В настоящий момент практически каждая компания обрабатывает конфиденциальную информацию, будь то персональные данные сотрудников или коммерческая тайна. И если сегодня за утечку персональных данных оператору ПДн грозит относительно небольшой фиксированный штраф от 60 тыс. до 100 тыс. руб., то в ближайшем будущем в соответствии с перечнем поручений по итогам заседания “Совета по развитию гражданского общества и правам человека” его размер будет зависеть от оборота бизнеса. Утечка коммерческой тайны страшна для компании не столько штрафами, сколько возможными потерями конкурентных преимуществ, которые могут привести к потере прибыли и рынка в целом.
Фундаментальным условием обеспечения безопасности данных является правильная организация доступа к информации. Существует несколько подходов к реализации этого процесса. Один из самых востребованных среди операторов ПДн, не погруженных в сферу ИБ, — выполнение требований, установленных федеральными законами, постановлениями правительства, приказами ФСТЭК и ФСБ. В этом случае при плановых проверках регулятора компания защищает себя от штрафов за невыполнение требований регуляторов, но не всегда — от актуальных угроз ИБ.
Реализация всех возможных требований безопасности тоже нецелесообразна, так как иногда затраты на защиту данных могут превысить величину возможного ущерба от утечки или повреждения этой информации. По нашим наблюдениям, наиболее эффективный подход — это выбор мер защиты на основе анализа информационной инфраструктуры компании и обрабатываемых в ней данных, а также требований законодательства в области ИБ. Зачастую из-за нехватки квалифицированных специалистов компании для реализации данного подхода приглашают на помощь внешнюю консалтинговую компанию.
Алгоритм реализации процесса управления доступом в компании.
- Инициализация процесса управления доступом
На первом этапе необходимо определить, кто будет принимать решения о предоставлении доступа к информационному ресурсу компании. Зачастую эту роль выполняет сотрудник из ИТ-отдела. Однако это не совсем корректно, так как он не может знать содержание обрабатываемой информации на всех информационных ресурсах, а это необходимо, чтобы доступ к конфиденциальным данным получали только уполномоченные сотрудники.
Например, при предоставлении полного доступа разработчикам, работающим на аутсорсинге, к внутреннему корпоративному порталу они также, скорее всего, смогут получить персональные данные сотрудников компании (как минимум, их контакты). Поэтому принимать такие решения должны владельцы информационных активов. Кроме этого, в их обязанности необходимо включить классификацию и определение обрабатываемого класса критичности конфиденциальной информации. В то же время мы настоятельно рекомендуем, чтобы сам перечень классов критичности конфиденциальной информации составляли именно ИБ-специалисты.
Затем формируются базовые роли и матрица доступа, осуществляется выбор и реализация модели управления доступом. Изначально каждой роли (в том числе и администратору) следует выдавать минимально-необходимые права доступа, руководствуясь принципом need-to-know (пользователи получают доступ только к тем данным, которые необходимы для выполнения функциональных обязанностей). Такой подход уменьшает вероятность утечки информации, если злоумышленник скомпрометирует учетную запись в системе.
На последнем этапе сотрудники из ИТ-отдела осуществляют выдачу прав доступа в соответствии с матрицей и полученными заявками от владельцев информационных активов. В заявках, как минимум, должна указываться следующая информация:
- ФИО сотрудника и его подразделение, которому предоставляется доступ;
- наименование информационного ресурса куда предоставляется доступа;
- цель предоставления доступа;
- период предоставления доступа.
В обязанности сотрудников из ИТ-отдела также должен входить контроль создания новых ролей и внесение изменений в матрицу доступа, которые рекомендуется согласовывать с ИБ-подразделением.
Реализация мер защиты информации по управлению доступом.
В зависимости от сферы деятельности и характера обрабатываемых данных к реализации мер защиты информации могут выдвигаться разные требования. Для операторов персональных данных актуальны меры защиты информации, описанные в Приказе ФСТЭК России от 18.02.2013 № 21, значимых объектов критической информационной инфраструктуры — Приказе ФСТЭК России от 25.12.2017 № 239, финансовых организаций — в ГОСТ Р 57580.1-2017. При этом каждый из этих документов подразумевает разный набор требований, в первую очередь зависящий от описанных в них уровней и классов. Так, для оператора ПДн он зависит от условий обработки персональных данных, а для критической информационной инфраструктуры — от категории значимости объекта. Описанные меры защиты информации для одного раздела в разных нормативных документах могут быть схожи по своим принципам, но каждую актуальную меру все равно необходимо реализовывать в соответствии с требованиями законодательства.
