Как компанията да организира разделянето на достъпа до информация

Диференциране на достъп до информация е един от най-важните аспекти на информационната сигурност във всяка компания. Но на практика, за да го организира така, както искате, това не винаги и не е за всеки. Какво е трик?

В действителност, не трикове в ограничаване на достъпа до корпоративната данни не са налични. Единственото необходимо условие за успеха на това начинание - систематичен подход, който отсъства, за съжаление, страдат от много компании. Къде искате да започне, ако решите да се ограничи достъпа до информация във вашата компания?

На първо място, е необходимо да се класифицират най-доброто от своите знания. Основните характеристики на неговата класификация следва да служат като неговата степен на поверителност и значение за организацията, а животът му (някои остарели документи седмично, а други - за годината), необходимостта да се работи за определени служители. В действителност, тази класификация - почти готов инструкции за това как и на кого да предоставят или да ограничи достъпа до определена информация, и без това да се извърши по-нататъшна работа по прилагането на контрол на достъпа в организацията ще бъде много, много трудно.

Някои компании пропускат да го "ненужно" подготвителен етап, като обясни такъв етап от факта, че класификацията на данните отнема твърде много време. Продуктивна този подход е трудно да се име: това е като че строителите не си изкопал яма и изливаха основите, позовавайки се на липса на време. Построена през този начин къщата ще се срине по-бързо, отколкото е била издигната.

След като информацията е класифицирана, можете да определите нива на достъп и потребителски групи, които ще имат право на достъп до информация на съответните равнища. Не е необходимо да се включат, тъй като и двете твърде малко и твърде много нива и групи няма да бъдат ефективни в първия случай ще можете да ограничите достъпа не са напълно във втория - може просто да се обърквам кой и какво трябва да има достъп.

На следващо място, е важно внимателно да се документира всичко това, за да се опише част от политиката за сигурност и длъжностните характеристики. Необходимо е също така да се определи кой трябва да бъде отговорен за контрол на достъпа и по-подробна класификация на наскоро налична информация. Като правило, то не е проблем - тази роля се основава естествено на отдела по сигурността на информацията, или в малка организация, само един служител, който е отговорен за сигурността на информацията в компанията.

След като са готови документите, може да се пристъпи към избора на начина на диференциация на достъп до данните. Въпреки факта, че има редица специални решения, ние не трябва да забравяме, вградените средства операционни системи, бази данни и различни корпоративни софтуерни продукти, като например CRM или ERP-система. С помощта на компетентен внедряване на разработените политики за ограничаване на достъпа на нивото на корпоративни информационни мрежи и отделни ресурси, които дават възможност да се реши проблема, казват те, "малко кръв", тоест, може да разчита на значителни финансови инвестиции директно в средствата за достъп.

Важна роля в осигуряването на контрол на достъпа играе управляващия софтуер, като DLP-система. Чрез контролиране на потока от информация в рамките на организацията, DLP-система ви позволява да следите как се прилага ефективно в компанията разработи собствената си политика на сигурност, и това се отнася не само за определянето на границите на достъп до данните, но и с много други аспекти на компанията информационна сигурност.

Определено си струва да се подготви за това, че реализацията на всички стъпки описани по-горе изисква много време и пари, но компанията ще бъде много по-ниска, отколкото на риска от изтичане на поверителни данни от повечето от конкурентите си. И имайки предвид, че средната цена на теч в света вече е $ 5,5 милиона, това конкурентно предимство, е повече от достатъчно силен аргумент в полза на да се участва във всички тези трудности.