Как в компании организовать разграничение доступа к информации

Разграничение доступа к информации ‒ один из важнейших аспектов обеспечения информационной безопасности в любой компании. Но на практике организовать его так, как нужно, удается не всегда и не всем. В чем же хитрость?

На самом деле, никакой хитрости в разграничении доступа к корпоративным данным нет. Единственное непременное условие успеха подобного начинания — это системный подход, отсутствием которого, к сожалению, страдают очень многие компании. С чего же нужно начать, если вы решили разграничить доступ к информации в вашей компании?

В первую очередь, необходимо провести классификацию имеющейся у вас информации. Основными признаками для её классификации должны служить степень её конфиденциальности и важности для организации, время жизни (одни документы устаревают за неделю, другие — за год), необходимость в работе для тех или иных сотрудников. Эта классификация — практически готовая инструкция того, как и кому обеспечивать или ограничивать доступ к тем или иным сведениям, и без неё вести дальнейшую работу по внедрению разграничения доступа в организации будет очень трудно.

Некоторые компании пропускают это “ненужный” подготовительный этап, мотивируя подобный шаг тем, что на классификацию данных уходит слишком много времени. Продуктивным подобный подход назвать сложно: это как если бы строители не рыли котлован и не заливали фундамент, ссылаясь на нехватку времени. Возведенный таким способом дом рухнет еще до окончания строительства.

После того как информация классифицирована, можно определить уровни доступа и группы пользователей, которые будут иметь право доступа к информации на соответствующих уровнях. Здесь не нужно увлекаться, ведь как слишком малое, так и слишком большое число уровней и групп будут работать неэффективно: в первом случае разграничить доступ удастся не полностью, во втором — можно просто запутаться, кто и к чему должен иметь доступ.

Далее важно всё это тщательно задокументировать, описать в виде раздела политики безопасности компании и должностных инструкций. Также необходимо определить того, кто должен отвечать за разграничение доступа и дальнейшую классификацию вновь появляющейся информации. Как правило, с последним проблем не возникает — эта роль естественным образом ложится на отдел информационной безопасности или, в небольшой организации, просто на сотрудника, который отвечает за обеспечение информационной безопасности в компании.

После того как подготовлены документы, можно приступать к выбору технических средств разграничения доступа к данным. Несмотря на то что существует ряд специальных решений, не стоит забывать и о встроенных средствах операционных систем, СУБД и различных корпоративных программных продуктов, таких, к примеру, как CRM- или ERP-система. С помощью грамотной реализации разработанных политик разграничения доступа на уровне корпоративной информационной сети и отдельных ресурсов, входящих в неё, можно решить проблему, что называется, малой кровью, т. е. обойтись без заметных финансовых вложений непосредственно в средства разграничения доступа.

Тем не менее вдаваться в излишнюю экономию здесь тоже совсем не стоит и лучше довериться специалистам отдела информационной безопасности. Если они посчитают, что имеющихся в компании программных средств недостаточно и экономически целесообразно внедрить, скажем, систему аутентификации на основе смарт-карт или систему контроля перемещения сотрудников внутри офиса, то к их мнению стоит прислушаться.

Немаловажную роль в обеспечении разграничения доступа играет контролирующее ПО, такое как DLP-системы. Контролируя информационные потоки внутри организации, DLP-система позволяет проследить, насколько эффективно реализуется в компании разработанная ею самой политика безопасности, причем это относится не только к разграничению доступа к данным, но и ко многим другим аспектам обеспечения информационной безопасности.

Качественная DLP-система позволит, к примеру, определить появление на рабочих станциях пользователей документов, которые не относятся к разрешенной для них категории. Соответственно обнаружение подобных инцидентов будет означать, что где-то в корпоративной системе информационной безопасности есть солидная брешь, которая угрожает компании дорогостоящими утечками данных. Обнаружить подобные “пробоины” без применения DLP-систем весьма затруднительно, если вообще реально.

Безусловно, стоит заранее подготовиться к тому, что на реализацию всех описанных выше шагов потребуется немало времени и финансов, но зато в вашей компании будет намного ниже риск утечки конфиденциальных данных, чем у большинства ваших конкурентов. А учитывая то, что средняя стоимость утечки в мире составляет уже 5,5 млн. долл., это конкурентное преимущество является более чем весомым аргументом в пользу того, чтобы ввязываться во все эти сложности.

Автор статьи — ведущий аналитик компании SearchInform.