Разграничение доступа к информации на компьютере

// // Интересное в сети //

Информация, хранящаяся на компьютерах в корпоративной сети, имеет разные уровни конфиденциальности. Идеальная схема работы с этой информацией подразумевает, что доступ к данным сотрудники получают в зависимости от своего статуса в компании. Доступ к конфиденциальной информации, например, должен быть лишь у руководящего звена. Разграничение доступа к информации, хранящейся в корпоративной сети, обеспечивается с помощью системы авторизованного доступа. О том, как построить такую систему и пойдет речь в нашем обзоре. 

Защита конфиденциальной информации рабочей станции пользователя от несанкционированного доступа (НСД) к ней является одним из основных видов обеспечения безопасности информации на пользовательском уровне. Разграничение доступа к информации - одно из главных требований при строительстве ИТ-системы в компании. Чтобы наладить правильно такую систему, нужно обратиться к одному из поставщиков услуг по ИТ-аутсорсингу.

Комплекс средств защиты информации персонального компьютера (ПК) от НСД к ней предназначен для:

  1. обеспечения конфиденциальности информации, хранимой на рабочей станции;
  2. разграничения доступа к информации, хранимой на рабочей станции;
  3. обеспечения защиты от кражи и изменения информации.

Средства защиты, которые будут отвечать за разграничение доступа к информации, должны осуществлять:

  1. аутентификацию/идентификацию пользователей при входе в систему компьютера;
  2. криптографическое преобразование конфиденциальных данных, хранимых на рабочей станции пользователя; 
  3. блокировку загрузки с отчуждаемых носителей (FDD, CD-ROM, ZIP Drive и т.п.) и прерывание контрольных процедур с клавиатуры; 
  4.  выполнение режима доверенной загрузки; 
  5.  регистрацию контролируемых событий;
  6. анализ (аудит) регистрируемых событий;
  7. удобное управление средствами защиты.

Дополнительно, для автономных рабочих станций средства защиты должны обеспечивать:

  1. антивирусную проверку и контроль целостности программной среды ноутбука;
  2. фильтрацию сетевого потока данных, как поступающего, так и исходящего с автономной рабочей станции;
  3. обнаружение и блокирование в реальном времени внешних вторжений.

В данном решении в качестве средств усиленной аутентификации для рабочих станций, непосредственно подключенных к КИС, рекомендуется использовать комплекс защиты от НСД "Аккорд-NT/2000", а для автономных рабочих станций (ноутбуков) - SmartLogon.

В качестве средств криптографического преобразования информации, хранимой на рабочей станции, рассматриваются продукты StrongDisk Pro или SecretDisk. Оба продукта обеспечивают резервное копирование и/или восстановление ключей шифрования.

Для обеспечения надежного уровня защиты от НСД автономных рабочих станций рекомендуется использовать пакеты программных продуктов, которые включают в себя персональный брандмауэр, или программный продукт Cisco Security Agent.

Важным критерием грамотного построения комплекса защиты информации ПК является возможность его целостной интеграции в единую систему обеспечения безопасности информации (СОБИ) компании. То есть комплекс должен тесно взаимодействовать с другими средствами защиты, входящих в СОБИ и реализованных в виде отдельных полнофункциональных подсистем безопасности. Такая система позволит построить полноценную систему разграничения доступа к информации и не допустит несанкционированного доступа к конфиденциальным данным.