№ 3, июль 2021 www.itsec.ru Издание компании XVII МеждунарОдная выставка Октябрь 2021 Спецпроект DLP КаК выбрать DLP и не разочароваться? 9 вопросов, Которые нужно заДать венДору DLP от DLP К КомплеКсной аналитиКе мониторинГ аКтивности пользователей в DLP поймать и обезвреДить \"шпиона\" в офисе без установКи системы виДеонаблюДения чему моГут научить системы безопасности аэропорта моДель \"нулевоГо Доверия\": хайп или реальный инструмент? от VPN К ZTNA – эволюция безопасной уДаленной работы инструмент управления соответствием требованиям реГуляторов использование IRP в Качестве яДра управления процессом управления инциДентами иб Дмитрий Григорович Разумная достаточность безумно необходима в инфоРмационной безопасности
Реклама
www.itsec.ru DLP на распутье Амир Хафизов, выпускающий Последний год поставил концептуальный вопрос перед рынком DLP-решений. редактор журнала В связи с массовым переводом пользователей на удаленный режим работы на службы инфор- “Информационная мационной безопасности легла ответственность не только за организацию безопасности дистан- ционных рабочих мест, но и за ряд вытекающих из этой ситуации задач, например проведение безопасность” расследований в новых условиях или контроль рабочего времени сотрудников – по принципу \"А кто же еще?\". В результате волны требований со стороны заказчиков новый функционал начал появляться и развиваться в DLP-системах. Открытие новых возможностей привело к не вполне однозначной реакции как со стороны вен- доров, так и части заказчиков. Ведь изначально DLP-системы подкупали чистотой реализуемой идеи – контроль каналов передачи данных и охота за подозрениями на инциденты. Но с тех пор много воды утекло, и новая функциональность начала размывать сложившийся фокус, зачастую вовлекая безопасников в несвойственную им деятельность, а сотрудников других подразделе- ний – в ряды пользователей DLP-системы. С другой стороны, расширенная функциональность позволяет увеличить количество процессов, которые контролируются службой информационной безопасности, причем в поддержании ИБ начинают участвовать сотрудники других подразделений. Это важно, потому что информационной безопасностью должны заниматься не только сотрудники ИБ, но и ИТ, и юридический отдел, и HR, и топ-менеджмент. И вот он, идеальный инструмент! Более того, из DLP-системы обычно вытекает озеро данных того смыслового уровня, который без особой подготовки может быть понятен сотрудникам нетехнических подразделений, включая руководителей организации. Ситуация осложняется тем, что заказчики, решая сиюминутные задачи, готовы платить за новую функциональность, вводя производителей в искушение. И вопрос \"Развивать ли появившуюся функциональность?\" уже не стоит, за производителей этот выбор сделали пользователи. Выбор сводится же к тому, выделять ли новую, не вполне профильную функциональность в отдельный продукт или все-таки продолжать ее совершенствовать внутри DLP, расширяя область применения, но при этом рискуя через несколько лет получить монстра, потребляющего для своего поддержания все девелоперские ресурсы. Ближайшие один-два года дадут ответ на этот вопрос, и от него зависит, каким курсом пойдет развитие рынка DLP в России. •1
СОДЕРЖАНИЕ стр. ПРАВО И НОРМАТИВЫ 10 Анастасия Заведенская стр. Обзор изменений в законодательстве. Май, июнь – 2021 . . . . . . . .4 14 В ФОКУСЕ стр. ПЕРСОНЫ Дмитрий Григорович 16 Разумная достаточность безумно необходима в информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 стр. СПЕЦПРОЕКТ 66 DLP Галина Рябова Портрет современной DLP-системы . . . . . . . . . . . . . . . . . . . . . . . . . .14 Алексей Раевский Выбор идеальной DLP-системы: 9 вопросов, которые нужно задать вендору . . . . . . . . . . . . . . . . . . .16 Алексей Парфентьев Как выбрать DLP и не разочароваться? . . . . . . . . . . . . . . . . . . . . . .20 Сергей Вахонин Мониторинг активности пользователей в DeviceLock DLP 9.0 . . .22 Дмитрий Горлянский От DLP к комплексной аналитике . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Александр Пирожков Safetica – цифровой помощник для бизнеса . . . . . . . . . . . . . . . . . .26 Дмитрий Кандыбович Как обеспечить ИБ без чрезмерных усилий? . . . . . . . . . . . . . . . . .28 DLP умерла. Да здравствует DLP! . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 Игорь Калайда Поймать и обезвредить \"шпиона\" в офисе без установки системы видеонаблюдения . . . . . . . . . . . . . . . . . . . .32 Максим Сяглов DLP: взгляд со стороны заказчика. Круглый стол . . . . . . . . . . . . .34 Обзор DLP-решений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 2•
СОДерЖание Журнал \"Information Security/Информационная Управление безопасность\" № 3, 2021 Сергей Меньшаков Издание зарегистрировано Чему могут научить системы безопасности аэропорта . . . . . . . . .46 Валерий Естехин в Минпечати России Роли в информационной безопасности . . . . . . . . . . . . . . . . . . . . . . .48 Свидетельство о регистрации Светлана Прусская, Екатерина Ефремова ПИ № 77-17607 от 9 марта 2004 г. \"Единая контрольная среда\" как инструмент управления соответствием требованиям регуляторов . . . . . . . . . .51 Учредитель и издатель компания \"ГРОТЕК\" АвтомАтизАция Тимур Зиннятуллин Генеральный директор ООО \"ГРОТЕК\" Практика работы SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54 Андрей Мирошкин Илья Петров использование IRP в качестве ядра Издатель для процесса управления инцидентами иБ . . . . . . . . . . . . . . . . . . .56 Владимир Вараксин ТеХнОлОГии Выпускающий редактор Амир Хафизов Андрей Жаркевич, Виктор Сердюк от повышения осведомленности – к культуре безопасности . . .58 Редактор Светлана Хафизова зАщитА сЕтЕй Новые возможности Ideco UTM 10 . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Корректор Сергей Забула Галина Воронина от VPN к ZTNA – эволюция безопасной удаленной работы . . . . .62 Александр Ветколь Дизайнер-верстальщик модель \"нулевого доверия\": хайп или реальный инструмент? . .64 Ольга Пирадова БЕзоПАсНАя РАзРАБотКА Фото на обложке Алексей Смирнов, Дарья Орешкина Софья Ларина топ-3 вопросов про SCA от тех, кто про него уже слышал . . . . . .66 Юрисконсульт нОвЫе прОДУКТЫ и нЬЮСМеЙКерЫ Кирилл Сухов, [email protected] Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72 Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, [email protected] Отпечатано в типографии ООО “\"Линтекст\", Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442 Для почты 123007, Москва, а/я 26 E-mail: [email protected] Web: www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © \"ГРОТЕК\", 2021 •3
ПРАВО И НОРМАТИВЫ Обзор изменений в законодательстве ФСТЭК и ФСБ России с 1 сентября начнут штрафовать за нарушение обеспечения безопасности КИИ Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности Май-2021 В мае 2021 г. ФСТЭК России сообщила об изменении процедур аттестации объектов информатизации, обрабатывающих информацию, составляющую государственную тайну. Официально опубликованы изменения в КоАП РФ, вносящие штрафные санкции за нарушение обеспечения безопасности КИИ, и приказы ФСБ России, касающиеся обращения с электронной подписью. Изменены сроки реализации требований, в том числе по защите информации, для систем оформления воздушных перевозок. Аттестация объектов l ГОСТ РО 0043-003–2012 Защита Кодекс Российской Федерации об адми- информатизации информации. Аттестация объектов информатизации. Общие положения. нистративных правонарушениях\"3 Информационным сообщением от 29 апреля 2021 г. № 240/24/2087 ФСТЭК С целью организации контроля за (далее – Федеральный закон) был офи- России сообщает об утверждении Порядка выполнением работ по аттестации объ- организации и проведения работ по атте- ектов информатизации Порядком атте- циально опубликован 26 мая 2021 г. стации объектов информатизации на соот- стации предусмотрено ведение ФСТЭК ветствие требованиям о защите информа- России единого реестра аттестованных Федеральный закон вступил в силу ции, содержащей сведения, составляющие объектов информатизации, а также пред- государственную тайну1 (далее – Порядок ставление организациями, проводивши- с 6 июня 2021 г., за исключением п.1 аттестации). В этом информационном пись- ми аттестацию, материалов с результа- ме отмечается, что Порядок аттестации тами аттестационных испытаний каждого ст. 13.12 об ответственности за наруше- был утвержден приказом ФСТЭК России объекта информатизации в территори- от 28 сентября 2020 г. № 110. альные органы ФСТЭК России. В случае ние требований к созданию систем без- установления по результатам экспертизы Порядок аттестации вступает в силу указанных материалов факта несоот- опасности значимых объектов КИИ, с 1 июня 2021 г. и отменяет действие ветствия аттестованного объекта инфор- следующих документов при организации матизации требованиям о защите инфор- он вступит в силу с 1 сентября 2021 г. и проведении работ по аттестации объ- мации действие аттестата соответствия ектов информатизации, обрабатывающих может быть приостановлено до устране- (см. табл. 1). информацию, содержащую сведения, ния выявленного несоответствия объекта составляющие государственную тайну: информатизации установленным требо- В рамках Федерального закона пред- l Положение по аттестации объектов ваниям. информатизации по требованиям без- лагается наделить ФСТЭК России и ФСБ опасности информации, утвержденное Перечень органов по аттестации председателем Гостехкомиссии России и органов государственной власти, имею- России полномочиями по рассмотрению 25 ноября 1994 г.; щих право проведения работ по атте- l Типовое положение об органе по атте- стации объектов информатизации в соот- дел об административных правонару- стации объектов информатизации по ветствии с приказом ФСТЭК России от требованиям безопасности информации, 28 сентября 2020 г. № 110, размещен на шениях. утвержденное председателем Гостехко- официальном сайте ФСТЭК России2. миссии России 5 января 1996 г. № 3; Краткая сводка статей за нарушение l ГОСТ Р 58189–2018 Защита инфор- КоАП и КИИ мации. Требования к органам по атте- обеспечения безопасности КИИ, вноси- стации объектов информатизации; Федеральный закон от 26.05.2021 г. № 141-ФЗ \"О внесении изменений в мых в КоАП РФ, представлена в таблице ниже. Электронная подпись На официальном интернет-портале правовой информации в мае 2021 г. были опубликованы приказы ФСБ Рос- сии, устанавливающие требования к использованию электронной подписи: l приказ ФСБ России от 13.04.2021 г. № 142 \"О внесении изменения в приказ ФСБ России от 27 декабря 2011 г. № 796 \"Об утверждении Требований к сред- ствам электронной подписи и Требова- ний к средствам удостоверяющего цент- ра\"4 (далее – приказ ФСБ России № 142); 1 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2220-informatsionnoe-soobshchenie-fstek-rossii-ot- 29-aprelya-2021-g-n-240-24-2087 2 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/590-perechen-organov- po-attestatsii-n-ross-ru-0001-01bi00 3 http://publication.pravo.gov.ru/Document/View/0001202105260038 4 http://publication.pravo.gov.ru/Document/View/0001202105200019 4•
ПРАВО И НОРМАТИВЫ www.itsec.ru Реклама Таблица 1 Правонарушитель Административ- Полномочный орган Административное правонарушение ный штраф исполнительной власти Должностное лицо От 10 тыс. ФСТЭК России Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований до 50 тыс. руб. по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ ФСБ России Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий От 20 тыс. ФСБ России компьютерных атак, проведенных в отношении значимых объектов КИИ до 50 тыс. руб. Непредставление или нарушение порядка либо сроков представления информации, предусмотренной законодательством в области Юридическое лицо От 50 тыс. ФСТЭК России обеспечения безопасности КИИ, в ГосСОПКА до 100 тыс. руб. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными От 100 тыс. до ФСБ России органами иностранных государств, международными организациями, 500 тыс. руб. международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредставление или нарушение порядка либо сроков представления информации, предусмотренной законодательством в области обеспечения безопасности КИИ, в ГосСОПКА l приказ ФСБ России от 13.04.2021 г. нию владельцев квалифицированных ваний к средствам доверенной третьей № 143 \"О внесении изменения в пункт 2 сертификатов электронной подписи\"5 стороны, включая требования к исполь- приказа ФСБ России от 4 декабря (далее – приказ ФСБ России № 143); зуемым доверенной третьей стороной 2020 г. № 554 \"Об утверждении Поряд- l приказ ФСБ России от 13.04.2021 г. средствам электронной подписи\"6 ка уничтожения ключей электронной № 144 \"О внесении изменения в пункт 2 (далее – приказ ФСБ России № 144); подписи, хранимых аккредитованным приказа ФСБ России от 4 декабря l приказ ФСБ России от 20.04.2021 г. удостоверяющим центром по поруче- 2020 г. № 556 \"Об утверждении Требо- № 154 \"Об утверждении Правил под- 5 http://publication.pravo.gov.ru/Document/View/0001202105200017 •5 6 http://publication.pravo.gov.ru/Document/View/0001202105200024
ПРАВО И НОРМАТИВЫ тверждения владения ключом электрон- № 685 \"О внесении изменения в поста- обрабатываемых персональных данных9 ной подписи\"7 (далее – приказ ФСБ Рос- новление Правительства Российской (далее – ПДн) пассажиров и персонала сии № 154); Федерации от 24 июля 2019 г. № 955\"8 (экипажа) транспортных средств: l приказы ФСБ России № 142, № 143, (далее – ПП РФ № 685) было опублико- № 144 ограничивают действия приказов, вано 6 мая 2021 г. 1. При оформлении внутренних воз- в которые они, соответственно, вносят душных перевозок базы данных (далее – изменения до 1 января 2027 г. Постановлением Правительства РФ от БД) и серверы, входящие в состав АИС 24 июля 2019 г. № 955 были утверждены ОВП, должны располагаться на терри- Приказ ФСБ России № 154 вступает требования к автоматизированным тории РФ. Хотя допускается использо- в силу с 1 марта 2022 г. и действует до информационным системам оформления вание БД и серверов, расположенных 1 марта 2028 г., регламентирует порядок воздушных перевозок (далее – АИС вне территории РФ, но только при усло- проверки удостоверяющим центром ОВП), к базам данных, входящим в их вии исключения обработки в них ПДн соответствия ключа электронной подпи- состав, к информационно-телекоммуни- пассажиров, осуществляющих внутрен- си (далее – ЭП) ключу проверки ЭП, кационным сетям, обеспечивающим ний перелет. указанному лицом в заявлении на полу- работу указанных автоматизированных чение сертификата ключа проверки ЭП. информационных систем, к их оператору, 2. Операторам и пользователям АИС Правила не распространяется на случаи, а также меры по защите информации, ОВП необходимо контролировать соот- когда ключевая пара была создана удо- содержащейся в них, и порядку их функ- ветствие трансграничной передачи ПДн стоверяющим центром. ционирования. Постановление должно пассажиров требованиям законодатель- было вступить в силу с 31 октября 2021 г., ства РФ и порядку, установленному Автоматизированные однако ПП РФ № 685 сдвинуло срок до договором между операторами и поль- информационные системы 30 октября 2022 г. зователями. оформления воздушных перевозок Напомним, что основной акцент в кон- 3. При передаче данных по общедо- тексте информационной безопасности ступным каналам связи обязательно Постановление Правительства Рос- постановление Правительства РФ от применение сертифицированных средств сийской Федерации от 30.04.2021 г. 24 июля 2019 г. № 955 делает на защите криптографической защиты информа- ции. Июнь-2021 В июне 2021 г. регуляторы вели активную нормотворческую деятельность. В продолжение обзора изменений законодательства рассмотрим регламентацию защиты средств дистанционной работы, новые процедуры контрольно-надзорной деятельности по обработке персональных данных, требования к защите информации в финансовом секторе, штрафные санкции за разглашение информации ограниченного доступа и многое другое. ФСТЭК России. Средства использовать единообразную конфи- своения объектам КИИ одной из кате- безопасной дистанционной гурацию вне зависимости от категории горий значимости либо об отсутствии работы значимости объектов критической необходимости присвоения им одной информационной инфраструктуры из таких категорий (далее – сведе- Информационным сообщением от (далее – КИИ), класса государствен- ния). 