Разграничение доступа к информации является одним из важнейших аспектов обеспечения информационной безопасности в любой компании. Но на практике организовать его так, как нужно, удается не всегда и не всем. В чем же хитрость?
На самом деле, никакой хитрости в разграничении доступа к корпоративным данным нет. Единственное непременное условие успеха подобного начинания – это системный подход, отсутствием которого, к сожалению, страдают очень многие компании. С чего же нужно начать, если вы решили разграничить доступ к информации в вашей компании?
В первую очередь, необходимо провести классификацию имеющейся у вас информации. Основными признаками для её классификации должны служить степень её конфиденциальности и важности для организации, время её жизни (одни документы устаревают за неделю, другие – за год), необходимость в работе для тех или иных сотрудников. Фактически, эта классификация – практически готовая инструкция по тому, как и кому обеспечивать или ограничивать доступ к тем или иным сведениям, и без неё вести дальнейшую работу по внедрению разграничения доступа в организации будет очень и очень трудно.
Некоторые компании пропускают это «ненужный» подготовительный этап, мотивируя подобный шаг тем, что на классификацию данных уходит слишком много времени. Продуктивным подобный подход назвать сложно: это как если бы строители не рыли котлован и не заливали фундамент, ссылаясь на нехватку времени. Построенный таким способом дом рухнет еще быстрее, чем был возведен.
После того, как информация классифицирована, можно определить уровни доступа и группы пользователей, которые будут иметь право доступа к информации на соответствующих уровнях. Здесь не нужно увлекаться, ведь как слишком малое, так и слишком большое количество уровней и групп будут работать неэффективно: в первом случае разграничить доступ удастся не полностью, во втором – можно просто запутаться, кто и к чему должен иметь доступ.
Далее важно всё это тщательно задокументировать, описать в виде раздела политики безопасности компании и должностных инструкций. Также необходимо определить того, кто должен отвечать за разграничение доступа и дальнейшую классификацию вновь появляющейся информации. Как правило, с последним проблем не возникает – эта роль естественным образом ложится на отдел информационной безопасности, или, в небольшой организации, просто на сотрудника, который отвечает за обеспечение информационной безопасности в компании.
После того, как подготовлены документы, можно приступать к выбору технических средств разграничения доступа к данным. Несмотря на то, что существует ряд специальных решений, не стоит забывать и о встроенных средствах операционных систем, СУБД и различных корпоративных программных продуктов, таких, к примеру, как CRMили ERP-система. С помощью грамотной реализации разработанных политик разграничения доступа на уровне корпоративной информационной сети и отдельных ресурсов, входящих в неё, можно решить проблему, что называется, «малой кровью», то есть, обойтись без заметных финансовых вложений непосредственно в средства разграничения доступа.
Тем не менее, вдаваться в излишнюю экономию здесь тоже совсем не стоит, и лучше довериться специалистам отдела информационной безопасности. Если они посчитают, что имеющихся в компании программных средств недостаточно, и посчитают экономически целесообразным внедрить, скажем, систему аутентификации на основе смарт-карт, или систему контроля перемещения сотрудников внутри офиса, то к их мнению стоит прислушаться.
Немаловажную роль в обеспечении разграничения доступа играет контролирующее ПО, такое, как DLP-системы. Контролируя информационные потоки внутри организации, DLP-система позволяет проследить, насколько эффективно реализуются в компании разработанные ею самой политики безопасности, причем это относится не только к разграничению доступа к данным, но и ко многим другим аспектам обеспечения информационной безопасности компании.
Качественная DLP-система позволит, к примеру, определить появление на рабочих станциях пользователей документов, которые не относятся к разрешенной для них категории. Соответственно, обнаружение подобных инцидентов будет означать, что где-то в корпоративной системе информационной безопасности есть солидная брешь, которая угрожает компании дорогостоящими утечками данных. Обнаружить подобные «пробоины» без применения DLP-систем весьма затруднительно, если вообще реально.
Безусловно, стоит заранее подготовиться к тому, что на реализацию всех описанных выше шагов потребуется немало времени и финансов, но зато в вашей компании будет намного ниже риск утечки конфиденциальных данных, чем у большинства ваших конкурентов. А учитывая то, что средняя стоимость утечки в мире составляет уже $5,5 млн, это конкурентное преимущество является более чем весомым аргументом в пользу того, чтобы ввязываться во все эти сложности.