Всё чаще в ИТ-мире назревают вопросы касательно информационной безопасности. Действительно, мировая паутина стала всемирной площадкой обмена и хранения информации, а слово Интернет знакомо каждому. В современном мире сложно найти компанию, которая не пользовалась бы интернет-технологиями: всевозможные приложения, гаджеты, IOT-устройства – всё это находится в зоне риска. Поэтому мы поговорим об азах информационной безопасности, а именно, об управлении доступом.



Я хотела бы обсудить некоторые, казалось бы, очевидные аспекты защиты информации. По иронии, многие недооценивают важность безопасности или считают свои меры достаточными. Стоит вспомнить про эффект Даннинга-Крюгера суть которого в том, что люди с низкой квалификацией в какой-то области, делают ошибочные выводы. Отсюда и следуют неудачные решения в бизнесе, которые они не способны осознавать. Информационная безопасность – эта та сфера, в которой не допустимо предполагать что-либо и действовать по принципу «лишь бы сделать для вида». Информационная безопасность должна стать целью в конечном итоге, рычагом в бизнесе который минимизирует потери и расходы, обезопасит ваши данные. Наибольшую опасность для компании представляет человеческий фактор. Ведь именно благодаря ловкому манипулированию сотрудником злоумышленник способен скомпрометировать вашу систему. К сожалению, бытует ошибочное мнение, что если у вас сильная техническая защита (всевозможные IDS, антифрод системы, антивирусы, DLP, межсетевые экраны), то ваш бизнес в безопасности, но это не так. Наша психология предсказуема, и в большинстве случаев срабатывают наши импульсы, вызванные страхом и необдуманностью действий. Возьмем, к примеру, банальные атаки через почту: сотрудник получил письмо о том, что некая система, где он зарегистрирован, скомпрометирована. Данная новость безусловно напугает его, и с большей вероятностью он перейдёт по ссылке, отдав свои данные злоумышленникам. Поэтому важно настроить правильно доступ и повышать квалификацию сотрудников в информационной безопасности. Данной теме посвящена целая «наука» — социальная инженерия, но об этом как-нибудь в следующий раз, а сегодня мы поговорим про организацию управления доступом.

Любую задачу лучше рассматривать под разным углом, это касается и управления доступом: установить антивирусы и прочие средство защиты – этого недостаточно. Из логических рассуждений, как вариант, вырисовывается следующая формула: Хорошая система управления доступом = административные меры + технические меры + средства физической защиты.

Что же входит в административные меры? Да, всё очень просто! Это правильная организация документации в системе менеджмента информационной безопасности. Хорошая политика безопасности, методики по оценке рисков, внутренние аудиты, процедуры, обучение персонала – всё это способствует правильной организации безопасности в бизнесе.

В Политике безопасности наиболее важно отразить цели компании и область действия (какие подразделения данная политика охватывает), а также учесть требования бизнеса, партнёров и клиентов. В компании должны быть определены информационные активы, и те активы, что требуют более бережного обращения, должны быть классифицированы по значимости и ценности. Определить, кто имеет доступ к активам и отвечает за выполнение мероприятий по информационной безопасности, можно при помощи ролевой таблицы (в таблице указываются роли и распределяются кто за что ответственен). Другим важным этапом является обучение: приглашайте специалистов или нанимайте тех, кто будет рассказывать вашим сотрудникам о правилах безопасности в сети (к примеру: что такое фишинг, как его распознать, как раскусить социального инженера и какой сайт является безопасным). Это очень важные аспекты, ведь именно человеческий фактор самое уязвимое звено. Внутренние аудиты помогут вам выявить недостатки вашей системы менеджмента информационной безопасности, определить какие отделы уязвимы и какие подразделения нуждаются в повышении квалификации, понять соблюдаются ли требования, прописанные в Политике. Важно выбрать компетентного аудитора, который тщательно проверит состояние вашей системы на соблюдение правил. Благодаря методике оценки рисков вы сможете просчитать вероятность тех или иных угроз, а также обнаружить уже существующие и выбрать дальнейшие действия в отношении рисков.

К техническим средствам мы отнесём различные программные и аппаратные средства, сервисы по информационной безопасности. Это могут быть парольные системы, межсетевые экраны, сканеры безопасности, защищённые протоколы, операционные системы и так далее. Предельно внимательно нужно быть с парольными системами. Поскольку они всегда находятся под пристальным вниманием злоумышленников, то наиболее подвержены риску. Общаясь с огромным количеством людей, я заметила с какой легкостью и халатностью они относятся к парольной защите (придумывают простые пароли, хранят их в доступных местах), не понимая, что злоумышленник может их легко взломать. К примеру, возьмём такой тип атаки как брутфорс (что означает перебор паролей). Допустим, вы не особо фантазировали на тему своего пароля и взяли распространённый, тем временем хакер, зная вашу почту, при помощи различных словарей найдет совпадение и скомпрометирует вашу систему. Все просто! Так же стоит помнить и напоминать сотрудникам про фишинговые письма: не надо открывать ссылки и вводить пароль, сделайте вдох и разберитесь.