23 июня 2021 г. № 240/24/3057 ФСТЭК ных информационных систем, класса России сообщает об утверждении Тре- защищенности автоматизированных Согласно информационному письму бований по безопасности информации систем управления производственны- рассмотрение перечней и сведений к средствам обеспечения безопасной ми и/или технологическими процесса- осуществляется центральным аппара- дистанционной работы в информацион- ми, уровня защищенности информа- том ФСТЭК России для субъектов ных (автоматизированных) системах10 ционных систем персональных данных КИИ, являющихся федеральными орга- (далее – Требования). Требования утвер- (далее – ПДн). нами исполнительной власти, а также ждены приказом ФСТЭК России от федеральными учреждениями здра- 16 февраля 2021 г. № 32. Субъекты КИИ в сфере воохранения. Управления ФСТЭК Рос- здравоохранения сии по федеральному округу, на тер- К средствам обеспечения безопасной ритории которых расположены соот- дистанционной работы в информацион- Информационным сообщением от ветствующие субъекты КИИ, осуществ- ных системах (ИС)/автоматизированных 18 июня 2021 г. N 240/82/1037 ФСТЭК ляют рассмотрение документов субъ- системах (АC) (далее – средства дис- России11 рекомендует порядок пред- ектов КИИ, являющихся органами вла- танционной работы) относятся средства ставления субъектами КИИ, осуществ- сти субъектов РФ, учреждениями здра- защиты информации, использующие ляющими деятельность в сфере здра- воохранения, подведомственными средства вычислительной техники, не воохранения, перечней объектов КИИ, органам власти субъектов РФ, а также входящие в состав указанных ИС/АС. подлежащих категорированию (далее – самостоятельными юридическими Средства дистанционной работы не перечни), сведений о результатах при- лицами. имеют дифференциации и должны 7 http://publication.pravo.gov.ru/Document/View/0001202105310030 8 http://publication.pravo.gov.ru/Document/View/0001202105060001 9 https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-avgust-2019/ 10 https:// fstec. ru/ normotvorc heskaya/ informatsionnye- i- analiticheskie- materialy/2243- informatsionnoe- soobshchenie- fstek- rossii- ot-23- iyunya-2021- g- n-240-24-3057 11 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290- inye/2240-informatsionnoe-soobshchenie-fstek-rossii-ot-18-iyunya-2021-g-n-240-82-1037 6•
ПРАВО И НОРМАТИВЫ www.itsec.ru Таблица 2 Группа Признаки отнесения к группе тяжести Группа Признаки отнесения к группе тяжести А вероятности вероятности Б Обработка специальной категории ПДн и/или биометрических ПДн 1 Деятельность контролируемых лиц осуществляется с нарушениями В Сбор ПДн, в том числе в сети \"Интернет\", осуществляемый с использо- требований законодательства РФ ванием баз данных, находящихся за пределами РФ в области ПДн, ответственность за Г которые предусмотрена частями Трансграничная передача ПДн на территорию иностранных государств, 1.1, 2.1, 5.1, 9 ст. 13.11 КоАП РФ не являющихся сторонами Конвенции Совета Европы о защите физиче- ских лиц при автоматизированной обработке ПДн и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обра- ботке ПД и обеспечивающих адекватную защиту прав субъектов ПДн Передача третьим лицам ПДн, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответ- ствии с законодательством РФ в области ПДн Обработка ПДн в целях, отличных от заявленных целей обработки ПДн 2 Деятельность контролируемых лиц на этапе их сбора осуществляется с нарушениями требований законодательства РФ Обработка ПДн несовершеннолетних лиц в случаях, не предусмотрен- в области ПДн, ответственность за ных федеральными законами которые предусмотрена частями 1, 2, 5, 6, 8 ст. 13.11 КоАП РФ Обработка ПДн в ИСПДн, содержащих ПДн более чем 20 тыс. субъектов ПДн в пределах субъекта РФ или РФ в целом Сбор ПДн, в том числе в сети \"Интернет\", осуществляемый с использо- ванием иностранных программ и сервисов Обработка ПДн близких родственников субъекта ПДн 3 Деятельность контролируемых лиц осуществляется с нарушениями Обработка ПДн в ИСПДн, содержащих ПДн от 1 тыс. до 20 тыс. субъек- требований законодательства РФ тов ПДн в области ПДн, ответственность за которые предусмотрена частями 4, Трансграничная передача ПДн на территорию иностранных государств, 7 ст. 13.11 КоАП РФ не являющихся сторонами Конвенции Совета Европы о защите физиче- ских лиц при автоматизированной обработке ПДн и включенных в пере- чень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обра- ботке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн Обезличивание ПДн, обработка ПДн, полученных в результате обез- личивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством РФ в области ПДн, без передачи третьим лицам Обработка ПДн в ИСПДн, содержащих ПДн менее чем 1 тыс. субъектов ПДн 4 Отсутствие обстоятельств, указанных в группах вероятности Обработка ПДн без предоставления в Роскомнадзор информации уведо- 1–3 мительного характера, предоставление которой предусмотрено ФЗ № 152 Обработка ПДн, полученных из общедоступных источников ПДн Трансграничная передача ПДн на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физиче- ских лиц при автоматизированной обработке ПДн Государственные Персональные данные. организации и осуществления государст- информационные системы Государственный контроль венного контроля и надзора за обработ- (надзор) кой персональных данных\" признано Постановление Правительства Россий- утратившим силу. ской Федерации от 31.05.2021 г. № 837 Постановление Правительства Россий- \"О внесении изменения в требования к ской Федерации от 29.06.2021 г. № 1046 Федеральный государственный конт- порядку создания, развития, ввода в экс- \"О федеральном государственном контроле роль (надзор) осуществляется посред- плуатацию, эксплуатации и вывода из (надзоре) за обработкой персональных ством проведения следующих контроль- эксплуатации государственных информа- данных\"13 (далее – ПП РФ № 1046) офици- ных (надзорных) мероприятий: ционных систем и дальнейшего хранения ально опубликовано 30 июня 2021 г. l инспекционный визит; содержащейся в их базах данных инфор- l документарная проверка; мации\"12 (далее – ПП РФ № 837) офици- ПП РФ № 1046 вступает в силу с l выездная проверка. ально опубликовано 1 июня 2021 г. 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации При этом согласно ПП РФ № 1046 Рос- ПП РФ № 837 увеличивает срок рас- и осуществления государственного конт- комнадзор может осуществлять меро- смотрения Минцифры России, ФСБ Рос- роля (надзора) за обработкой ПДн. Как приятия по контролю без взаимодействия сии и ФСТЭК России технических зада- и ранее, реализация полномочий конт- с контролируемым лицом в целях пред- ний на создание государственных инфор- рольно-надзорного органа осуществ- упреждения, выявления, прогнозирования мационных систем, а также срок рас- ляется Роскомнадзором. Ранее дей- и пресечения нарушения требований. смотрения ФСБ России и ФСТЭК России ствующее постановление Правительства моделей угроз безопасности информа- Российской Федерации от 13 февраля Для осуществления контроля (надзора) ции с 10 до 20 рабочих дней. 2019 г. № 146 \"Об утверждении Правил за обработкой вводится система оценки и управления рисками (см. табл. 2). При 12 http://publication.pravo.gov.ru/Document/View/0001202106010044 13 http://publication.pravo.gov.ru/Document/View/0001202106300055 •7
ПРАВО И НОРМАТИВЫ осуществлении контроля (надзора) под- ния рекомендаций по формированию Банк России. надзорные объекты классифицируются такого согласия. Полученные рекомен- Кредитные организации по одной из следующих категорий риска дации Роскомнадзора можно учесть при причинения вреда (ущерба) (далее – кате- использовании указанного шаблона для В июне 2021 г. Банк России опубли- гории риска): непосредственного получения согласия ковал проект указания \"О внесении l высокий риск; от субъекта ПДн в соответствии с п.1 изменений в положение Банка России l значительный риск; ч.6 ст.10.1 ФЗ № 152. от 17 апреля 2019 года № 683-П \"Об l средний риск; установлении обязательных для кре- l умеренный риск; Напомним, что с 1 сентября 2021 г. дитных организаций требований l низкий риск. для операторов вступают в силу обяза- к обеспечению защиты информации тельные требования к форме согласия при осуществлении банковской дея- Единая биометрическая система на обработку ПДн, разрешенных для тельности в целях противодействия распространения. Обязанность опера- осуществлению переводов денежных ФСБ России представила для обще- торов получать отдельное согласие граж- средств без согласия клиента\" (683-П)\"17 ственного обсуждения проект постанов- данина на распространение его ПДн (далее – указание). Предполагается, ления Правительства Российской Феде- установлена Федеральным законом от что изменения, вносимые указанием рации \"О порядке осуществления феде- 30 декабря 2020 г. № 519-ФЗ \"О внесе- в 683-П, должны будут вступить в силу ральным органом исполнительной власти, нии изменений в Федеральный закон с 1 апреля 2022 г. уполномоченным в области обеспечения \"О персональных данных\", который всту- безопасности, и федеральным органом пил в силу 1 марта 2021 г. Приведем несколько основных пунктов исполнительной власти, уполномоченным изменений 683-П, предлагаемых указа- в области противодействия техническим Электронная подпись (ЭП) нием: разведкам и технической защиты инфор- мации, контроля и надзора за выполне- Приказ ФСБ России от 01.05.2021 1. Требования по сертификации про- нием органами, организациями, индиви- № 171 \"Об утверждении организацион- граммного обеспечения (далее – ПО) по дуальными предпринимателями, нота- но-технических требований в области требованиям ФСТЭК России уточнены риусами, указанными в части 18.2 информационной безопасности к дове- и унифицированы с положением Банка статьи 14.1 Федерального закона от ренным лицам удостоверяющего центра России от 4 июня 2020 г. № 719 \"О тре- 27 июля 2006 г. № 149-ФЗ, организа- федерального органа исполнительной бованиях к обеспечению защиты инфор- ционных и технических мер по обеспече- власти, уполномоченного на осуществ- мации при осуществлении переводов нию безопасности персональных данных ление государственной регистрации юри- денежных средств и о порядке осу- с использованием средств защиты дических лиц\"16 (далее – приказ ФСБ ществления Банком России контроля за информации, указанных в части 18.3 России № 171) официально опубликован соблюдением требований к обеспечению статьи 14.1 Федерального закона от 1 июня 2021 г. Приказ ФСБ России защиты информации при осуществлении 27 июля 2006 г. № 149-ФЗ\"14 (далее – № 171 вступает в силу с 1 марта 2022 г. переводов денежных средств\". проект ПП РФ). Общественные обсужде- и действует до 1 марта 2028 г. ния пройдут до 15 июля 2021 г. 2. Усилены требования по оценке Ниже приведем несколько требований соответствия прикладного ПО, также Проект ПП РФ направлен на опреде- по информационной безопасности зафиксирована возможность для кре- ление порядка осуществления ФСБ к доверенным лицам согласно приказу дитных организаций самостоятельно России и ФСТЭК России мероприятий ФСБ России № 171: выбирать, как провести оценку соот- по контролю за выполнением органи- l обеспечение контролируемой зоны ветствия прикладного ПО – самостоя- зационных и технических мер по обес- в зданиях и помещениях, предназна- тельно или с привлечением лицензиа- печению безопасности ПДн и исполь- ченных для размещения технических тов ФСТЭК России по технической зованием СрЗИ в единой биометриче- средств, обеспечивающих выполнение защите конфиденциальной информа- ской системе (ЕБС). Контроль прово- доверенным лицом своих функций; ции. дится в целях проверки соблюдения l организация и ведение учета машин- государственными органами, органами ных носителей информации, используе- 3. Уточнены требования по иденти- местного самоуправления, организа- мых средствами криптографической фикации устройств клиентов, в том циями, индивидуальными предприни- защиты информации (далее – СКЗИ), числе при организации удаленного мателями и нотариусами требований включая средства ЭП, а также обес- доступа, а также требования по мони- по обеспечению безопасности ПДн. печение их защиты от несанкциониро- торингу поведения клиентов, осуществ- ванного доступа; ляющих операции с мобильных Согласие на обработку ПДн, l соблюдение требований эксплуата- устройств. разрешенных субъектом ПДн для ционной документации на используемые распространения СКЗИ, включая средства ЭП; 4. Уточнено, что кредитные организа- l применение для выполнения возло- ции должны осуществлять информиро- В конце июня 2021 г. на сайте Рос- женных на доверенное лицо функций вание Банка России не только о выявлен- комнадзора опубликована информация ИС, аттестованных на соответствие Тре- ных инцидентах защиты информации, о действии с 1 июля 2021 г. сервиса для бованиям o защите информации, не но и о предпринятых мерах реагирования операторов ПДн15, позволяющего опе- составляющей государственную тайну, на инцидент. ратору ПДн подготовить шаблон формы содержащейся в государственных согласия на обработку ПДн, разрешен- информационных системах, утвержден- Некредитные финансовые ных субъектом ПДн для распростране- ным приказом ФСТЭК России от 11 фев- организации ния, с учетом профессиональной специ- раля 2013 г. № 17; фики деятельности оператора. l разработка, введение и утверждение Положение Банка России от локальных актов, регламентирующих 20 апреля 2021 г. № 757-П \"Об уста- Сформированный шаблон формы меры реализации требований по инфор- новлении обязательных для некре- согласия оператор по желанию может мационной безопасности. дитных финансовых организаций тре- направить в Роскомнадзор для получе- бований к обеспечению защиты информации при осуществлении дея- тельности в сфере финансовых рын- ков в целях противодействия осу- 14 https://regulation.gov.ru/projects#npa=117301 15 https://regulation.gov.ru/Projects/List#npa=116536 16 http://publication.pravo.gov.ru/Document/View/0001202106010058 17 https://regulation.gov.ru/projects#npa=116751 8•
