Аудит безпеки

Збільшення ризику несанкціонованого доступу: Якщо ролі надаються занадто широкі права, користувачі можуть отримати доступ до інформації або функцій, які повинні бути обмежені.

Несанкціонована зміна даних: Користувачі можуть внести зміни в дані або конфігурацію, що може призвести до неправильної роботи регламенту.

Збільшення ризику витоку інформації: Доступ до даних, який не передбачено роллю, може призвести до ненавмисного або навмисного розголошення конфіденційної інформації.

Необхідно розробити та поставити процес регулярного огляду налаштувань прав доступу, щоб гарантувати, що кожна роль має лише відповідні права.

Завжди надавайте ролям мінімум необхідних прав.

Навчання розробників регламенту основам інформаційної безпеки й важливості обмеження доступу.

Збільшення ризику шахрайства та зловживань: Користувачі з розширеними правами можуть здійснювати небезпечні зміни, які не можуть бути легко виявлені або відновлені.

Ризик втрати даних: Користувачі з великими повноваженнями можуть випадково або навмисно видалити важливі дані.

Збільшений ризик взломів: Якщо багато користувачів мають розширені права, атакуючі будуть мати більше цілей для спроб взлому, що може призвести до компрометації системи.

Розголошення конфіденційної інформації: Більше користувачів з високим рівнем доступу означає більше можливостей для витоку або розголошення конфіденційної інформації.

Неодхідно розробити та поставити процес регулярного огляду ролей в системі та визначення, хто дійсно потребує розширених прав.

Завжди надавайте користувачам та системам лише ті права, які вони дійсно потребують для виконання своїх завдань.

Обмежте тривалість часу, протягом якого розширені права присвоюються ролям у разі необхідності, і встановіть процес перегляду та відновлення цих прав.

Проводьте регулярні сесії навчання з інформаційної безпеки для користувачів яким було присвоєно ролі з розширеними повноваженнями.

Збільшення ризику шахрайства: Якщо одна особа контролює всі етапи критичного процесу, їй легше скоїти шахрайство, не будучи виявленою.

Відсутність контролю: Без розділення обов’язків складно виявити помилки або неналежні дії, що можуть призвести до втрати даних, збитків або інших проблем.

Конфлікти інтересів: Одна особа може здійснювати дії на користь собі та на шкоду організації.

Збільшення ризику втрати конфіденційної інформації: Без належного розділення обов’язків особа з надмірними повноваженнями може мати доступ до інформації, яка їй не потрібна для роботи, і може використовувати або розголошувати цю інформацію неналежним чином.

Основна мета полягає в тому, щоб жодна окрема особа не мала досить авторитету або можливості виконувати, одноосібно, всі етапи критичного процесу.

Розділення обов’язків забезпечує, що окремі особи виконують різні функції, що зменшує ризик зловживань.

Коли кілька осіб перевіряє та підтверджує дії одна одної, існує менший ризик несанкціонованих або помилкових дій.

Розділення обов’язків ускладнює вчинення шахрайства, оскільки це вимагає співпраці кількох осіб.

Зменшення ризику витоку даних: Для отримання доступу до всіх даних необхідно широка площа атаки на всіх користувачів.

Підвищення контролю доступу: Кількість отриманих даних обмежена не залежно від запиту користувача атрибутами які присвоєні даному користувачу.

При побудові централізованих реєстрів, які мають децентралізовану природу та базуються на територіальній приналежності можна використовувати КАТОТТГ коди в якості атрибутів користувачів.

Для зменшення ризиків витоку конфіденційної інформації не слід використовувати таку інформацію як атрибут для користувачів для обмеження доступу до даних на базі RLS

Зменшення ризику несанкціонованого доступу: Дані мають додатковий рівень захисту, таким чином у разі зловживань або помилок у бізнес-процесі виконується додаткові перевірки доступності операції.

Несанкціонована зміна даних: Можливість надання користувачу доступ тільки на читання на рівні дата моделі зменшує шанс несанкціонованої зміни даних.

Використовувати мінімальні необхідні доступні права до даних.

Ризик витоку даних: Збільшується ймовірність витоку конфіденційних даних, якщо база даних буде скомпрометована.

Збільшення цілей для атак: Збільшена кількість конфіденційних даних у базі робить її більш цінною ціллю для зловмисників.

Ускладнення відновлення: У випадку втрати даних буде важче відновити систему без ризику для конфіденційності інформації.

Недотримання законодавчих та нормативних вимог: Збільшення ймовірності виникнення проблеми з дотриманням вимог законодавства щодо захисту конфіденційних даних.

Зберігайте лише ті дані, які дійсно необхідні для функціонування системи.