Я хотела бы обсудить некоторые, казалось бы, очевидные аспекты защиты информации. По иронии, многие недооценивают важность безопасности или считают свои меры достаточными. Стоит вспомнить про эффект Даннинга-Крюгера суть которого в том, что люди с низкой квалификацией в какой-то области, делают ошибочные выводы. Отсюда и следуют неудачные решения в бизнесе, которые они не способны осознавать. Информационная безопасность – эта та сфера, в которой не допустимо предполагать что-либо и действовать по принципу «лишь бы сделать для вида». Информационная безопасность должна стать целью в конечном итоге, рычагом в бизнесе который минимизирует потери и расходы, обезопасит ваши данные. Наибольшую опасность для компании представляет человеческий фактор. Ведь именно благодаря ловкому манипулированию сотрудником злоумышленник способен скомпрометировать вашу систему. К сожалению, бытует ошибочное мнение, что если у вас сильная техническая защита (всевозможные IDS, антифрод системы, антивирусы, DLP, межсетевые экраны), то ваш бизнес в безопасности, но это не так. Наша психология предсказуема, и в большинстве случаев срабатывают наши импульсы, вызванные страхом и необдуманностью действий. Возьмем, к примеру, банальные атаки через почту: сотрудник получил письмо о том, что некая система, где он зарегистрирован, скомпрометирована. Данная новость безусловно напугает его, и с большей вероятностью он перейдёт по ссылке, отдав свои данные злоумышленникам. Поэтому важно настроить правильно доступ и повышать квалификацию сотрудников в информационной безопасности. Данной теме посвящена целая «наука» — социальная инженерия, но об этом как-нибудь в следующий раз, а сегодня мы поговорим про организацию управления доступом.
Любую задачу лучше рассматривать под разным углом, это касается и управления доступом: установить антивирусы и прочие средство защиты – этого недостаточно. Из логических рассуждений, как вариант, вырисовывается следующая формула: Хорошая система управления доступом = административные меры + технические меры + средства физической защиты.
Что же входит в административные меры? Да, всё очень просто! Это правильная организация документации в системе менеджмента информационной безопасности. Хорошая политика безопасности, методики по оценке рисков, внутренние аудиты, процедуры, обучение персонала – всё это способствует правильной организации безопасности в бизнесе.
В Политике безопасности наиболее важно отразить цели компании и область действия (какие подразделения данная политика охватывает), а также учесть требования бизнеса, партнёров и клиентов. В компании должны быть определены информационные активы, и те активы, что требуют более бережного обращения, должны быть классифицированы по значимости и ценности. Определить, кто имеет доступ к активам и отвечает за выполнение мероприятий по информационной безопасности, можно при помощи ролевой таблицы (в таблице указываются роли и распределяются кто за что ответственен). Другим важным этапом является обучение: приглашайте специалистов или нанимайте тех, кто будет рассказывать вашим сотрудникам о правилах безопасности в сети (к примеру: что такое фишинг, как его распознать, как раскусить социального инженера и какой сайт является безопасным). Это очень важные аспекты, ведь именно человеческий фактор самое уязвимое звено. Внутренние аудиты помогут вам выявить недостатки вашей системы менеджмента информационной безопасности, определить какие отделы уязвимы и какие подразделения нуждаются в повышении квалификации, понять соблюдаются ли требования, прописанные в Политике. Важно выбрать компетентного аудитора, который тщательно проверит состояние вашей системы на соблюдение правил. Благодаря методике оценки рисков вы сможете просчитать вероятность тех или иных угроз, а также обнаружить уже существующие и выбрать дальнейшие действия в отношении рисков.
К техническим средствам мы отнесём различные программные и аппаратные средства, сервисы по информационной безопасности. Это могут быть парольные системы, межсетевые экраны, сканеры безопасности, защищённые протоколы, операционные системы и так далее. Предельно внимательно нужно быть с парольными системами. Поскольку они всегда находятся под пристальным вниманием злоумышленников, то наиболее подвержены риску. Общаясь с огромным количеством людей, я заметила с какой легкостью и халатностью они относятся к парольной защите (придумывают простые пароли, хранят их в доступных местах), не понимая, что злоумышленник может их легко взломать. К примеру, возьмём такой тип атаки как брутфорс (что означает перебор паролей). Допустим, вы не особо фантазировали на тему своего пароля и взяли распространённый, тем временем хакер, зная вашу почту, при помощи различных словарей найдет совпадение и скомпрометирует вашу систему. Все просто! Так же стоит помнить и напоминать сотрудникам про фишинговые письма: не надо открывать ссылки и вводить пароль, сделайте вдох и разберитесь.