ПРАВО И НОРМАТИВЫ www.itsec.ru 22 августа – день рождения Кирилла Солодовникова, генерального директора Infosecurity Команда Infosecurity поздравляет генерального директора Кирилла Солодовникова, своего идейного вдохновителя, прекрасного руководителя и просто чудесного человека, с днем рождения! Для своих сотрудников Кирилл является примером для подражания. Благодаря его профессионализму, пониманию всех бизнес- процессов и умению видеть перспективу компании удалось занять достойное место в сфере информационной безопасности. Infosecurity желает Кириллу сил и энергии для новых свершений, креативных идей и возможностей для их реализации, а также преданных друзей и единомышленников! Какими бы сложностями ни грозил новый день, Кирилл может быть уверен, что его команда всегда будет рядом, подставит плечо и поддержит! С днем рождения! ществлению незаконных финансовых му (минимальному) уровню по ГОСТ кредитных историй защиты информа- операций\"18 (далее – 757-П) офици- Р 57580.1. ции\"19 был опубликован 21 июня 2021 г. ально опубликовано 22 июня 2021 г. (далее – проект положения). Предпола- 757-П вступило в силу 3 июля 2021 г. 2. Определять уровень защиты инфор- гается, что проект положения должен (за исключением отдельных положе- мации нужно теперь не позднее 10-го вступить в силу с 1 октября 2022 г., ний) и отменило предыдущее поло- рабочего дня в году (ранее была фор- за исключением некоторых пунктов. жение Банка России от 17 апреля мулировка о первом рабочем дне). 2019 г. № 684-П \"Об установлении Проект положения схож по своей кон- обязательных для некредитных 3. Оценка соответствия по ГОСТ Р цепции и требованиям с другими норма- финансовых организаций требований 57580.2–2018 \"Безопасность финансо- тивными актами Банка России по защите к обеспечению защиты информации вых (банковских) операций. Защита информации. Бюро кредитных историй при осуществлении деятельности информации финансовых организаций. должны будут обеспечивать выполнение в сфере финансовых рынков в целях Методика оценки соответствия\" (далее – ГОСТ Р 57580.1, осуществление оценки противодействия осуществлению ГОСТ Р 57580.2–2018) обязательна толь- соответствия по ГОСТ Р 57580.2–2018, незаконных финансовых операций\". ко для организаций, реализующих уси- использование сертифицированного ПО ленный или стандартный уровень защи- или ПО, в отношении которого проведе- Основные изменения, вносимые ты информации по ГОСТ Р 57580.1. на оценка соответствия, уведомление 757-П для некредитных финансовых Банка России об инцидентах защиты организаций: 4. Добавлено уточнение, что в слу- информации и т.д. чае выявления уязвимостей инфор- 1. Изменились критерии исполнения мационной безопасности по резуль- Информация ограниченного ГОСТ Р 57580.1–2017 \"Безопасность татам анализа уязвимостей или тести- доступа финансовых (банковских) операций. рования на проникновение организа- Защита информации финансовых ции, реализующие усиленный и стан- Федеральный закон от 11.06.2021 г. организаций. Базовый состав орга- дартный уровни защиты информации, № 206-ФЗ \"О внесении изменений низационных и технических мер\" должны устранять выявленные уязви- в Кодекс Российской Федерации об (далее – ГОСТ Р 57580.1): произошло мости. административных правонарушениях\"20 перераспределение, какие организа- (далее – ФЗ № 206) официально опуб- ции какой уровень защиты по ГОСТ 5. Как и для всех положений Банка ликован 11 июня 2021 г. Р 57580.1 должны реализовать. Для России, приведены уточнения по серти- части организаций понижен уровень фикации ПО в системе сертификации ФЗ № 206 вносит изменения в КоАП соответствия со второго (стандартно- ФСТЭК России или оценке соответствия. РФ, предусматривающие усиление адми- го) до третьего (минимального) уровня Оценка соответствия ПО может прово- нистративной ответственности за раз- по ГОСТ Р 57580.1, а регистраторы диться как самостоятельно, так и с при- глашение информации с ограниченным финансовых транзакций должны соот- влечением лицензиата ФСТЭК России доступом, а также вводится новый состав ветствовать первому (усиленному) по технической защите конфиденциаль- правонарушения, которым устанавлива- уровню по ГОСТ Р 57580.1 (с 1 января ной информации. ется ответственность за незаконное 2022 г.). Добавились требования для получение информации с ограниченным организаций по соответствию третье- Бюро кредитных историй доступом. l Проект положения Банка России Ваше мнение и вопросы \"О требованиях к обеспечению бюро присылайте по адресу 18 https://www.cbr.ru/Queries/UniDbQuery/File/90134/2334 [email protected] 19 https://regulation.gov.ru/projects#npa=117118 20 http://publication.pravo.gov.ru/Document/View/0001202106110078 •9
В ФОКУСЕ Разумная достаточность безумно необходима в информационной безопасности Дмитрий Григорович, руководитель по информационной безопасности АО “Элемент” (ГК “Элемент”) К аждый руководитель в ИБ основывает свою деятельность на нескольких базовых принципах. Именно они помогают, с одной стороны, принимать правильные решения в условиях ограниченных ресурсов и недостатка времени, а с другой стороны – планомерно готовить эшелонированную защиту вверенной инфраструктуры. Своими опробованными годами практики принципами, а также взглядами на важность импортозамещения в информационной безопасности поделился с читателями руководитель по информационной безопасности ГК “Элемент” Дмитрий Григорович. – Дмитрий, расска- упущен ряд возможностей, И единственный способ к этому и поэтому теперь мы наблюда- правильно относиться – принять жите, с чего вы ем заметное отставание. А я как данность. занимаюсь вопросами инфор- начинали свою деятель- мационной безопасности. Конечно, цифровизация поставила серьезные вопросы ность в ИБ? – Какие задачи вы ста- перед информационной без- вите перед собой как опасностью. В качестве иллюст- – Так же, как и большинство руководитель ИБ? рации стоит вспомнить историю с федеральным законом моих коллег, я пришел в инфор- – Главная задача – это обес- о защите персональных данных, печение безопасности процес- который, в моем понимании, мационную безопасность сов, которые происходят в ком- дал огромный толчок для раз- пании, начиная от кадровых, вития информационной без- в 2000-х гг. из ИТ. Первый опыт финансовых и заканчивая верх- опасности в целом. Сейчас же ним уровнем – защитой крити- мы наблюдаем дальнейшее раз- работы в ИБ был в компании ческой инфраструктуры, кон- витие цифровизации – переход фиденциальной информации большинства сотрудников ком- МТС в должности руководителя и персональных данных. паний в онлайн. То есть факти- чески большинство корпоратив- Мы движемся вперед, по информационной безопас- – Каким образом разви- ных процессов становятся циф- и цифровизация – есте- тие цифровизации влияет ровыми. Пандемия отлично ственная часть этого про- ности и технической защите на вашу работу? показала, насколько сильно мы цесса. зависим от инфраструктуры тех- макрорегиона \"Поволжье Юго- – Чтобы ответить на этот нически. Другими словами, уда- Федеральный закон вопрос, нужно вернуться к исто- ленные сервисы становятся о защите персональных дан- Восток\". Это был большой кам. И для начала стоит уточ- обыденностью, в облака пере- ных дал огромный толчок нить, что такое цифровизация, носится все больше и больше развитию информационной и интересный опыт, потому что иначе с таким же успехом информации. А чем больше безопасности. можно спросить \"Как вы отно- информации оказывается на тот момент все только начи- ситесь к закату или восходу в онлайне, тем больше требо- Пандемия отлично пока- солнца?\". ваний к ее защищенности, от зала, насколько сильно мы нали заниматься информацион- этого никуда не деться. зависим от инфраструктуры Мы движемся вперед, и циф- технически. Другими слова- ной безопасностью, а регио- ровизация – естественная часть Вспомним утечки последних ми, удаленные сервисы ста- этого процесса. Если раньше двух-трех лет, когда большие новятся обыденностью. нальные структуры МТС только для того, чтобы зайти в Интер- объемы данных оказывались нет с телефона, нужно было в публичном доступе. И что бы 10 • зарождались и все нужно было потратить много времени и нер- мы ни делали, попытки похитить вов, то сейчас можно спокойно данные будут всегда. Соответ- выстраивать с нуля. К тому же слушать музыку в режиме ственно, наша первоочередная реального времени, смотреть задача – сохранить данные сотовая связь на тот момент видео, даже находясь в метро. была еще не очень сильно раз- вита. Если помните, у каждого тогда было по два-три телефона разных операторов, потому что связь была нестабильной. Далее в моей биографии был опыт работы в компаниях неф- тяного, а затем финансового, производственного и торгового секторов. Потом я вернулся в периметр АФК \"Система\", которая сейчас входит в состав группы компа- ний \"Элемент\" и занимается развитием российской микро- электроники, отечественной элементно-компонентной базы. К сожалению, в этой сфере был
ПЕРСОНЫ www.itsec.ru и сделать так, чтобы стоимость преподающего специалиста- и банки скупают целые курсы С каждым годом сохранности не была дороже практика практически невоз- для своих будущих сотрудни- появляется все больше спе- стоимости самих данных. можно, да и вузы сами часто не ков. циалистов по информацион- хотят привлекать таких препо- ной безопасности, вузы – Как вы справляетесь давателей. Приведу реальную Приведу еще один пример. На выпускают их в промышлен- с нехваткой квалифици- историю: приходит выпускник – собеседование пришла девушка ных масштабах. Но при этом рованных кадров? вроде бы что-то знает. Задаешь с не очень большими знаниями найти хорошего специали- ему вопрос, мол, в состоянии и навыками, и когда я начал ста достаточно сложно. – Наверное, любая компания ли ты понять, как работает опе- задавать вопросы, она мне ска- ощущает нехватку специали- рационная система, ты ее хоть зала замечательную вещь: Проблема кадрового стов. Но в ИБ складывается раз ставил? В ответ – нет, \"Инженер – это не тот, кто все голода заключается достаточно странная ситуация. зачем, я же ИБ-шник. В вузах знает, а тот, кто знает, где не в том, что мало людей, С каждым годом специалистов этого просто не преподают, посмотреть\". И вот когда я вижу, а в том, что их уровень по информационной безопас- сводя все профильное образо- что сотрудник старается думать, образования достаточно ности на рынке появляется все вание к штудированию законо- старается проводить аналогии, низок. больше и больше, вузы выпус- дательства, которое, кстати, пускай первоначально непра- кают их в промышленных мас- достаточно часто меняется. вильные, готов конструктивно С тем багажом знаний, штабах. Но при этом найти хоро- спорить и отстаивать свое мне- с которым студенты прихо- шего специалиста достаточно С тем багажом знаний, с кото- ние, тогда я как руководитель дят устраиваться на работу, сложно. рым студенты приходят устраи- оцениваю это положительно. они не конкурентоспособны. ваться на работу, они не конку- Во-первых, крупные компании рентоспособны. Если студента – Как вы относитесь • 11 за счет возможности увеличить не направлять на практику во к принципу нулевого дове- заработную плату перемани- время обучения, то настоящим рия? вают хороших специалистов. специалистом он не станет. В регионах же людей вообще А как руководитель по инфор- – Я его полностью разделяю, найти очень сложно из-за менее мационной безопасности я в том числе применительно конкурентной заработной платы лично не готов брать на прак- к сотрудникам. Понимаете, есть сотрудников. Поэтому все хоро- тику студентов третьего-пятого хороший способ не разочаро- шие специалисты в основном курсов, потому что не могу допу- вываться в людях: нужно сразу уезжают в Москву или уходят стить их к рабочему процессу, относиться к ним без ожиданий. в крупные компании. где цена ошибки очень высока. Зато потом, если человек ока- жется лучше, чем вы думали, то Поэтому часто приходится В результате кадровый в ваших глазах он будет расти. нанимать людей сразу после вопрос компании решают свои- выпуска, с минимальным набо- ми силами, подчас набирая Проиллюстрировать это ром знаний, умений и навыков, людей без образования. Кто-то можно фразой \"Мы с вами а затем тратить много ресурсов оплачивает обучение своих незнакомы, поэтому оба имеем на переобучение. Ведь пробле- сотрудников, кто-то берет сту- право думать друг о друге все, ма кадрового голода заключа- дентов с минимальными зна- что угодно\". ется не в том, что мало людей, ниями, навыками и отправляет а в том, что их уровень образо- их учиться. Я все больше и – Какие постулаты для вания достаточно низок. больше сталкиваюсь с тем, что, вас являются нерушимы- например, крупные предприятия ми в сфере информацион- В вузах студентов не учат ной безопасности? даже базовым вещам, а найти
В ФОКУСЕ Мое понимание разумной – Вопрос очень серьезный. Сейчас же концепция сдви- в довесок появляется потреб- достаточности -- когда Назову главным принципом нулась в сторону \"цифры\", а ность в дорогих кадрах, техни- и \"гайки не закручены\", разумную необходимость. деньги и процессы существуют ческих средствах защиты, сред- и люди могут работать, преимущественно в электрон- ствах поддержки и многом дру- и при этом все четко ощу- Можно вспомнить про клас- ном виде. Вектор начинает сме- гом. И в этом случае информа- щают безопасность процес- сическую триаду \"целостность – щаться, и если сейчас инфор- ционная безопасность начинает сов. доступность – конфиденциаль- мационная безопасность не нач- стоить существенных денег. ность\". Но если мы все эти три нет участвовать во всех про- В моем понимании все должно Информационная без- составляющие поставим на цессах с самого начала, то быть разумно и достаточно. опасность должна быть условные весы, то станет понят- потом мы получим ситуацию Если мы в состоянии обеспе- в штате безопасности. но, что соблюсти паритет, когда \"Вот вам вещь – обеспечьте чить необходимый уровень Она не должна быть в ИТ и бизнесу будет комфортно, безопасность\". Но это крайне защищенности минимальными и не должна быть выделена и защищенность обеспечена, неэффективно, ведь нужно средствами, то нужно его обес- в отдельное подразделе- крайне сложно. было просто в определенный печивать этими средствами. ние. момент сделать небольшую кор- И в этом заключено мое пони- ректировку со стороны ИБ, и – Чего не хватает совре- Я придерживаюсь мание разумной достаточности, все стало бы нормально! Вот менному бизнесу для в своей работе принципа когда и гайки не закручены, это в моем понимании правиль- более эффективного раз- разумной достаточности. и люди могут работать, и при но, вот к этому мы сейчас идем. вития импортозамещения? этом все четко ощущают без- У нас \"безопасность для опасность процессов. Если раньше проведение тен- – Тяжело признавать, но если бизнеса\", а не \"бизнес для дера было отдельной историей не принимать законодательных безопасности\". – Многие говорят о том, с конвертами, то теперь все ограничений поставок импортных что бизнес должен под- происходит на электронной пло- продуктов информационной без- 12 • страиваться под инфор- щадке. А для того, чтобы нор- опасности, то произвести россий- мационную безопасность. мально на ней работать, нужны ские будет очень сложно. Чтобы информационные силы, сред- мы начали использовать что-то – Не согласен. Давайте ства и ресурсы. отечественное, нас надо заста- попробую пояснить. Я придер- вить не покупать импортное. живаюсь мнения, что инфор- Я сам придерживаюсь в своей мационная безопасность долж- работе принципа разумной Приведу абстрактный пример: на быть в штате безопасности. достаточности. Я всегда помню, одна компания приобрела ино- Она не должна быть в ИТ, она что ИТ готовы освоить любые странные средства защиты, не должна быть выделена в финансовые вложения, но исхо- потратив определенную сумму отдельное подразделение, хотя жу из того, что у нас \"безопас- денег на покупку и ежегодное иногда это возможно. Вспом- ность для бизнеса\", а не \"бизнес обслуживание. Но позже обна- ните, лет 10–15 назад на перед- для безопасности\". То есть если ружилось, что на рынке есть нем крае актуальности находи- я могу сделать что-то с помо- решение с аналогичным функ- лась экономическая безопас- щью недорогих решений, я так ционалом, но отечественное, да ность. Все понимали, что без- и стану делать. Можно, конечно, и стоимость которого меньше, опасность – это защита денег \"уйти в бренды\" и крупные чем год обслуживания у импорт- и материальных ценностей, кото- информационные системы, но ного. Да, аналогия в функциях рые злоумышленник может нужно четко понимать, что не на 100%, но давайте говорить украсть, продать, повредить.
ПЕРСОНЫ www.itsec.ru честно: 100% функционала в ограниченные сроки. Мне имеют все сотрудники, но никто Отечественные разра- используется редко. Устройство лично нравится решать задачи уже не помнит, откуда что взя- ботки не хуже импортных, вполне закрывает потребности, в условиях ограниченного вре- лось. Каждый, как Плюшкин, просто, как ни странно, а стоит дешевле. В результате мени, это заставляет быстрее себе что-то тащит, не особо мы о них меньше знаем, было принято решение о замене думать и точнее действовать. беспокоясь о последствиях они еще не настолько импортного решения на отече- популярны. ственное, и импортное железо В этот период мы в \"Микроне\" – Функционал DCAP нынче лежит на складе. провели пилотное внедрение перекликается с DLP. Мне лично нравится KICS с помощью Infosecurity для В чем их принципиальное решать задачи в условиях И вот все с ужасом обсуж- защиты АСУ ТП и технологиче- различие? ограниченного времени, это дают, что в ближайший год ского сегмента сети. Ведь при заставляет быстрее думать может быть принято высокое большом масштабе производ- Принципиальная разница и точнее действовать. решение о том, что можно ства необходимо смотреть не заключается в том, что они использовать только отече- только за тем, что происходит решают разные задачи, хотя Мы определенно хотим, ственное. Как же мы будем в офисном сегменте. возможно, это не всем очевид- чтобы у нас в стране было жить?! Да будем мы жить хоро- но. DLP-система может обнару- безопасно. шо! Гайки сразу никто не закру- Помню, был опыт работы жить файл и проанализировать тит, дадут нужное время – это в компании, которая занималась его на наличие конфиденци- Как ни печально, но 90% во-первых. Во-вторых, отече- добычей нефти и газа за грани- альных данных, а DCAP не толь- инцидентов – это человече- ственные разработки не хуже цей. И бывало очень страшно от ко находит такие документы, ский фактор. импортных, просто, как ни стран- понимания, что из-за того, что но и выявляет много дополни- но, мы о них меньше знаем, они где-то кто-то что-то \"проморгал\", тельных критериев относитель- Работа с людьми первич- еще не настолько популярны. может произойти катастрофа но файла: всех сотрудников, на. Хотя, по моим наблюде- и пострадать люди. Железо, если имеющих доступ к нему, кто и ниям, с людьми работать Если говорить про критиче- его правильно сконфигурирова- когда редактировал его или не любят и даже в крупных скую инфраструктуру, а это ли, правильно спроектировали, копировал, определяет, какие компаниях с сотрудниками достаточно серьезная вещь, правильно поставили, ошибается были внесены последние изме- не прорабатывают вопросы взять, к примеру, энергетиче- редко. Как ни печально, но 90% нения в файле, и многое другое. ИБ. ский комплекс, – никому не инцидентов – это человеческий По сути, DCAP видит то, что не хочется, чтобы в определенный фактор. видит DLP и, таким образом, DCAP видит то, что не момент злоумышленник из эти решения дополняют друг видит DLP и, таким обра- далекой страны по указке или – Как ваша компания друга. зом, эти решения дополняют ради забавы нажал на кнопку и защищается от утечек друг друга. в каком-либо российском городе информации? – Какие изменения вы зимой отключилась котельная. ждете в ближайшее время • 13 И это не самый опасный пример! – Мы защищаемся, как и все: в отрасли? А в худшем случае может быть техническими средствами, практически все что угодно. С локально-нормативной базой – Наверное, главное – приня- понимания этого надо подходить и т.д. И самое главное, работа тие бесповоротного решения об к вопросам защиты КИИ. с людьми первична. Хотя, по импортозамещении в ИБ. Исте- моим наблюдениям, с людьми рия, которую мы наблюдаем Понятно, что еще не все нала- работать не любят и даже в связи с этим ожиданием, прой- жено в этом направлении, мы в крупных компаниях с сотруд- дет. Потому что, давайте откро- на первых этапах долгого пути. никами не прорабатывают венно, крупные компании ста- Но, как говорят китайцы, дорога вопросы ИБ. раются брать оборудование длиной в тысячу ли начинается и поддержку на 3–5 лет, чтобы с первого шага. Наверное, пер- С другой стороны, я знаю сэкономить. Если подпишут вые полкилометра мы уже про- компанию, где в лифтах, поми- указ, что с 2023 г. софт, шли, продолжаем идти дальше. мо зеркал, висят большие пла- а с 2024 г. железо переходят на Иногда регулятор требует, каты по информационной без- отечественное, то те, кто в этом чтобы темп нашего движения опасности: что можно делать, году купил оборудование на был выше. Но мы определенно что нельзя. По-моему, очень пять лет, останутся в проигры- хотим, чтобы у нас в стране интересная практика. Я считаю, ше. Но, с другой стороны, было безопасно. что все инструкции для пользо- наверное, по-другому решить вателя должны быть написаны вопрос невозможно. – Какие задачи в части простым языком, с житейской ИБ были актуальными для логикой. Ведь чем проще напи- И конечно, будет еще больше вашей компании послед- сано, тем проще будет понять. цифровизации, потому что эти ние два года? процессы уже не остановить. – Не так давно вы нача- – Последние полтора года ли использовать решение – Основной тезис инфор- прошли под тотальным влияни- класса DCAP, зачем? мационной безопасности ем пандемии – быстрый пере- в вашем понимании? вод офисов на удаленку – В информационной без- и содержание их в таком состоя- опасности есть такое понятие – – Информационная безопас- нии. Мы видим, что эпидемио- избыточность. То есть у нас, ность должна быть с человече- логическая обстановка лучше как у Плюшкина из \"Мертвых ским лицом. не становится, и задачи инфор- душ\", есть один недостаток: мы мационной безопасности полу- начинаем тащить в сеть все, – Спасибо за интерес- торагодовой давности сохра- что попало, мы храним это на ную беседу. l няют актуальность. Самые инте- компьютерах, на сетевых дис- ресные задачи связаны как раз ках, на съемных носителях, в Ваше мнение и вопросы с переходом на удаленку: мы облаке. А решение класса DCAP присылайте по адресу научились быстро переводить позволяет контролировать бизнес из офиса в онлайн информационные \"помойки\", [email protected] к которым очень часто доступ
СПЕЦПРОЕКТ Портрет современной DLP-системы Галина Рябова, директор Центра продуктов Dozor компании “Ростелеком-Солар” Н а рубеже 20-х гг. нашего века DLP-системы накрыла волна стремительной цифровизации, подстегнутая массовым переводом сотрудников на удаленную работу: все коммуникации перешли в онлайн и периметр организации фактически исчез. Мы наблюдаем очередной виток нелинейного роста объемов информации, который параллельно с укрупнением и монополизацией бизнеса выдвигает самые серьезные требования к производительности и отказоустойчивости DLP-систем. Ответом отрасли на эти вызовы стало хвата информации может быть доста- а к их быстродействию, надежности бурное развитие технологий анализа точно только агентов. Но требования к и отказоустойчивости, обеспечение данных. Накопленный разработчиками их возможностям довольно широки: которых – непростая задача для про- опыт и технологическая база еще пять запись микрофона и видео рабочего изводителя. Кратное увеличение ана- лет назад позволяли для защиты от уте- стола, функции управления съемными лизируемого трафика приводит к тому, чек делать подходы к использованию носителями и контроль рабочего вре- что качественные и хорошо зарекомен- технологий искусственного интеллекта, мени. То есть компании стараются повы- довавшие себя в прошлом классические нейронных сетей и т.п. Но только на сить отдачу от инвестиций, минимизируя технологии контентного анализа не рубеже 2020-х эти наработки стали при- количество средств защиты и решая обеспечивают одновременно требуемой меняться в передовых DLP-системах для смежные задачи бизнеса. При этом они для работы \"в разрыв\" скорости и сохра- решения конкретных задач. стремятся контролировать каждого нения высокой точности анализа. сотрудника. Например, мы заменили классические Ехать на надежном Hyundai?.. инструменты распознавания графиче- В must have-набор также входит функ- ских объектов, таких как паспорта, Стандартный набор технологий в сред- циональность управления жизненным печати, платежные карты и т.п., на тех- нестатистической DLP-системе – то, что циклом инцидента, аналитические нологию глубокого обучения на основе называется must have, – зависит от инструменты для проведения расследо- нейронных сетей Faster RCNN (Region- целевой аудитории. Потребности неболь- ваний в разрезе сотрудников и групп Based Convolutional Neural Networks). ших компаний и крупных организаций и аналитическая отчетность для принятия Скорость работы этой технологии прак- существенно различаются, поэтому управленческих решений. тически не зависит от размера изобра- можно выделить два вида \"средних\" жения, объекты распознаются с учетом DLP-систем для этих сегментов. В условиях экономического кризиса различных деформаций – растяжения, цена риска для крупного бизнеса стано- поворота, наложения на другие объекты, Требования компаний нижнего B2B- вится неприемлемо высокой и внимание а также при полном отсутствии тексто- сегмента к качеству перехвата и анализа смещается на предотвращение инци- вой составляющей. данных в целом не отличаются от круп- дентов. Использование DLP \"в разрыв\" ного бизнеса, а вот их реализация имеет начинает быть нормой, повышаются тре- Для обеспечения отказоустойчивости ряд особенностей. Как правило, неболь- бования к скорости анализа и реагиро- архитектура системы должна позволять шие компании используют DLP-систему вания на инциденты. продублировать любой узел системы в режиме мониторинга, а не блокировки, и легко заменить любой вышедший из поэтому они не столь требовательны На фоне тенденций монополизации и строя узел резервным. При этом конси- к быстродействию фильтрации и авто- укрупнения бизнеса численность сотруд- стентность данных должна сохраняться матизации процесса работы с заблоки- ников enterprise-компаний стала опре- не только при переходе на резервный рованными сообщениями. С учетом деляться не десятками, а сотнями тысяч. узел, но и при последующем возвраще- недостаточно развитой ИТ-инфраструк- За последний год к росту количества нии на основной. туры или построения ее части в сервис- участников корпоративных коммуника- ной модели (например, почты) для пере- ций добавился и нелинейный рост объе- Когда речь идет о коммуникациях мов трафика, вызванный стремительной десятков и сотен тысяч сотрудников, цифровизацией. о персональном мониторинге каждого сотрудника речи быть не может. Поэтому Поэтому, вопреки ожиданиям, базо- аналитические инструменты, дающие вые требования крупный бизнес выдви- представление об общей оперативной гает не к функционалу DLP-систем, обстановке, фокусирующие внимание на зонах риска, подсвечивающие нега- Компания \"Ростелеком-Солар\" выпустила новую версию флагманского тивные тенденции, входят в \"минималь- программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей ную потребительскую корзину\". Однако анализа поведения пользователей (Dozor UBA) и мониторинга хранения с учетом объемов информации, с кото- конфиденциальной информации (Dozor File Crawler) в территориально рыми сталкивается на практике служба распределенной конфигурации – для компаний с разветвленной филиальной ИБ, классической аналитики недоста- сетью. точно. И мы видим, как использование Кроме того, в новой версии появился ряд дополнительных механизмов защиты технологий поведенческого анализа конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет (User Behavior Analytics, UBA) становится транслировать видео с экрана рабочей станции сотрудника в режиме реального привычной рутиной. Технологии UBA времени. Данный инструмент востребован заказчиками для сбора доказательной позволяют выявлять в поведении сотруд- базы при проведении расследований. 14 •
DLP www.itsec.ru Реклама ников аномалии, которые могут свиде- Это то, что сегодня де-факто уже Достигшая определенной зрелости тельствовать о ранних признаках кор- является стандартом отрасли. А теперь компания приходит к осознанию необхо- поративного мошенничества, зарожде- о том, что отличает наиболее передовые димости интеграции DLP в экосистему нии коррупционных схем, о предпосыл- системы. безопасности. Здесь от DLP-системы ках к возникновению утечек информа- требуется наличие развитых средств ции, о скором увольнении сотрудников …Или на роскошном Rolls-Royce? интеграции со смежными системами. и т.п. Это дает возможность службам Если раньше в стандарт интеграции безопасности прогнозировать риски, Обычно, когда говорят про продвинутую входили AD, прокси и SIEM и лишь заниматься профилактикой нарушений, DLP-систему, подразумевают наличие отдельные заказчики выгружали данные повышать выявляемость. Анализ пове- широкой функциональности. И этот аспект DLP в BI, то сейчас появился спрос на дения помогает фокусироваться на тех важен. Однако, на мой взгляд, класс систе- интеграцию с IGA, IRM, IRP. областях, где риск возникновения угроз мы определяется удобством использова- максимально высок. ния, продуманностью деталей и высоким А нужен ли вообще автомобиль? качеством реализации каждой функции. Компании enterprise-сегмента, как пра- Необходимость системы безопасности вило, имеют территориально распреде- То, что в небольшой компании является определяется величиной и приемле- ленную структуру. Здесь требуются досадным неудобством, в масштабе круп- мостью потенциального ущерба. решения, компоненты которых физиче- ной корпорации выливается в колоссаль- ски размещаются по всей стране, а из ные потери времени. Так, например, Приемлема ли утечка конструкторской единого центра можно ими управлять, в одной из версий мы изменили дизайн документации предприятия оборонного проводить сквозные расследования, карточки сообщения, сделав ее больше и комплекса к вероятному противнику? видеть общую аналитику. Такая система лучше структурировав, однако допустили Как это скажется на обороноспособности должна обеспечивать надежную работу usability-ошибку: контрастность важных страны? А утечка логинов и паролей от вне зависимости от степени децентра- для анализа параметров в новом дизайне сотрудника металлургического пред- лизации ИТ-инфраструктуры и пропуск- оказалось недостаточной. Это привело приятия, приведшая к кибератаке и эко- ной способности каналов предприятия. к заметному снижению скорости работы логической катастрофе? группы реагирования на инциденты одного Еще один аспект – требования к без- крупного заказчика. Поэтому высокая сте- Каков ущерб от утечки к конкуренту опасности самой DLP-системы. Навер- пень автоматизации рутинных процессов базы благонадежных заемщиков неболь- ное, \"средние\" требования зависят от и операций ИБ-службы, столь значимая шого банка? Как это повлияет на доход- решаемых задач и величины потенци- для крупных компаний, пока относится ность и устойчивость бизнеса? ального ущерба. Основная задача СЗИ – к \"люксовым\" возможностям DLP. не только обеспечить функциональ- Или, скажем, срыв выполнения гос- ность, но и защитить пользовательскую Сегодня DLP-система является инстру- контракта и попадание в реестр недоб- информацию от потери целостности, ментом корпоративной безопасности в росовестных подрядных организаций конфиденциальности и доступности. Для целом, применяемым для решения таких как результат накопившейся критич- этого в ПО закладываются функции задач, как профилирование и выявление ной массы нарушений в процессе безопасности, которые различаются для групп риска, мониторинг групп особого взаимодействия в течение длитель- систем разных категорий. И там, где контроля, выявление признаков мошен- ного времени с большим количеством одной компании будет достаточно соот- ничества и коррупции, расследование субподрядчиков. Такой ситуации ветствия требованиям к средствам конт- гипотез, управление конфликтом инте- можно было избежать, поставив на роля подключения съемных машинных ресов и т.п. Это значит, что у DLP появи- мониторинг коммуникации по ключе- носителей от 2014 г., минимальным тре- лось большое количество функциональ- вой сделке. бованием другой будет соответствие ных пользователей, которым необходимо уровню доверия для систем I класса обеспечить конфиденциальность работы. Так нужен ли вам автомобиль? l защищенности. Это совершенно иной уровень требова- ний к разделению прав пользователей. Ваше мнение и вопросы присылайте по адресу [email protected] • 15
СПЕЦПРОЕКТ Выбор идеальной DLP-системы: 9 вопросов, которые нужно задать вендору Алексей Раевский, генеральный директор Zecurion D LP-системы сегодня стали необходимым, уже обыденным инструментом в арсенале корпоративных служб информационной безопасности, к их выбору подходят достаточно вдумчиво. Имея значительный опыт на рынке DLP, мы решили собрать в этой статье несколько практических вопросов, ответы на которые помогут понять, насколько зрелое решение вы рассматриваете и не получится ли так, что, потратив значительные средства, вы вложитесь в продукт, которому еще далеко до общепринятых стандартов корпоративного ПО. Некоторые вендоры ста- В процессе выбора Для каких каналов вают серьезные штрафы для раются выпустить продукт системы, кроме всего возможна блокировка нарушителей. как можно быстрее, при прочего, заказчики учи- по контенту этом его качество, удобство тывают и свои симпатии Некоторые каналы, которые и надежность оставляют к бренду, и рекламируе- Этот вопрос может показаться контролируются DLP-системами, желать лучшего. мость, и, конечно, стоимость. странным, ведь буква P в аббре- не позволяют реализовать бло- Тем не менее \"под капотом\" виатуре DLP означает Prevention. кировку по сугубо техническим Преимущество техноло- DLP-систем можно обнаружить То есть DLP-система по опреде- причинам. Например, для мес- гически зрелого корпоратив- много такого, о чем не пишут лению должна предотвращать сенджеров WhatsApp и Telegram ного решения заключается в рекламных буклетах, при этом утечки, а это можно сделать, возможен только пассивный в том, что у вендора не цена ошибки достаточно высо- только заблокировав подозри- мониторинг, в противном случае будет проблем с его под- кая. Чтобы избежать ошибок тельную операцию. Тем не они не будут работать. Однако держкой и выпуском новой и связанных с ними затрат, ИБ- менее многие организации пред- вряд ли рассматриваемую DLP- функциональности. службам полезно глубже погру- почитают использовать DLP- систему можно считать доста- жаться в технические подроб- системы в режиме наблюдения, точно зрелой, если в ней нет Многие организации ности, не ограничиваясь фор- без активного вмешательства блокировки по содержимому предпочитают использовать мальным сравнением галочек в информационные потоки. Вся файлов следующих каналов: DLP-системы в режиме по списку \"фич\". На рынке много информация сохраняется в электронная почта, внешние наблюдения, без активного решений разного уровня зре- архив, и служба безопасности USB-диски, принтеры, веб-сер- вмешательства в информа- лости, и наличие плюса в строке реагирует на утечки постфактум, висы (протоколы HTTP / HTTPS). ционные потоки. таблицы сравнения не гаранти- выявляя нарушителей и приме- рует, что в реальности эта функ- няя к ним меры дисциплинарного Где выполняется 16 • ция работает так, как нужно воздействия. В связи с этим контентный анализ пользователю. Некоторые вен- потребность в функциях блоки- и применение политик доры стараются выпустить про- ровки отходит на второй план, дукт как можно быстрее, при поскольку активное их исполь- Такой вопрос возникает, пото- этом его качество, удобство зование и не планируется. му что очень немногие DLP- и надежность оставляют желать системы из присутствующих лучшего. Часто такая постановка зада- сейчас на рынке изначально Преимущество технологиче- чи объясняется рисками лож- создавались как единые пол- ски зрелого корпоративного ноположительных срабатыва- ноценные системы с продуман- решения заключается в том, ний или сбоев DLP-системы. ной архитектурой. Большинство что у вендора не будет проблем Если из-за DLP-системы будет вендоров начинало с какого-то с его поддержкой и выпуском нарушено функционирование одного модуля. Далее вокруг новой функциональности. электронной почты или какого- этого модуля достраивалось Обычно DLP-системы выби- то другого жизненно важного окружение для контроля осталь- раются исходя из трех-, а то и сервиса, ущерб репутации ИБ- ных каналов, и хорошо, если пятилетнего горизонта плани- и ИТ-отделов может быть очень оно было разработано тем же рования, поэтому соответствие высоким. Однако этот аргумент вендором. При таком хаотичном текущим требованиям – это не относится только к незрелым развитии приходилось учиты- единственный критерий выбора. DLP-системам, которые прак- вать все ограничения и особен- Надо понимать, куда двигается тически невозможно внедрить ности, которые имелись у пер- вендор, и прогнозировать, какие и настроить так, чтобы они вого модуля. Естественно, что задачи могут возникнуть у работали без сбоев. При этом результат нельзя назвать образ- вашей компании в среднесроч- потенциальная утечка из-за цом эффективной архитектуры, ной перспективе. Если вендор отсутствия режима блокировки а это неизбежно сказывается сможет за это время только может стоить бизнесу очень на потребительских характери- довести продукт до надлежа- дорого. Кроме того, многие стиках продукта. щего enterprise-уровня, возмож- руководящие документы (напри- но, связываться с ним не стоит. мер, GDPR) прямо требуют Таким образом, по тому, где иметь защиту от утечек в режи- выполняется контентный анализ, ме блокировки и предусматри- зачастую можно определить, с чего начиналась история той или
DLP www.itsec.ru иной DLP-системы. Например, Удобно ли управлять Какое минимальное Продуманный и удобный если endpoint-агент передает системой количество серверов интерфейс может быть кос- информацию для анализа на нужно для внедрения венным признаком того, что DLP-сервер по протоколу SMTP, Удобство управления – это разработчик в состоянии то можно предположить, что про- весьма субъективный критерий. Еще одним явным признаком обеспечить квалитативную дукт начинался с модуля конт- Кому-то привычнее управлять дефектной архитектуры, види- разработку, а функциональ- роля электронной почты. При системой с помощью командной мым уже на \"пилоте\", может стать ные компоненты системы этом сервер может возвращать строки, а кому-то удобно соз- количество серверов, необходи- качественны и эффективны. результат анализа на агент, давать политики и правила, про- мых для работы системы. Если а может и не возвращать. граммируя на скриптовом для \"пилота\" на 50–100 клиентов Если же консолей В последнем случае функция языке. Тем не менее продуман- нужно более одного сервера, несколько, например имеют- блокировки по содержимому при ный и удобный интерфейс это означает, что архитектура ся специальные консоли для записи на USB-диск или при может быть косвенным призна- системы не оптимальна и, ско- управления отдельными печати вообще отсутствует. ком того, что разработчик в рее всего, будет требовать модулями, это говорит Понятно, что при такой архитек- состоянии обеспечить квалита- повышенных ресурсов и на о том, что продукт не про- туре требуется постоянное тивную разработку, а функцио- этапе промышленной эксплуа- ектировался и не разраба- соединение с сервером, а загруз- нальные компоненты системы тации. Качественная система тывался как единая, логиче- ка сети может быть слабым качественны и эффективны. уровня enterprise одинаково ски законченная система. местом. В тендерной докумен- хорошо масштабируется в обе тации иногда можно встретить В плане удобства и прорабо- стороны. Безусловно, при уве- Если для \"пилота\" вопрос, поддерживает ли DLP- танности интерфейса важно личении масштаба внедрения на 50–100 клиентов нужно система приоритизацию сетевого отметить два аспекта. потребуется возможность раз- более одного сервера, это трафика (QoS, Quality of Service). несения отдельных компонентов означает, что архитектура Это, скорее всего, означает, что Во-первых, единая консоль системы на разные серверы и системы не оптимальна и, рассматривалась только одна управления. Сейчас чаще всего их кластеризация. Но на малых скорее всего, будет требо- такая система, поскольку при предпочтение отдается веб-кон- внедрениях DLP-система не вать повышенных ресурсов грамотном проектировании кон- солям. Они платформонезави- должна требовать неоправданно и на этапе промышленной тентный анализ выполняется там симы, не требуют установки больших ресурсов. эксплуатации. же, где применяются политики. дополнительного ПО, могут рабо- Необходимость в передаче боль- тать на мобильных устройствах. Легко ли развернуть Для серьезной DLP- ших объемов информации по Если же консолей несколько, систему? Набор вариантов системы характерна под- сети просто отсутствует, и вопрос например имеются специальные внедрения держка множества вариан- приоритизации сетевого трафика консоли для управления отдель- тов внедрения. неактуален. ными модулями, это говорит о Для серьезной DLP-системы том, что продукт не проектиро- характерна поддержка множества • 17 Как работает агент вался и не разрабатывался как вариантов внедрения. Это, во- системы, когда нет единая, логически законченная первых, упрощает задачу совме- соединения система. Возможно, модули щения DLP-системы с существую- с корпоративной сетью дописывались разными коман- щей ИТ-инфраструктурой, а во- дами и \"прилеплялись\" (каждый вторых, позволяет гибко балан- Этот вопрос является логи- со своей консолью) друг к другу сировать функциональную и ческим продолжением преды- в ходе ускоренного эволюцион- вычислительную нагрузку при дущего. Но проблема не только ного развития. Может, они контроле различных каналов. в том, чтобы оптимизировать вообще собраны \"с миру по Сегодня на рынке есть ряд систем, использование сетевого трафи- нитке\" – лицензированы у разных предусматривающих контроль ка. Агент, кроме выполнения производителей и интегрирова- всех каналов на уровне только контентного анализа и приме- ны не так, как следовало бы, endpoint-агента. Это сильно упро- нения политик, должен переда- а так, как получилось. щает задачу вендору, позволяет вать информацию о событиях, сэкономить на команде разра- а также теневые копии и другие Во-вторых, зрелая DLP-систе- ботчиков и сократить сроки раз- данные на сервер для записи ма должна иметь омниканальные работки и выпуска новых версий. в архив. Если связь с архивом политики. Это означает, что если Однако такая архитектура не отсутствует, то вся эта инфор- требуется создать политику для может считаться уровнем enter- мация не должна теряться. Как контроля, например, тендерной prise. Большинство сетевых кана- правило, она сохраняется на документации, то достаточно сде- лов более естественно контроли- локальном диске и передается лать это один раз и просто ука- ровать на уровне шлюза, особен- на сервер в момент, когда зать, к каким каналам она будет но для масштабных внедрений. соединение установлено. применяться (электронная почта, веб, USB-устройства и т.д.). Зрелая DLP-система кроме В идеале политики должны Менее совершенная система агента для конечных точек пред- применяться на агенте в зави- потребует создавать однотипные лагает следующие варианты симости от того, есть ли непо- политики для каждого канала шлюзового внедрения: средственное подключение к отдельно. Это может показаться l интеграция с почтовыми сер- локальной сети, или компьютер небольшой проблемой, но коли- верами (например, Microsoft подключен через VPN, или под- чество политик имеет тенденцию Exchange), в этом случае можно ключение отсутствует. Таким к росту. Когда оно переваливает удобно контролировать и внут- образом, для каждой среды за сотню, а в правилах исполь- реннюю почту; можно устанавливать соответ- зуются сложные условия, где l прием почты из технического ствующие правила. Это бывает присутствуют не только контент- почтового ящика; важно, когда сотрудник с рабо- ные правила, а еще и группы l интеграция с имеющимся чим компьютером находится пользователей, дни недели и т.д., интернет-шлюзом по протоколу вне офиса, например в коман- поддержание такого набора в ICAP; дировке или на удаленке. синхронизированном состоянии l собственный почтовый транс- может превратиться в серьезную портный сервер. головную боль.
