваткой дискового пространства для хранения данных аудита доступа;
  • общий объем хранящейся информации, каталоги и папки ее хранения, период хранения и регламент уничтожения.

Журнал учета сохраняет все данные об операциях с папками и файлами, содержащими конфиденциальную информацию. Его параметры требуют тонкой настройки, чтобы информация не была избыточной. 

Среди регистрируемых событий учитываются:

  • удаление файла или папки;
  • переименование;
  • копирование информации;
  • вход в систему или выход из нее;
  • запуск программы;
  • чтение документов, вывод информации на экран или на печать.

Контролировать операции пользователей с чувствительными документами можно с помощью «СёрчИнформ FileAuditor».  


Аудит доступа на примере Windows

Штатные модели аудита данных реализуются в рамках Windows. Первым шагом становится настройка встроенных локальных или групповых политик безопасности. Политика аудита расположена в разделе «Параметры безопасности» в директории «Локальные политики», ее нужно настроить исходя из позиции руководства компании.

При настройке аудита доступа к объектам в журнале учета будет появляться отметка «успех», если действие совершено и завершено успешно, или «отказ», если прав пользователя на совершение операции недостаточно. 

Контролировать можно действия различных субъектов:

  • отдельных пользователей;
  • назначенных групп пользователей (сотрудников подразделения или субъектов с равными правами доступа);
  • встроенного субъекта безопасности, например, отдельной учетной записи.

Можно выбрать отдельных лиц, чьи действия контролируются, можно выбрать эту операцию для всех пользователей. Далее настраиваются объекты, от принятых в компании политик безопасности зависит, будут ли это папки, подкаталоги, файлы или все перечисленное, включая отдельные события. 

События для Windows делятся на подгруппы, классифицируемые по уровню риска:

  • критические;
  • предупреждения;
  • подробности;
  • ошибки;
  • сведения.

Мониторинг и аудит доступа настраиваются или для всех компьютеров, работающих в информационной системе предприятия, или для некоторых из них, например, для тех, на которых обрабатываются персональные данные.

Действия и события регистрируются в журнале безопасности, он находится в папке «Управление компьютером». Объем вносимых данных зависит от первичных настроек аудита доступа. Чтобы удаление файла было зафиксировано в журнале под определенным кодом, для этого файла предварительно настраиваются политики аудита.

Поиск событий в журналах учета Windows сложен из-за объема информации и отсутствия тонких инструментов для фильтрации событий.

Системные администраторы вынуждены дополнительно применять системы мониторинга данных или самописные скрипты.

Работа с настройкой аудита доступа требует от системных администраторов большого опыта и умения прогнозировать инциденты информационной безопасности, но она становится эффективным инструментом для устранения рисков, связанных с безопасностью данных.

17.12.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними