Секреты успешных компаний: как защитить информацию от утечек
Потерять информацию в один миг
Зачастую в организациях встречается такая практика: новому сотруднику выдаются доступы, как у его коллеги по отделу; а тот самый коллега уже успел поработать в разных подразделениях организации, и это значит, что за ним тянется целый клубок выданных доступов, который только что передался новому сотруднику. В итоге получается так, что человек, который еще не подтвердил свою лояльность к организации, имеет расширенный доступ к ценным сведениям.
Представим другую ситуацию: в организации не определен порядок и сроки отзыва доступов у уволившихся сотрудников. Велика вероятность, что сотрудник, которому уже нечего терять, вспомнит про доступ к корпоративной почте с мобильного телефона или про возможность удаленного подключения и захочет «унести» с собой ценную информацию. Такую утечку можно было бы легко предотвратить.
Технические возможности VS человеческий фактор
Сегодня на рынке представлено достаточно технических решений для разграничения доступа к информационным ресурсам на техническом уровне, однако, когда дело доходит до их внедрения, на плечи ИБ- и ИТ-специалистов ложится непростая задача: выстроить сам процесс управления доступами, то есть описать порядок предоставления, изменения и отзыва доступов сотрудников и третьих лиц к информационным ресурсам организации. Любое, даже самое технологичное решение не будет работать эффективно без выстроенных процессов.
Первое, о чём стоит задуматься – выбор наиболее подходящей модели: структуры, определяющей основания для предоставления доступов субъектов к объектам. Основной принцип, которого стоит придерживаться, - «need to know», то есть у пользователя должен быть доступ только к тем ресурсам, которые необходимы ему для работы.
В каких-то случаях будет оптимально создать эталонные матрицы доступов к различным информационным системам: то есть для каждого информационного актива определить допущенных субъектов – должностных лиц организации и их полномочия. Процесс предоставления доступов в таком случае станет абсолютно прозрачным, а заявки будут рассматриваться владельцами информационных активов, что значительно снизит нагрузку на специалистов по информационной безопасности. Кроме того, можно пойти от обратного и для каждой должности определить те доступы, которые нужны для выполнения рабочих обязанностей.
В каких-то случаях, например, стоит отдать предпочтение модели мандатного управления доступами, то есть прокатегорировать информационные активы организации и присвоить сотрудникам уровни допуска. Так, сотрудники смогут пользоваться только теми ресурсами, уровню секретности которых соответствует их «статус».
Еще одна задача, которую предстоит решить, – организация коммуникации с подразделением управления кадрами, чтобы вовремя получать информацию об изменениях. Особенно это важно для своевременного отзыва прав доступа, ведь без совместной работы с кадровиками велик риск появления «мёртвых душ», у которых остаются доступы к ресурсам организации еще долгое время после увольнения. В идеальной картине мира эта процедура должна быть автоматизирована, то есть заявка на ограничение доступа должна создаваться автоматически по нажатию кнопки «уволить» со стороны кадровой службы.
Говоря об ограничении прав доступа, хорошим решением будет наличие у безопасников возможности самостоятельно отзывать доступы сотрудников. Такая необходимость действительно может возникнуть при выявлении инцидента информационной безопасности, связанного, например, с утечкой конфиденциальной информации. Имея возможность экстренно заблокировать учётную запись или временно ограничить доступ сотрудника к ресурсу, можно предотвратить распространение инцидента и минимизировать его последствия.
Не стоит забывать о такой важной вещи как управление учётными записями лиц, не являющихся штатными сотрудниками организации: например, аудиторов и прочих подрядчиков. В этом случае хорошей практикой будет одновременно оформлять сразу две заявки: одну на создание учётной записи и предоставление доступов подрядчику, а вторую – на блокировку учётной записи, замороженную на срок исполнения услуг по договору. Таким образом, исключается вероятность «забыть» о ранее предоставленных доступах.
Для того чтобы процесс управления доступами был эффективен и не замедлял рабочие процессы организации, важно корректно описать его, в том числе определить роли участников процесса. Это позволит избежать перебрасывания ответственности с одного сотрудника на другого, а также определить так называемые KPI и SLA – показатели эффективности и уровня сервиса, на которые стоит ориентироваться участникам процесса.
Иногда для выстраивания процесса управления доступами необходим «взгляд со стороны», поэтому в некоторых случаях лучше подключать внешних экспертов, которые учтут всю специфику рабочих процессов организации.
Материал подготовлен ГК InfoWatch
При выборе наиболее подходящей методики стоит учитывать как возможные для организации риски информационной безопасности, технические и кадровые возможности, так и уже сложившиеся в организации «порядки».