СПЕЦПРОЕКТ Отдельно следует сказать о поддержке мобильных ные протоколы и разные вари- построении отчетов и т.д. Кроме устройств на базе iOS и Android. О ней часто анты внедрения. При использо- этого, DLP-система может сама спрашивают, но, к сожалению, реализовать вании облачных хранилищ применять политики RMS по полноценный агент для смартфонов и планшетов, в организации также необходи- конкретным правилам, напри- особенно от компании Apple, практически мо обеспечить их регулярное мер при обнаружении опреде- невозможно по объективным техническим причинам. сканирование DLP-системой ленного контента. С другой стороны, при реализации стратегии BYOD для выявления хранящейся там можно (и нужно) использовать решение класса Mobile конфиденциальной информа- 3. Системы классификации Device Management. Оно позволит задействовать ции. Для подобных задач данных. Наиболее совершенные встроенные возможности мобильной ОС, настроить появился целый класс реше- DLP-системы понимают метки политики конфиденциальности и снизить риск утечки ний – CASB (Cloud Access Secu- в свойствах документов, кото- через гаджеты до приемлемого уровня. rity Broker, брокер безопасности рые проставляют системы клас- облачного доступа), сути решае- сификации данных, такие как В отечественной корпо- Наиболее зрелые вендоры мых задач эти системы концеп- TITUS, Bolden James и т.п., ративной среде проблема предлагают еще собственный туально очень близки к DLP. и позволяют их использовать использования DLP-системы прокси-сервер, который обес- Так или иначе, подобные задачи в политиках. В этом случае возникает весьма часто, при печивает интеграцию с DLP- необходимо решать, поэтому можно извлечь двойную выгоду этом она может иметь раз- системой для контроля HTTP- соответствующая функциональ- из уже потраченных усилий на ные аспекты. и HTTPS-трафика. ность будет появляться и в DLP- работы по классификации дан- системах. ных. Впрочем, в наших широтах Если DLP-система Поддерживает ли такие системы встречаются не не поддерживает размеще- облачную инфраструктуру Интеграция с другими так уж и часто, в основном ние собственных серверных корпоративными у крупных корпоративных заказ- модулей в облачной среде, В отечественной корпоратив- системами чиков. это в какой-то момент ной среде проблема использо- может стать неприятным вания DLP-системы возникает Здесь речь, конечно, не идет Мультиплатформенность сюрпризом. весьма часто, при этом она об интеграции с Microsoft Active может иметь разные аспекты. Directory, которая должна быть Поддержка нескольких end- Поддержка нескольких реализована в любой совре- point-платформ также является endpoint-платформ также Во-первых, иногда требуется менной DLP-системе. Чаще признаком солидной DLP-систе- является признаком солид- установить серверные компо- всего при внедрении DLP-систе- мы. Самые простые решения ной DLP-системы. ненты DLP-системы в облаке. мы бывает полезно, если под- предлагают агентский модуль Такое случается, как правило, держивается интеграция с ниже- только для Windows. Однако DLP должны в первую на \"пилотах\" или у небольших перечисленными классами ПО. сегодня этого может быть уже очередь решать реальные организаций. Все-таки архив недостаточно. Давно взятый производственные задачи. DLP-системы хранит в себе все 1. Управление информацией политический курс на импорто- корпоративные секреты, и раз- и событиями сферы безопас- замещение может привести мещать его в неконтролируемой ности (SIEM). Это, пожалуй, наи- к массовому переходу на один среде рискнут немногие. Тем более частый вопрос о совме- из клонов Linux в обозримом не менее, если DLP-система не стимости, что вполне объясни- будущем. Понятно, что связан- поддерживает размещение мо: сейчас постройка центров ная с этим замена DLP-систе- собственных серверных моду- SOC – одна из самых горячих мы – самая маленькая боль лей в облачной среде, это тем в ИБ и всем хочется, чтобы при решении данной проблемы. в какой-то момент может стать события из DLP попадали в Тем не менее стоит отметить, неприятным сюрпризом. поле зрения SIEM. В принципе что уже сегодня есть более зре- большинство SIEM-систем лые продукты, в которых агент Второй аспект – контроль умеют самостоятельно загру- работает и на Linux, и на Mac. облачных хранилищ и сервисов. жать информацию из базы дан- Речь тут может идти как ных DLP, но гораздо удобнее, Выводы о банальной выгрузке файла если DLP-система поддержива- с конфиденциальной информа- ет Syslog, CEF и другие подоб- Как мы увидели, DLP-систе- цией в облако, так и о более ные протоколы. В этом случае мы развивались неоднородно, сложных схемах, например, при настройке DLP-системы что может сказываться и на когда организация использует можно более гибко управлять степени целостности системы почтовые сервисы Office 365 тем, какая информация и как слаженно работающего или G Suite. Здесь есть много в каком виде будет попадать механизма, и на наличии под- нюансов и возникающих из-за в базу данных SIEM, и доби- держки отдельных каналов рас- них проблем. Скажем, для ваться большей эффективно- пространения информации, выгрузки файлов в облачные сти. и на объеме данных, которые хранилища могут использовать- необходимо передавать по ся веб- или \"толстые\" клиенты. 2. Управление правами доку- каналам связи для функциони- Та же история с почтовыми ментов (EDRM). Чаще всего рования системы. Конечно, службами: для доступа к ним в этом контексте упоминается в современном мире также можно использовать как брау- Microsoft RMS. В принципе имеют значение и страна про- зерный клиент, так и классиче- системы DLP и управления пра- исхождения используемого про- ский, например Microsoft Outlo- вами удачно дополняют друг граммного продукта, и цена ok. И для каждого варианта друга по функциональности решения, и стоимость владения приходится применять различ- и обеспечивают более надеж- им. Но всё же DLP должны ную защиту, если правильно в первую очередь решать NM Реклама развернуты и настроены. В этом реальные производственные случае DLP-система понимает задачи и по возможности рабо- АДРЕСА И ТЕЛЕФОНЫ политики документов RMS, и их тать не только в режиме мони- Zecurion можно использовать в полити- торинга. l ках DLP, при поиске в архиве, см. стр. 72 18 •
Реклама
СПЕЦПРОЕКТ Как выбрать DLP и не разочароваться? Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ” D LP-системы давно переросли свое первоначальное назначение (предотвращение утечек) и используются для решения гораздо более широкого круга задач информационной, экономической и кадровой безопасности. Заказчикам бывает сложно сориентироваться в том, какую именно систему необходимо купить, например система может оказаться избыточной по функционалу, но действительно нужные опции там могут быть не реализованы. Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”, рассказывает, как избежать разочарования в процессе покупки DLP. Одному нашему клиенту – Несмотря на то остальные элементы наших это просто не предусмотрено, было важно блокировать что DLP – это высо- систем тоже самописные. Если и все сопровождение ограничи- пересылку файлов по мета- кофункциональные реше- клиенту потребуются доработки, вается техподдержкой. У нас, данным, другие случаи ния, возможностей ПО исправление ошибок или тех- кроме техподдержки, есть отдел пересылки его не интересо- заказчику бывает недо- ническая поддержка, он гаран- внедрения. Специалисты под- вали. Перед покупкой нашей статочно. Почему так про- тированно их получит. ключаются к работе вместе DLP-системы (\"СёрчИнформ исходит? с инженерами с первых дней КИБ\") компания тестировала – В этом нет парадокса, тре- – DLP-системы обычно тестов, учат работе с DLP, рас- несколько других, и выясни- бования к классу DLP-решений покупают надолго, если сказывают о нюансах, помогают лось, что они с задачей не уже сложились, но это база. не навсегда. Как понять сделать настройки, чтобы \"подо- справляются, хотя в брошю- Дальше вендоры развивают во время покупки, доста- гнать\" систему под конкретные рах напротив этого типа свои продукты в зависимости точен ли функционал? задачи, а потом сопровождают блокировки стояла галочка. от понимания, куда идет рынок, клиента во время эксплуатации. а также под влиянием пожела- – Часто разочарование воз- Ситуации, когда в извест- ний конкретных заказчиков, никает из-за того, что заказчик Поэтому ситуации, когда ном решении не хватает которые могут высказывать пренебрегает полноценным в известном решении не хватает именно базовых, \"DLP- специфические требования. тестированием, ориентируясь именно базовых, \"DLP-шных\" шных\" функций, большая Если это важные функции, на маркетинговые описания и функций, большая редкость, редкость, а для нас они которые окажутся востребован- составленные кем-то другим а для нас они вообще скорее вообще скорее исключение. ными и другими заказчиками, сравнительные таблицы. Я их исключение. Заказчики чаще вендоры включают их в план понимаю: очень часто принять всего обращаются с просьбами 20 • разработки. У нас в DLP так решение нужно быстро, а тести- об интерфейсных доработках. появилась интеграция со СКУД, рование отнимает значительное Помню клиента, которому мы BI-системами, таск-менеджер, время. Тем не менее время, реализовали за несколько лет элементы фразового поиска, затраченное на тестирование, более 150 подобных доработок. обработка аудиоречи и мно- впоследствии оборачивается Готовность вендора к такой гое-многое другое. экономией во время эксплуата- работе – важный показатель Но так развиваются не все ции. Поэтому я рекомендую уровня продукта, ведь и кли- продукты, поэтому и функцио- составлять свою сравнительную ентские пожелания во многом нал у них может быть беднее. таблицу: последовательно ста- формируют Road Map. Ограничение функциональности вить на тест несколько DLP- также может быть связано систем и смотреть, как они Бывает еще так, что не хва- с тем, что в DLP применяются отработают по наиболее кри- тает функционала смежных сторонние разработки. Иногда тичным для вас задачам. решений. Например, при том, это целые движки, модули, что любая продвинутая DLP платформы или даже White – Часто сталкиваетесь с выполняет функции e-discovery, Labeling чужого продукта под тем, что заказчикам недо- для полноценного аудита и видом своего. В результате вен- статочно функционала защиты данных в покое нужна дор ограничен возможностями вашего КИБа? другая система – DCAP. Нам чужого программного продукта тут проще, чем другим вендо- и его планами развития. Это – Такое бывает, но нечасто. рам, потому что в нашей линей- частая проблема, которая Чаще мы сталкиваемся с тем, ке пять продуктов, которые бес- встречается и в иностранных, и что клиент только думает, что шовно интегрируются друг с в ряде отечественных DLP- функционала недостаточно. другом. Это DLP, SIEM, DCAP, систем. А потом выясняется, что для DAM и ProfileCenter. Мы в свое время приняли решения его задачи можно при- решение работать на собствен- менять комбинацию существую- – Один из главных ном поисковом движке, его щих функций ПО, но заказчик вопросов – требователь- используем не только в DLP, но об этом не догадывается. Да он ность сложных программ и в других продуктах. Все и не обязан. Лучшими практи- к \"железу\". В случае ками должен делиться сам раз- с DLP-системами это работчик. Но у многих вендоров неизбежное зло?
