В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Михаил Башлыков, руководитель направления информационной безопасности компании КРОК
На современном этапе развития общества информация является таким же активом компании, как ее продукты и услуги, технологии и процессы, финансовые и трудовые ресурсы. Во многих компаниях большая часть информации хранится и обрабатывается в электронном виде. Конечно, это в разы повышает удобство работы и скорость взаимодействия, а также позволяет автоматизировать бизнес-процессы и т.п. Однако риски, связанные с нарушением установленного статуса информации (конфиденциальность, целостность, доступность), растут пропорционально выгоде.
ПРЕДОТВРАЩЕНИЕ утечки информации по сути своей является обеспечением одного из неотъемлемых ее свойств - конфиденциальности. Разглашение конфиденциальной информации приводит к прямым материальным убыткам, потере интеллектуальной собственности, снижению репутации организации и уровня доверия клиентов и партнеров. Кроме того, увеличивается риск финансовой ответственности компании за нарушение правовых норм, регулирующих процессы обработки конфиденциальных данных. В большинстве случаев предотвратить утечку и сократить риски нарушения конфиденциальности только техническими средствами или только организационными методами невозможно - необходим комплексный подход. Каждый владелец информации должен уметь ответить на следующие вопросы: где хранятся конфиденциальные данные, кто имеет к ним доступ, кем и как они используются, куда перемещаются?
Наилучшим техническим вариантом для предотвращения утечки данных является применение систем класса DLP (Data Loss/Leakage Prevention). Они контролируют все наиболее вероятные каналы утечки (электронная почта, Интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и др.), позволяют идентифицировать информацию самыми современными способами, что обеспечивает наименьшее количество ложных срабатываний.
Также для обеспечения конфиденциальности информации используются системы класса IRM (Information Right Management). В данном случае защита осуществляется на уровне контента, то есть защищается сама информация, например внутри электронного письма или документа, и становится доступной только тем сотрудникам, которым доступ разрешен политикой безопасности.
Кроме перечисленных, существуют точечные решения по защите от утечки (например, контроль только съемных носителей или только мобильных устройств). Они могут оправдать себя в случае, если в компании остро стоит проблема одного-двух определенных каналов утечки. Данные решения, как правило, не осуществляют анализ самой информации, защита идет исключительно на уровне разграничения доступа к определенным устройствам и портам, что не так удобно и гибко. И в будущем, в случае появления потребности в комплексной защите от утечки, издержки, связанные с интеграцией ранее внедренных решений по контролю отдельных каналов, неприятно удивят.
Однако не стоит забывать о других методах, используемых инсайдерами для разглашения конфиденциальной информации, таких как фотографирование экрана монитора, переписывание на бумажный носитель и пр. Системы DLP, IRM и другие технические средства здесь бессильны, но на помощь приходят организационные мероприятия - обучение сотрудников, создание корпоративной культуры информационной безопасности и т.п.
Остановимся подробнее на системах DLP. Понятие DLP (Data Loss/Leakage Prevention -предотвращение утечки информации) появилось достаточно давно и характеризует системы подобного класса. Изначально это маркетинговое название, которое придумали производители подобных систем. Поэтому есть некоторая путаница в терминологии: например, система шифрования жестких дисков также обеспечивает конфиденциальность хранящейся информации, то есть предотвращает утечку этой информации, но никто не называет системы шифрования системами DLP. Или, например, если почтовый сервер просто умеет фильтровать исходящие письма и в зависимости от наличия в них ключевых слов принимает решение об отправке письма вовне, можно ли назвать такое решение системой DLP? Думаю, нет.
Современная система класса DLP представляет собой техническое решение, которое в совокупности с организационными методами (регламенты, руководства, политики, отчетность, обучение сотрудников) обеспечивает комплексную защиту от утечки информации. Система обладает следующими основными характеристиками:
На данный момент на российском рынке представлено достаточное количество производителей систем DLP, рынок относительно молодой и, несмотря на кризис, продолжает расти. При построении решения по защите от утечки информации мы используем продукты лидеров - Symantec, Websense, RSA, которые отлично зарекомендовали себя и имеют богатый опыт инсталляций по всему миру. Данные производители имеют четкий план развития продуктов, понимают потребности и специфику рынка. Выбор продукта на стадии проектирования в первую очередь зависит от потребностей заказчика и особенностей существующей у него инфраструктуры.
Построение системы предотвращения утечки является комплексным проектом, в котором могут быть задействованы как технические специалисты и аудиторы, так и представители бизнес-подразделений заказчика. В целом этапы проекта можно разбить на две составляющие: организационная часть и техническая.
К организационной части можно отнести следующие основные этапы:
Основные этапы технической части:
На основе опыта компании КРОК по внедрению DLP-систем могу отметить, что успех проекта и эффективная отдача от внедрения системы во многом зависят от следующих факторов:
В заключение хотелось бы добавить, что само по себе внедрение системы DLP не является панацеей и мгновенной защитой от всех внутренних угроз, связанных с нарушением конфиденциальности. Действующая система позволяет исключить практически все возможности случайной утечки информации (например, информация лежит в открытом доступе на файловом сервере, сотрудник не знал, что информация конфиденциальная и пытался отправить ее знакомому). А в совокупности с такими методами защиты, как шифрование информации, разграничение доступа, аудит и мониторинг событий ИБ, организационно-правовыми методами она существенно затруднит осуществление умышленной кражи конфиденциальной информации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2010