Ну а третье – это физическая защита: замки, специальная защита, видеокамеры, пропускные системы и так далее.
Также я хочу уделить внимание трём методам управления доступом. Если ваша работа связана с секретными данными и чувствительной информацией, государственной тайной, то стоит обратить внимание на мандатный метод управления доступом. Особенность данного метода заключается в его иерархичности, поскольку субъектам и объектам присваивается некоторый иерархический уровень безопасности. Уровень безопасности объекта характеризует его ценность и в соответствии с уровнем ему присваивается метка безопасности.
Уровень безопасности характеризует степень доверия к сотруднику, а также его ответственность за данную информацию. Операционная система назначает сотруднику определённые атрибуты, благодаря которым сотруднику предоставляется доступ в рамках его должностных полномочий.
Самым простым методом считается дискреционный, который считается достаточно распространённым. Суть доступа проста: владелец объекта сам решает кому предоставить доступ и в каком виде (чтение, запись и т.д). Метод можно реализовать при помощи списков доступа или матрицы доступа, но нужно учесть, что сотрудник с определёнными правами может передать ваш объект в пользование другому без уведомления вас. Поэтому, если вы работаете с важной информацией, стоит с осторожностью относиться к данному методу.
Далее поговорим о ролевом методе управления доступом. Суть данного метода проста: между пользователями системы и их привилегиями появляются промежуточные сущности, которые называют ролями. Метод допускает, что для каждого пользователя может быть назначено несколько ролей, предоставляющих доступ к нужной информации. Данный метод позволяет исключить злоупотребление правами, поскольку реализует принцип наименьших привилегий.
Он предоставляет только тот уровень доступа сотруднику, который входит в его сферу обязанностей. Также данный метод реализует принцип разделения обязанностей, что упрощает управление информационными активами. Минус данного метода в том, что его сложно реализовать, когда присутствует огромное количество пользователей и ролей, так как это затратно.
Существуют и другие методы, но поговорили о самых ключевых. Все вышеперечисленные способы организации доступа являются важным этапом в безопасности вашей компании и поэтому им стоит уделить пристальное внимание.
Комментарии (8)
Subrisk
09.03.2019 12:51+1Девушка, вы бы в теме разобрались как следует. Я, конечно, понимаю, что в скором времени вы будете пытаться что-то отпиарить, потому что текст — типичная маркетоложья компиляция «слышала звон — не знаю, где он». Вы там коллегам почитать давайте что ли, уважаемый секьюрити эксперт…
Scif_yar
09.03.2019 14:19+1Также я хочу уделить внимание трём методам управления доступом. Если ваша работа связана с секретными данными и чувствительной информацией, государственной тайной, то стоит обратить внимание на мандатный метод управления доступом.
Лютый, лютый бред.
Куда смотрит администрация?
Копипаста на копипасте и копипастой погоняет.
mikechips
09.03.2019 20:39+1Как-то канцелярно вышло и нечитабельно… будто бы конституцию почитал, не имея юридического образования. Посему не осилил(
Советую поменять язык, иначе минусы будут лететь дальше.
DmitriyDem
11.03.2019 11:28Хочется все-таки оставить правдивый отзыв о статье. Я как человек, имеющий образование в области информационной безопасности, в отличии от вышеотписавшихся диванных критиков, хочу отметить, что статья получилась грамотной, цельной и самое главное понятной для простого пользователя. Автор разложила все понятия по полочкам, глубоко изучила данную тему, ведь управление доступом это очень обширное понятие и захватывает многие аспекты ИБ. Продолжайте в том же духе. Отличная работа)))
saipr
И при чем здесь доступ? Тем более что поняти доступа такое широкое: доступ к компьютеру, доступ в систему, доступ к интернету, различнуе права и т.д. Вы о каком доступе говорите?