DLP www.itsec.ru – Нет, не неизбежное. Ниже – Еще одна проблема, лег из сферы бизнеса говорит, Большую роль играет определенного уровня загрузки которую упоминают ИБ- что DLP окупается, причем служба поддержки вендора: опуститься, конечно, невозмож- специалисты, – это обилие очень быстро. Они считают, она должна не только но, но системы сильно разли- ложных срабатываний. что система оправдывает себя решать технические пробле- чаются по \"прожорливости\", Можно ли от них изба- уже в первый месяц эксплуа- мы, но и передавать лучшие потому что разработчики по- виться? тации. практики. разному подходят к оптимиза- ции работы DLP-систем. – Опытные ИБ-специалисты – Но все же бывает так, Для тех, у кого в штате Несмотря на то что вендоры понимают, что совсем эту про- что DLP оказывается просто некому работать подробно описывают минималь- блему не решить. Лучше разо- \"мертвым грузом\", потому с системой, мы запустили ные технические требования, брать лишние алерты, чем упу- что с ней просто некому услугу – аутсорсинг DLP. во время внедрения может про- стить важное. Но это не значит, работать. В условиях кад- изойти неприятный сюрприз. что вся работа должна превра- рового голода эта пробле- Чем больше объем внедрения, титься в рутину. У продвинутых ма только нарастает. тем более он вероятен. Иде- программ число ложных сраба- альный вариант – устраивать тываний можно свести к мини- – Так и есть. К сожалению, полноценный нагрузочный тест муму за счет гибкой настройки DLP-система – не антивирус, (развернуть все модули на мак- политик безопасности. Важно который установил – и работает. симальном количестве компью- вовремя остановиться и найти Даже в таком режиме DLP будет теров). Но это не всегда воз- баланс. Например, можно защищать от утечек данных, можно. Второй вариант – спра- исключить из мошеннической отрабатывая по предустанов- шивать мнение тех ИБ-специа- политики срабатывания на ленным политикам безопасно- листов, у которых стоит DLP- слово \"кинуть\", чтобы не полу- сти. Но актуальную защиту система для схожего с вашим чать ложные алерты \"кинь мне можно обеспечить, если кор- объема машин. Просите рас- деньги на карточку/телефон\". ректировать политики безопас- сказать откровенно, с какими Но мы советуем этого не делать, ности под новые бизнес-про- трудностями столкнулась ком- потому что можно пропустить цессы, проводить расследова- пания. действительно важный инци- ния. И если у заказчика нет дент. понимания, что делать с этими – Ваша программа данными дальше, он будет насколько требователь- В поиске этого баланса боль- использовать от силы 10–20% ная к \"железу\"? шую роль играет служба под- возможностей DLP. держки вендора: она должна – Наша DLP-система всегда не только решать технические Мы давно работаем над тем, была на хорошем счету именно проблемы, но и передавать луч- чтобы заказчики умели брать как одна из самых бережных к шие практики. Разработчики от нашего решения максимум. ресурсам. Но мы продолжаем с большим опытом отработали Так появился учебный центр оптимизацию, в течение огромное количество всевоз- и сильный отдел внедрения. Он нескольких лет это наша прио- можных кейсов, скорее всего у снимает существенную часть ритетная задача. Еще в про- них уже есть готовый ответ на забот с заказчика. В результате шлом году изменили архитек- вашу проблему. мы можем развернуть и обес- туру, что позволило увеличить печить работу DLP-системы быстродействие DLP на 30% – Можно ли как-то облег- независимо от того, какова ква- и расширить спектр решаемых чить жизнь ИБ-специали- лификация ИБ-специалистов задач, например искать данные сту? и укомплектован ли их штат в очень больших сетях. Раньше у клиента. для этого заказчикам приходи- – Если в DLP-системе есть лось выделять большие мощ- возможность настроить поли- На случай, если в штате про- ности, размещать дополнитель- тики гибко – это сильно снизит сто некому работать с систе- ные серверы. В результате процент ложных срабатыва- мой, мы запустили услугу – нашему КИБу нужно в 2–3 раза ний. Поэтому мы всегда обра- аутсорсинг DLP. Всякое бывает: меньше серверных ресурсов, щаем внимание на обилие специалиста может не быть чем ближайшим конкурентам. видов поиска, которые реали- в штате в принципе, он может Мы также среагировали на зованы в КИБе (их девять). уволиться, а может быть пере- запрос заказчиков и с прошлого Это значит, что можно гружен. Благодаря аутсорсингу года можем развернуть DLP настроить политику, учитывая проблема решается очень в облаке. множество нюансов, но при быстро. Вы получаете не просто этом до такой степени эффек- временную подмогу, а незави- – Сколько должно зани- тивно, чтобы не пропустить симого и высококвалифициро- мать внедрение DLP-систе- важное. Если один раз посвя- ванного ИБ-специалиста. мы? тить время вдумчивой настройке, это сильно сэконо- Эта услуга, как и все описан- – Нормальная скорость внед- мит вам время в работе. ные выше опции, доступна для рения типового пилота – В нашем случае с настройкой бесплатного тестирования. несколько часов. Процесс всегда могут помочь менед- Залог успешной работы с DLP – может затянуться, если клиент жеры внедрения. узнать все ее плюсы и минусы ограничивает доступ или у него до покупки. Сделать это можно, нет технического специалиста – Должна ли DLP-систе- только тестируя ее. l в штате, если у заказчика слож- ма окупаться? ная ИТ-инфраструктура. Но NM Реклама в любом случае ненормально, – Мое мнение – не обяза- если внедрение занимает неде- тельно. Ведь это, по сути, АДРЕСА И ТЕЛЕФОНЫ ли и уж тем более месяцы. страховка, как КАСКО: не все- \"СЕРчИНФОРм\" гда окупается, но вы платите см. стр. 72 за спокойствие. Но опыт кол- • 21
СПЕЦПРОЕКТ Мониторинг активности пользователей в DeviceLock DLP 9.0 Сергей Вахонин, директор по решениям, Смарт Лайн Инк К ак известно, самый простой подход к защите от утечек информации с компьютеров начинается с применения превентивных мер – запрета передачи данных для конкретных пользователей по различным портам и устройствам. Другой не менее простой, но гораздо менее эффективный способ борьбы с утечками – это контроль действий сотрудников постфактум или на основании видеозаписи экрана, когда служба безопасности осуществляет регулярный мониторинг переданных по всем каналам данных и их криминалистический анализ с целью наказания совершивших кражу данных сотрудников – дабы прочим было неповадно. Оптимальный и наиболее эффективный путь – проверка содержимого передаваемых данных на наличие персональных данных или конфиденциальной информации в режиме реального времени, с последующим автоматическим принятием решения о запрете или разрешении передачи данных и регистрацией детализированной информации о событии, включая видеозапись экрана. Контроль действий сотрудников на служб ИБ ложное ощущение защищен- DeviceLock User Activity Monitor базе графических (видеозапись и снимки ности при том, что в реальности админи- экранов) и текстовых данных, собранных страторы беспомощно наблюдают на На российском рынке мониторинг в централизованном архиве сплошным экранах своих мониторов, как конфи- активности пользователей, равно как и потоком без разделения на корпоратив- денциальные данные беспрепятственно расширенный анализ архива DLP-систе- ные и личные, призван так или иначе утекают из их информационных систем. мы, включающий работу со скриншотами решать те же задачи, что и полноценные В то же время нет смысла отрицать важ- и видеозаписями экрана, а также системы класса DLP, то есть отслеживать ность и значимость процедур расследо- построением сводных отчетов по поль- передачу конфиденциальной информа- вания инцидентов и постоянного анализа зователям, исторически является одним ции за пределы организации в сочетании журналов событий, вплоть до изучения из наиболее востребованных. Следуя с детальным протоколированием дей- экранных видеороликов с полной карти- требованиям рынка, весной 2021 г. ком- ствий пользователей. При этом обработка ной рабочего дня отдельно взятых сотруд- пания \"Смарт Лайн Инк\" представила архива всегда требует участия сотрудника ников, например отнесенных к группе рынку новую версию DeviceLock DLP 9, службы ИБ, поскольку обработка видео- риска, – это и косвенная мера пред- включающую в себя новый компонент – записей проводится в ручном режиме отвращения утечек (когда сотрудники DeviceLock User Activity Monitor (UAM). без возможности автоматизированного знают о ведущемся наблюдении, число анализа содержимого того, что было на желающих нарушать правила резко Компонент DeviceLock User Activity экране пользователя. Однако подход к сокращается), и аналитический инстру- Monitor (UAM) реализован как опцио- защите информации, построенный на мент для дальнейшего усовершенство- нальный, точно так же, как и другие базе только мониторинга, порождает у вания системы безопасности. компоненты системы DeviceLock DLP. Этот модуль является неотъемлемой 22 • частью агента DeviceLock DLP, который устанавливается на каждый защищае- мый компьютер и обеспечивает воз- можность записи действий пользователя посредством таких инструментов, как видеозапись экрана компьютера, запись нажатий клавиш, сохранение информа- ции о процессах и приложениях, которые выполнялись и запускались во время записи. В процессе видеозаписи DeviceLock способен записывать один или несколько пользовательских экранов в заданном разрешении, в цвете или полутонах, приостанавливать запись при неактив- ности пользователя. Функция кейлоггера предусматривает опцию отключения или включения записи паролей. Принципиальное отличие мониторинга активности в DeviceLock – это избира-
DLP www.itsec.ru тельный принцип включения видеоза- и правовые проблемы, вызываемые сбо- В заключение подчеркну, что полно- писи экрана и/или клавиатурного ввода, а также сведений о запущенных про- ром теневых копий и видеозаписью ценные DLP-решения должны быть спо- цессах по наступлению заданных систем- ных событий (триггеров). Такими собы- сплошным потоком, тогда как автома- собны функционировать без участия тиями могут быть запуск определенного процесса или переключение на опреде- тизированный отбор передаваемой человека, только тогда анализируемая ленное окно, обнаружение подключений VPN, LAN, WLAN, подключение перифе- в архив информации на базе анализа и собираемая в архив информация не рийных устройств, в том числе включен- ных в белый список USB-устройств, бло- контента без участия ИБ-специалистов станет достоянием посторонних глаз, кировка доступа к устройству или сете- вому протоколу и, что самое важное и решает эту проблему. включая даже сотрудников службы без- полезное, срабатывание DLP-политики, включая основанные на анализе содер- Приведем пример, когда видеозапись опасности. Решение о запрете или раз- жимого при детектировании заданного содержимого в передаваемых, сохра- экрана может быть полезной даже при решении передачи информации, няемых, печатаемых данных, независимо от наличия подключения АРМ к корпо- срабатывании правила защиты конфи- а также видеозапись экрана и нажатия ративной сети/серверам. При необходи- мости записи активности пользователя денциальной информации, то есть при клавиш должно осуществляться DLP- в течение всего его рабочего дня за компьютером таким триггером может фактическом предотвращении утечки системой на компьютере сотрудника служить вход в систему. В общем случае запись ведется до тех пор, пока активен защищаемых данных. Пользователь в полностью автоматическом режиме. триггер (например, будет закрыто целе- вое окно или пользователь выйдет из пытается отправить по электронной Это означает, что анализ информации системы), или по заданному времени. почте сообщение с вложением в виде должен проводиться в режиме реаль- UAM как качественное расширение правил контентного анализа архивированного документа. Однако при ного времени на основании заранее Возможность включения функции анализе передаваемого сообщения предопределенных политик для детек- видеозаписи экрана и записи клавиа- турного ввода по триггерам является и вложения DeviceLock DLP детектирует тирования защищаемых данных, а не критически важной, поскольку позволяет ограничить объем мониторинга до разум- совпадение цифрового отпечатка доку- сбора всей передаваемой служебной но необходимого и достаточного с помо- щью современных технологий контент- мента, предварительно запакованного или личной информации подряд. Как ной фильтрации. Такие технологии, реа- лизованные в DeviceLock DLP, позволяют злоумышленником в архив, с образцом следствие, проанализированные аген- ограничить доступ и обработку DLP- системой только корпоративных данных, в базе цифровых отпечатков и класси- том DLP-системы данные не покидают когда DLP-система игнорирует все, что не относится к категории данных ограни- фикацией уровня \"конфиденциально\" и, рабочую станцию без необходимости ченного доступа, представляющих цен- ность для организации, как в задаче следуя заданной политике, блокирует ее дальнейшего просмотра службой контроля процессов перемещения дан- ных, так и при создании архива пользо- отправку сообщения. Наш злоумышлен- безопасности или хранения в центра- вательских операций с централизован- ным хранением видеозаписей экрана. ник понимает, что наткнулся на проти- лизованном архиве DLP-системы, при Грамотный и взвешенный подход к использованию контентных фильтров водействие и, намереваясь \"замести этом такие данные с высокой долей с исключением из мониторинга неакту- альных для службы ИБ данных (напри- следы\", старательно удаляет и черновик вероятности будут относиться к кате- мер, личные данные сотрудников) при- водит к существенному повышению сообщения, и сам архив с конфиденци- гории защищаемых, а не личных или качества мониторинга и содержимого централизованного архива. Для этого альным документом. Очевидно, что дей- общественно доступных. Только при следует включать опцию записи экрана и клавиатурного ввода не только по ствия по скрытию следов нарушения таком условии использование DLP- базовым триггерам, таким как запуск определенного процесса, или помещать уже никак не будут отслежены штатными решений позволит исключить наруше- в архив не все видеозаписи подряд, а только связанные с детектированием средствами DLP-системы, ведь никакой ния прав сотрудников на личную процесса передачи защищаемых дан- ных – тех, на которые еще на агенте передачи информации уже не происхо- и семейную тайну. сработали правила анализа содержи- мого. Безусловно, это потребует неко- дит. Однако начавшаяся по триггеру DeviceLock DLP является одним из торых трудозатрат на всех этапах внед- рения DLP-системы в организации, но в \"сработало контентно-зависимое прави- лучших и единственным российским результате сведет к минимуму этические ло\" видеозапись экрана предоставит решением класса Endpoint DLP среди глазам службы безопасности весь этот представленных на мировом рынке, прекрасный процесс. обладающим полным функциональным Стоит отметить еще один немаловаж- арсеналом современных DLP-систем. ный функциональный аспект реализации Благодаря использованию DeviceLock мониторинга активности пользователей DLP предотвращаются хищения инфор- в DeviceLock DLP, он реализован с под- мации через съемные накопители и дру- держкой консолидации журналов, как гие подключаемые внешние устройства, это было сделано ранее для централи- канал печати, электронную почту, мес- зации сбора событий событийного про- сенджеры, облачные файлообменные токолирования и теневых копий. Это сервисы и т.д. Технологии избиратель- означает, что в организациях, имеющих ного мониторинга деятельности сотруд- несколько филиалов, DeviceLock будет ников, реализованные в DeviceLock DLP поддерживать схему с централизован- версии 9 как часть полноценного DLP- ным сбором данных мониторинга актив- решения, обеспечивают юридическую ности на сервер в центральном офисе документируемость и повышение уровня (он же мастер-сервер) с серверов филиа- доказательности несанкционированных лов по заданному расписанию. Для аген- попыток доступа и фактов копирования тов DeviceLock может быть задано защищаемых организацией данных при несколько серверов системы и указаны расследовании инцидентов информа- правила выбора сервера при передаче ционной безопасности, упрощая процесс накопленных данных в архив. Каждый выявления подозрительного поведения такой сервер подключается к SQL-сер- пользователей и злоупотребления при- веру и хранит свои данные (события, вилегиями доступа или политиками теневые копии, а теперь еще и видеоза- защиты данных, что в результате при- писи экрана и нажатия клавиш) в отдель- водит к снижению рисков утечки инфор- ной базе данных. Более того, к одному мации. l SQL-серверу может быть подключено несколько серверов хранения. Такая схема позволяет органи- зовать работу с архивом NM Реклама событий на разных уров- АДРЕСА И ТЕЛЕФОНЫ нях организации – и в Смарт Лайн Инк филиалах, и в головном см. стр. 72 офисе. • 23