Если финансовые и технические возможности компании позволяют, мы рекомендуем включать следующие меры безопасности при организации доступа:
- Реализация повторной аутентификации пользователей (при смене ролей, при привилегированных командах, через время и т. п.).
- Реализация авторизации устройств.
- Многофакторная аутентификация.
- Исключение суперпользователей и технических учетных записей.
- Применение стандарта IEEE 802.1X.
- Применение технологии единого входа (SSО)
- Применение модели безопасности Zero Trust.
- Контроль доступа на уровне сетевых портов.
- Контроль завершения сеанса.
- Контроль доступа к устройствам / подключению устройств.
- Контроль правил доступа.
- Ограничение прямого совместного использования диска с доступом на чтение/запись.
- Ограничение подключения к другим сетям во время удаленного подключения к корпоративной сети.
- Удаленное администрирование по защищенным каналам с использованием отдельных интерфейсов в отдельной подсети компании.
Для определения актуальных угроз также имеет смысл провести внутренний (силами сотрудников ИБ и ИТ-отделов) или внешний (с привлечением сторонней компании) аудит.
3. Проведение внутренних аудитов
Независимо от сформированного перечня мер защиты информации желательно проводить полные внутренние аудиты процесса предоставления доступа не реже чем раз в три года при условии, что требования законодательства и состав технической инфраструктуры в этот период не меняются.
В рамках проверки владельцы информационных активов пересматривают права доступа пользователей, а сотрудники отдела ИБ проверяют полноту реализации мер защиты информации.
Как правило, после внутреннего аудита в части управления доступом формируется отчет, отражающий состояние уровня защищенности компании, включающий следующие сведения:
- общую информацию о процессе управления доступом;
- недостатки процесса;
- рекомендации по совершенствованию процесса;
- перечень документов, регламентирующих данный процесс.
В общей информации приводится описание процесса организации доступа: с помощью чего осуществляется управление учетными записями, как они создаются, корректируются и уничтожаются, кто и за что является ответственным, как реализована парольная политика и осуществляется аутентификация пользователей.
В недостатках процесса управления доступом указываются возможные риски информационной безопасности и их влияние на компанию и бизнес. Пример недостатков процесса управления доступом приведен в таблице ниже.
| Описание недостатка процесса | Возможные угрозы для компании | Оказываемое негативное влияние на компанию |
| В процессе применяются технологические учетные записи. Не осуществляется инвентаризация учетных записей на постоянной основе. | В сочетании с отсутствием централизованного сбора, хранения и анализа событий, внутренний нарушитель может выполнять бесконтрольные несанкционированные действия в инфраструктуре Компании. В сочетании с отсутствием аутентификации устройств внутренний нарушитель может осуществить подключение личного устройства и осуществлять неконтролируемую передачу данных за пределы контролируемой зоны Компании. | Общее снижение уровня защищенности Компании. Снижение конкурентоспособности, штрафные санкции при обнаружении фактов утечки информации о клиентах. |
| Для учетных записей администраторов, не настроена двухфакторная аутентификация при подключении внутри корпоративной сети. | В сочетании со слабой парольной политикой и отсутствием централизованного сбора, хранения и анализа событий, а также отсутствием аутентификации устройств внутренний нарушитель может осуществить подключение личного устройства и перехват аутентификационных данных администраторов и выполнить бесконтрольные несанкционированные действия в инфраструктуре компании. | Снижение качества процесса управления доступом. Снижение конкурентоспособности, штрафные санкции при обнаружении фактов утечки информации о клиентах. Финансовые потери при простоях/ деградации бизнес-процессов. |
В рекомендациях по совершенствованию процесса обозначается перечень необходимых действий для устранения недостатков с указанием приоритета выполнения.
Итогом проведения внутреннего аудита является план работ по совершенствованию процесса управления доступом, который учитывает все выявленные недостатки процесса.
Заключение.
Обычно после внедрения процесса управления доступом компании забывают о том, что нужно периодически его актуализировать. Как правило, это происходит из-за нехватки персонала или недостаточного внимания к вопросам безопасности. Однако пренебрежение к данному процессу также, как и недостаток знаний, может привести к ряду негативных последствий, таких как потеря ценной информации, нарушение конфиденциальности и утечки данных. В большинстве случаев, чтобы оперативно и четко определить права доступа, выбрать наиболее актуальные меры защиты информации и подходящие технические решения, целесообразно будет использовать услуги ИБ-интеграторов, хотя бы в качестве консультантов.