Ну а третье – это физическая защита: замки, специальная защита, видеокамеры, пропускные системы и так далее.

Также я хочу уделить внимание трём методам управления доступом. Если ваша работа связана с секретными данными и чувствительной информацией, государственной тайной, то стоит обратить внимание на мандатный метод управления доступом. Особенность данного метода заключается в его иерархичности, поскольку субъектам и объектам присваивается некоторый иерархический уровень безопасности. Уровень безопасности объекта характеризует его ценность и в соответствии с уровнем ему присваивается метка безопасности.

Уровень безопасности характеризует степень доверия к сотруднику, а также его ответственность за данную информацию. Операционная система назначает сотруднику определённые атрибуты, благодаря которым сотруднику предоставляется доступ в рамках его должностных полномочий.

Самым простым методом считается дискреционный, который считается достаточно распространённым. Суть доступа проста: владелец объекта сам решает кому предоставить доступ и в каком виде (чтение, запись и т.д). Метод можно реализовать при помощи списков доступа или матрицы доступа, но нужно учесть, что сотрудник с определёнными правами может передать ваш объект в пользование другому без уведомления вас. Поэтому, если вы работаете с важной информацией, стоит с осторожностью относиться к данному методу.

Далее поговорим о ролевом методе управления доступом. Суть данного метода проста: между пользователями системы и их привилегиями появляются промежуточные сущности, которые называют ролями. Метод допускает, что для каждого пользователя может быть назначено несколько ролей, предоставляющих доступ к нужной информации. Данный метод позволяет исключить злоупотребление правами, поскольку реализует принцип наименьших привилегий.

Он предоставляет только тот уровень доступа сотруднику, который входит в его сферу обязанностей. Также данный метод реализует принцип разделения обязанностей, что упрощает управление информационными активами. Минус данного метода в том, что его сложно реализовать, когда присутствует огромное количество пользователей и ролей, так как это затратно.

Существуют и другие методы, но поговорили о самых ключевых. Все вышеперечисленные способы организации доступа являются важным этапом в безопасности вашей компании и поэтому им стоит уделить пристальное внимание.

Комментарии (8)


  1. saipr
    09.03.2019 00:13
    +1

    Возьмем, к примеру, банальные атаки через почту: сотрудник получил письмо о том, что некая система, где он зарегистрирован, скомпрометирована. Данная новость безусловно напугает его, и с большей вероятностью он перейдёт по ссылке, отдав свои данные злоумышленникам.

    И при чем здесь доступ? Тем более что поняти доступа такое широкое: доступ к компьютеру, доступ в систему, доступ к интернету, различнуе права и т.д. Вы о каком доступе говорите?


  1. ZeroSoft
    09.03.2019 12:48
    +3

    Когда надо прокачать аккаунт, а не в теме…


  1. Subrisk
    09.03.2019 12:51
    +1

    Девушка, вы бы в теме разобрались как следует. Я, конечно, понимаю, что в скором времени вы будете пытаться что-то отпиарить, потому что текст — типичная маркетоложья компиляция «слышала звон — не знаю, где он». Вы там коллегам почитать давайте что ли, уважаемый секьюрити эксперт…


  1. Scif_yar
    09.03.2019 14:19
    +1

    Также я хочу уделить внимание трём методам управления доступом. Если ваша работа связана с секретными данными и чувствительной информацией, государственной тайной, то стоит обратить внимание на мандатный метод управления доступом.

    Лютый, лютый бред.
    Куда смотрит администрация?

    Копипаста на копипасте и копипастой погоняет.


  1. mikechips
    09.03.2019 20:39
    +1

    Как-то канцелярно вышло и нечитабельно… будто бы конституцию почитал, не имея юридического образования. Посему не осилил(
    Советую поменять язык, иначе минусы будут лететь дальше.


  1. lotse8
    10.03.2019 00:51
    +1

    «security expert» однако, это же expert!!!


  1. DmitriyDem
    11.03.2019 11:28

    Хочется все-таки оставить правдивый отзыв о статье. Я как человек, имеющий образование в области информационной безопасности, в отличии от вышеотписавшихся диванных критиков, хочу отметить, что статья получилась грамотной, цельной и самое главное понятной для простого пользователя. Автор разложила все понятия по полочкам, глубоко изучила данную тему, ведь управление доступом это очень обширное понятие и захватывает многие аспекты ИБ. Продолжайте в том же духе. Отличная работа)))


  1. ditstk
    11.03.2019 11:30

    Поржал от души.
    Оля, не слушайте придурков. Пишите ещё.
    Только не часто…