Безопасность персональных данных и конфиденциальной информации обеспечивается предоставлением пользователям разных прав доступа к ним. Аудит доступа – это совокупность действий, правил и внутренних регламентов, обеспечивающих контроль за безопасностью информации при помощи регистрации в журналах учета любых событий, связанных с действиями пользователей в ИС: чтение, копирование, изменение файлов, содержащих ПД.

Порядок осуществления аудита доступа

Превентивные меры защиты доступа к файлам и папкам оказываются лучшим решением в ситуации, когда защита информации зависит от собранности пользователей, их понимания того, что действия не только протоколируются, но и могут стать доказательством в вопросах привлечения к ответственности, иногда перерастающей из дисциплинарной в уголовную. 

Рассматривая аудит доступа как процесс, его можно разделить на три этапа:

• разработка параметров и правил аудита;
• утверждение и внедрение политик аудита;
• ведение журнала безопасности и учета действий пользователей (в электронном виде, в рамках операционной системы или специальной программы).

Параметры или конфигурация – это технические настройки информационной системы. Они призваны обеспечить техническое прохождение аудита, определяя параметры и объем изучения. В настройках указывается, какие именно действия пользователей при работе с папками и файлами протоколируются. 

Они позволяют вести поиск в гигантском объеме фиксируемых событий и определяют технические моменты:

• планируют временной регламент аудита;
• определяют параметры ведения журнала, размер файлов, в которых ведется учет действий пользователей;
• устанавливают местонахождение сведений о доступе к данным в папках и каталогах системы;
• определяют параметры реакции системы на выявление ошибок или инцидентов информационной безопасности.

Политика аудита доступа – нормативно-распорядительный документ компании, носящий стратегический характер. В его основе лежит общий подход к политике безопасности в компании. 

Среди частных вопросов в документе прописаны:

• перечень регистрируемых событий, призванный выделить только важные действия и не создавать проблем с нехваткой дискового пространства для хранения данных аудита доступа;
• общий объем хранящейся информации, каталоги и папки ее хранения, период хранения и регламент уничтожения.

Журнал учета сохраняет все данные об операциях с папками и файлами, содержащими конфиденциальную информацию. Его параметры требуют тонкой настройки, чтобы информация не была избыточной. 

Среди регистрируемых событий учитываются:

• удаление файла или папки;
• переименование;
• копирование информации;
• вход в систему или выход из нее;
• запуск программы;
• чтение документов, вывод информации на экран или на печать.

Контролировать операции пользователей с чувствительными документами можно с помощью «СёрчИнформ FileAuditor».  

Аудит доступа на примере Windows

Штатные модели аудита данных реализуются в рамках Windows. Первым шагом становится настройка встроенных локальных или групповых политик безопасности. Политика аудита расположена в разделе «Параметры безопасности» в директории «Локальные политики», ее нужно настроить исходя из позиции руководства компании.

При настройке аудита доступа к объектам в журнале учета будет появляться отметка «успех», если действие совершено и завершено успешно, или «отказ», если прав пользователя на совершение операции недостаточно. 

Контролировать можно действия различных субъектов:

• отдельных пользователей;
• назначенных групп пользователей (сотрудников подразделения или субъектов с равными правами доступа);
• встроенного субъекта безопасности, например, отдельной учетной записи.

Можно выбрать отдельных лиц, чьи действия контролируются, можно выбрать эту операцию для всех пользователей. Далее настраиваются объекты, от принятых в компании политик безопасности зависит, будут ли это папки, подкаталоги, файлы или все перечисленное, включая отдельные события. 

События для Windows делятся на подгруппы, классифицируемые по уровню риска:

• критические;
• предупреждения;
• подробности;
• ошибки;
• сведения.

Мониторинг и аудит доступа настраиваются или для всех компьютеров, работающих в информационной системе предприятия, или для некоторых из них, например, для тех, на которых обрабатываются персональные данные.

Действия и события регистрируются в журнале безопасности, он находится в папке «Управление компьютером». Объем вносимых данных зависит от первичных настроек аудита доступа. Чтобы удаление файла было зафиксировано в журнале под определенным кодом, для этого файла предварительно настраиваются политики аудита.

Поиск событий в журналах учета Windows сложен из-за объема информации и отсутствия тонких инструментов для фильтрации событий.

Системные администраторы вынуждены дополнительно применять системы мониторинга данных или самописные скрипты.

Работа с настройкой аудита доступа требует от системных администраторов большого опыта и умения прогнозировать инциденты информационной безопасности, но она становится эффективным инструментом для устранения рисков, связанных с безопасностью данных.

17.12.2019