Pull to refresh
0
Varonis Systems
Защита от внутренних угроз и комплексных кибератак

Общие советы при решении вопроса контроля местоположения, разрешений доступа и использования конфиденциальной информации в организации

Reading time 5 min
Views 7.3K
В современных корпоративных реалиях большое количество важной для организации информации храниться в виде так называемых неструктурированных или полуструктурированных данных в виде отдельных файлов и папок на файловых хранилищах, коллекциях сайтов SharePoint, архивов электронной почты на серверах Exchange и т.д. Объем роста таких данных составляет, в среднем, около 30-50% в год. Причем такими темпами происходит не только количественный рост объемов потребляемых для хранений байт (зачастую с приставкой Гига- или все чаще и чаще Тера-), но и качественное увеличение важных или даже жизненном необходимых для компании данных, «размазанных» по одному или нескольким (иногда 20-30) файловым серверам с разными операционными системами, идеологиями хранения и обработки информации (Exchange, SharePoint, Windows, SAN/NAS).

Все это порождает ряд проблем по обеспечению безопасности таких данных, оптимизации их хранения и общими задачами по управлению и выстраиванию процессов взаимодействия сотрудников организации с такими данными. Такой обширный список задач может быть успешно решен вовлечением в работу сотрудников разных отделов, таких как: традиционно IT подразделения, занятые системным администрированием компьютерных ресурсов компании, сотрудники управления информационной безопасности, заинтересованные в минимизации рисков, связанных с утечкой или порчей или иным, вредным для компании использованием конфиденциальной информации. Также, во многих организациях помимо технических специалистов и офицеров ИБ, предназначение и важность использования специфической информации лучше всего представляют сотрудники профильных для компании подразделение: юристов, бухгалтеров, сотрудников отделов продаж и т.п. Вовлечение таких сотрудников в качестве «владельцев данных» привносит ценный вклад в решение задач по обеспечению безопасности данных, актуализации важной информации и т.п. Рассмотрим всю совокупность действий по оптимизации описанных выше процессов и решению обозначенных проблем в виде первоочередных рекомендаций, которые могут быть реализованы в организации комплексом мер, начиная от разработки соответствующих регламентов и внутренних политик, обучением технического персонала и внедрением технических средств, обеспечивающих реализацию этих мер на предприятии:

1. Матрица доступа
Наличие актуальной матрицы доступа представляющей ситуацию с правами пользователей «на сегодня» в наглядном для специалиста виде является отправной точкой в выстраивании политик безопасности данных, а также предоставляет исчерпывающий ответ на вопросы со стороны руководства и бизнес пользователей: кто имеет доступ к данной папке; получение списка пользователей и их прав на конкретный ресурс отдела/департамента; анализ возможностей доступа через глобальные группы и т.п. Уже имея такую картину прав доступа, которую возможно быстро получать для абсолютно любой папки, можно сделать очень многое для безопасности существующей информации, снизив риски утечки, неправомерного использования и т.п. в несколько раз.

2. Классификация имеющейся информации
На практике нередко встречаются ситуации, когда важная информация с которой работают сотрудники содержится в папках с названиями типа «!!! Для Маши», а конфиденциальная информация с номерами зарплатных карт сотрудников и условиями тендеров силами пользователей разносится по самым разным папкам файлового ресурса (или создаются новые папки в неожиданных местах с ничего не говорящими названиями). Всю эту информацию необходимо найти, понять, кто к ней имеет доступ и определить ее в заданные для хранения локации.

3. «Владельцы данных»
Как уже отмечалось выше, лучшее представление о ценности данных имеет тот, кто с ними работает. Вовлечение сотрудников профильных подразделений в процессы решения задач по управлению и безопасности информации не может быть лишним в успешно выстаиваемой системе работы с данными на информационных ресурсах. Вовлечение таких сотрудников в качестве «Владельцев данных» конкретной папки, предоставление им в понятном виде информации, кто имеет доступ к их папке, кто конкретно в ней работал, например, за последнюю неделю дает офицерам ИБ, в качестве обратной связи от этих сотрудников, кардинально новый и чрезвычайно эффективный инструмент, позволяющий определить права доступа к конкретной папке до минимально необходимого уровня.

4. Аудит действий сотрудников
Мониторинг текущей активности пользователей на файловых хранилищах позволяет видеть кто к каким файлам обращался, удалял, изменял, или пытался получить доступ к тем данным к которым доступа нет. В совокупности, это позволяет осуществить общий мониторинг файлового ресурса, увидеть папки, где активность высока или наоборот равна нулю и повысить эффективность хранения информации, соответственно переместив на более быстрые или медленные дисковые полки. Также становится возможным легко производить мониторинг обращений к персональным данным сотрудников, что в настоящее время является законодательным требованием, эффективно расследовать инциденты, связанные с удалением, копированием информации конкретными пользователями и т.п.

5. Оперативное оповещение о происходящих событиях на файловой системе
Помимо самого факта обладания информацией об активности пользователей и прочих событиях на файловых хранилищах, для бизнеса и организаций очень важным является именно время оповещения и реагирования по факту наступления того или иного события. Наличие подобных средств, позволяющих получать как минимум письмо на почту, смс сообщение на телефон ответственного сотрудника является ценным средством в предотвращении фактов утечек информации (копирований на флэшки и пр.), порчей информации (вирусы по удалению/шифрованию данных), нарушением корпоративных политик хранения информации на файловых ресурсах (размещение данных о премиях руководства в папке «!!! Для Всех»). Обеспечение времени реакции ответственных сотрудников на такие события от нескольких минут до нескольких часов позволит оперативно пресекать подобные инциденты и предотвращать факты нецелевого использования информации на начальном этапе, существенно минимизируя возможные вредные последствия.

6. Закрепление достигнутых успехов
Составление матрицы доступа, вычищение глобальных групп из ACL для конкретной папки и т.д. – проведение всех этих действий однократно фактически обесценивает труд по выполнению этой работы, т.к. со временем права пользователей будут меняться, IT специалисты будут предоставлять доступ новым сотрудникам к новым папкам, число таких папок будет неизбежно расти, их имена будут меняться и т.п.
Оптимальным выходом из ситуации здесь представляется способность обеспечить и наладить формализованный процесс предоставления доступа к ресурсам по заявкам, в который будет вовлечен сам пользователь, как инициатор процесса, ответственные сотрудники IT или ИБ, осуществляющие общий контроль, «Владельцы данных», принимающие решение — а нужен ли доступ к «моей папке» конкретно этому сотруднику? Также для эффективного контроля доступа к данным и информационным услугам необходим процесс периодического пересмотра прав доступа к критически важным для организации ресурсам, так, чтобы ответственный за данный ресурс сотрудник, в ручном режиме принимал решение для кого, из имеющегося перечня пользователей доступ оставить, а у кого отобрать.

Исходя из опыта, можно отметить, что перечисленный в статье комплекс мер и рекомендаций может быть хорошей отправной точкой для выстраивания политик хранения данных и понимания, какой результат необходимо получить в итоге. Все эти меры позволят повысить безопасность имеющейся информации, повысить эффективность ее использования, а для сотрудников информационных и отделов безопасности позволят сократить количество времени, связанного с решением рутинных задач по администрированию и обеспечению безопасности файловых хранилищ, а также получить четкое понимание возможных рисков, связанных с нецелевым использованием данных и способами минимизации этих рисков.
Tags:
Hubs:
+6
Comments 0
Comments Leave a comment

Articles

Information

Website
varonis.com
Registered
Founded
Employees
1,001–5,000 employees
Location
США