СПЕЦПРОЕКТ От DLP к комплексной аналитике Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии” В связи с переходом на дистанционный режим работы многие специалисты по безопасности столкнулись с проблемами удаленного доступа к критической информации. Вопросы контроля пользователей стали приоритетными. Использование привычных средств противодействия утечкам информации, таких как DLP-системы (Data Leak Prevention, предотвращение утечек), потребовало новых подходов и дополнительных функций, так как устоявшиеся методы борьбы с утечками перестают работать. Как работают Аналитическая платформа \"Гарда Аналитика\" – основа экоси- DLP-системы стемы безопасности \"Гарда Технологии\" – всестороннего ком- в новых условиях плекса защиты от угроз информационной и экономической без- DLP-система активно опасности, с которым интегрируются системы информационной применяется для контроля дей- безопасности \"Гарда Предприятие\", \"Гарда БД\", \"Гарда Мони- Рост угроз безопасности ствий сотрудников и защищает тор\", а также другие информационные системы. и необходимость контроля большего числа источников от утечек конфиденциальной Ключевые возможности платформы \"Гарда Аналитика\": информации от DLP требует расширения функциональ- информации, позволяет l Поиск последовательности событий среди огромного количе- ных возможностей. выявлять, оперативно рассле- ства данных, поступающих из различных внутренних и внеш- \"Гарда Аналитика\" от \"Гарда Технологии\" суще- довать инциденты безопасности них источников ственно расширяет возмож- ности DLP, выявляя группы и контролировать распростра- l Выявление и построение связей между объектами реального риска среди сотрудников, фиксируя индикаторы нару- нение информации. мира шений и превентивно обна- руживая их. Но в современных реалиях l Обнаружение угроз безопасности на основе поведенческого \"Гарда Аналитика\" обес- использование DLP-систем анализа с помощью методов машинного обучения печивает глобальную види- мость за счет интеграции встречает ряд таких сложно- l Автоматизация деятельности службы безопасности и анализа информации l Система открыта для подключения дополнительных инфор- из внутренних и внешних стей, как: источников. мационных систем и бизнес-приложений 1. Рост объемов контроли- 24 • Технологическая платформа BigData позволяет выявлять инци- руемой информации. Значи- денты в реальном времени, оценивать поведение, а также пре- тельно увеличилось число кон- вентивно реагировать на мошенничество. тактов и случаев передачи информации в онлайн-режиме, возрос и объем корпоративной переписки, появились корпо- свободное время. Таким обра- Расширение возможностей зом, с точки зрения DLP-систе- DLP за счет комплексного ративные мессенджеры, значи- мы это не является инцидентом, анализа так как нет никаких данных, тельная часть деловой пере- которые она могла бы само- Комплексные решения, объ- стоятельно идентифицировать единяющие в себе разные писки теперь происходит в как критически важные. Ситуа- инструменты информационной ция осложняется тем, что безопасности, в том числе и DLP, Whatsapp, Telegram и других отправка личных документов на позволяют единовременно конт- личную почту сейчас встреча- ролировать и внутренние, и мессенджерах. Это усложняет ется часто и сотруднику службы внешние источники данных, безопасности не хватает вре- доступ к базам данных, а также настройку правил детектиро- мени разбирать каждый факт защищать доступ к корпоратив- подобных срабатываний. ной сети извне. Они помогают вания утечек, приводит к уве- автоматизировать все процессы Рост угроз безопасности и обеспечения информационной личению количества ложных необходимость контроля боль- безопасности, выявления пове- шего числа источников инфор- денческих отклонений пользо- срабатываний и, как следствие, мации от DLP требует расши- вателей и систем. рения функциональных возмож- отнимает больше времени у ностей. Среди них – интеграция Для этого в системах ком- с другими системами безопас- плексного анализа применяются специалистов по безопасности ности, а также использование инструменты поведенческой средств предиктивной аналити- аналитики, построение связей на разбор и анализ данных. ки, то есть поведенческий ана- и цепочек событий в момент лиз и выявление инцидентов времени, что позволяет 2. Формальное описание утеч- по косвенным признакам и настраивать индикаторы собы- взаимосвязям между события- тий, выстраивать последова- ки информации. Рассмотрим ми из множества систем без- тельность событий, анализируя опасности. и обрабатывая каждое событие один из примеров, с которыми цепочки. мы сталкивались в ходе экс- плуатации DLP-системы: дан- ные об объемах продаж за полу- годие переданы в виде таблицы с цифрами без каких-либо ком- ментариев, только дата и сумма. При этом таблица встав- лена в документ, который отправлен сотрудником на лич- ную почту. Сам документ не является важным объектом, это, предположим, дипломная рабо- та, которую сотрудник делает в
DLP www.itsec.ru Система комплексного ана- Платформа определяет и строит ный контроль безопасности. \"Гарда Аналитика\" откры- лиза, объединяющая в себе связи между ними, позволяя Информация не сохранилась вает широкие возможности множество источников данных раскрывать мошеннические на флешку, не была распеча- для решения задач безопас- и подключаемых инструментов схемы, выявлять злоумышлен- тана и не была отправлена по ности. безопасности, – \"Гарда Ана- ников и оперативно реагировать электронной почте, так как эти литика\" от \"Гарда Технологии\" на различные виды инциден- действия были заблокированы. Многофакторный анализ существенно расширяет воз- тов. Сотрудник попытался сфото- данных из разных информа- можности DLP, выявляя груп- графировать экран, но был ционных систем позволяет пы риска среди сотрудников, Практика применения зафиксирован камерой видео- предотвращать утечки кри- фиксируя индикаторы нару- аналитической наблюдения, и его удалось тических данных. шений и превентивно обнару- платформы перехватить на КПП при бло- живая их. кировке пропуска. Таким обра- \"Гарда Аналитика\" позво- \"Гарда Аналитика\" открывает зом, многофакторный анализ ляет построить экосистему \"Гарда Аналитика\" – широкие возможности для данных из разных информа- безопасности, которая осу- решения задач безопасности, ционных систем позволяет ществляет защиту информа- платформа таких как: оперативная оценка предотвращать утечки крити- ции на уровнях сети, баз кандидата или контрагента, ческих данных. данных, на рабочих местах и информационной контроль бизнес-процессов устройствах. организации, анализ финансо- Возможность гибко адапти- и экономической вых операций, контроль целост- роваться к новым угрозам – ности и защита критических одна из ключевых особенностей безопасности данных в информационных платформы. \"Гарда Аналитика\" системах, обнаружение атак, позволяет построить экосистему \"Гарда Аналитика\" обес- заражений и теневых инфор- безопасности, которая осу- мационных технологий, выявле- ществляет защиту информации печивает глобальную види- ние транзакционного и теле- на уровнях сети, баз данных, коммуникационного фрода, на рабочих местах и устрой- мость за счет интеграции и мошенничества при закупках, ствах, в частности благодаря на производстве и в сбыте. бесшовной интеграции решений анализа информации из внут- \"Гарда Технологии\" (\"Гарда БД\", Допустим, сотрудник про- \"Гарда Монитор\", \"Гарда Пред- ренних и внешних источников. мышленного предприятия напи- приятие\"). сал заявление на увольнение, Система собирает данные не но решил не уходить с пустыми С помощью платформы руками. За оставшиеся 14 дней \"Гарда Аналитика\" оперативно только из имеющихся систем на отработке он скопировал формируется всесторонний ком- выгрузку из crm-системы, вклю- плекс защиты организации от безопасности, но и из при- чая сведения о контрактах угроз информационной и эко- с контрагентами. номической безопасности. l кладных информационных В системе \"Гарда Аналитика\" систем компании и внешних такие сотрудники с момента подачи заявления на увольне- источников, таких как ЕГРЮЛ, ние, а чаще заранее по пове- денческим признакам автома- ФССП и прочих, работая при тически ставятся на повышен- этом в режиме реального вре- мени. Исходные события постоянно обогащаются новы- ми сведениями, предоставляя службе безопасности полную картину происходящего в инфополе организации. Принцип работы системы – автоматизация процессов обна- NM Реклама ружения отклонений в поведе- АДРЕСА И ТЕЛЕФОНЫ \"Гарда Технологии\" нии сотрудников и систем бла- см. стр. 72 годаря непрерывному сбору и анализу поступающих данных. • 25
СПЕЦПРОЕКТ Цифровой помощник для бизнеса Александр Пирожков, руководитель направления ESET Threat Intelligence О фисный контроль – это не про справки о COVID-19 или стиль одежды на работе, это забота о сохранности данных и мониторинг эффективности труда персонала. Полноценный комплекс DLP (Data Loss Prevention) Safetica охватывает широкий спектр угроз безопасности, связанных с человеческим фактором. Он защищает компанию от спланированных или случайных утечек данных, злонамеренных действий инсайдеров и BYOD-рисков, а также помогает повысить продуктивность работы. В этой статье мы подробнее рассмотрим функционал DLP Safetica. Зачастую люди, рабо- Человеческий Рис. 1. Как работает Safetica лицензии, без скрытых затрат тающие с конфиденциаль- фактор и сложных технических требо- ными данными, не обладают работе. Эта система DLP ваний. Закупать дорогостоящее достаточными знаниями Каждый третий сотруд- выявляет подозрительное и оборудование и нанимать в штат о правилах безопасности. ник хотя бы раз в своей карьере потенциально опасное поведе- специалистов по информацион- вредил работодателю: копиро- ние персонала, а также колеба- ной безопасности не потребу- Решение Safetica создано вал данные, чтобы использовать ния производительности. Бла- ется. Safetica разработана таким для оперативного контроля на новом месте; удаленно под- годаря ей у руководителей есть образом, чтобы заказчик мог поведенческих особенно- ключался к корпоративным возможность получать отчеты внедрить и настроить продукт стей людей в офисе ресурсам после увольнения; уни- об изменившейся активности силами собственного ИТ-отдела, и на удаленной работе. чтожал документы; терял инте- сотрудников еще до того, как их при этом развертывание, как рес к текущей деятельности и деятельность нанесет реальный правило, занимает несколько использовал оборудование и ПО ущерб компании. С помощью часов. работодателя в личных целях. Safetica вы можете обучать Далеко не всегда ущерб стано- сотрудников правильной и без- Всесторонний подход вится следствием злого умысла. опасной работе с конфиденци- Зачастую люди, работающие альной и критически важной Продукты и модули Safetica с конфиденциальными данными, информацией. С решением Safe- способствуют построению без- не обладают достаточными зна- tica проще соблюдать законода- опасных процессов работы ниями о правилах безопасности, тельные требования и стандарты с наиболее важными данными и даже профессионалы совер- в области защиты данных, вклю- в зависимости от сферы дея- шают ошибки, критичные для чая GDPR, ISO/IEC 27001, HIPAA, тельности предприятия и его бизнеса. В итоге только в 2019 г. PCI DSS и др. потребностей. каждая пятая компания в России пострадала от случайных утечек Удобство использования Safetica Discovery данных. Решение Safetica соз- дано для оперативного контроля Уже через несколько дней Cориентирует вас в потоке кон- поведенческих особенностей после развертывания системы фиденциальных данных компа- людей в офисе и на удаленной заказчик получает мониторинг, нии и сформирует подробные аналитику и защиту данных отчеты о важных событиях. В про- Рис. 2. Каналы данных под защитой Safetica в одном решении. Запуск опции дукт включен базовый обзор 26 • глубокого анализа данных поз- поведения пользователей, аудит волит выяснить, что происходит безопасности и аудит соответ- в команде и на каких проблем- ствия нормативным требованиям. ных пользователях необходимо сосредоточиться. Safetica даст Safetica Enterprise четкие ответы на вопросы, когда и каким образом исполь- Это продукт для защиты дан- зуются конфиденциальные дан- ных, дополняющий стек реше- ные конкретной компании. ний корпоративной ИТ-без- опасности. Включает в себя Стоимость проекта внедрения автоматическую интеграцию решения равна стоимости
DLP www.itsec.ru Реклама сторонних решений и функции Рис. 3. Архитектура Safetica Safetica предлагает простой С помощью Safetica ком- для расширенных вариантов для понимания обзор всех воз- пании по всему миру использования. Упрощает как в приложениях на смарт- можных угроз в едином интер- решают проблемы ненадеж- управление рабочими процес- фоне или планшете, так и на фейсе управления. Настройте ного хранения важной сами и поддержку мультидо- сайтах, которые посещает поль- доставки оповещений о подо- информации и настраивают менных сред, а также позволяет зователь. зрительном поведении по e-mail функции DLP с учетом инди- персонализировать Safetica или через SIEM, добавьте видуальных потребностей. с использованием фирменного С помощью Safetica компании любые данные на панель управ- стиля вашей компании. по всему миру решают пробле- ления или экспортируйте их в Safetica предлагает про- мы ненадежного хранения важ- XLS и PDF для дальнейшего стой для понимания обзор Safetica UEBA (User and Entity ной информации и настраивают анализа – вы сможете в любое всех возможных угроз Behavior Analytics) функции DLP с учетом индиви- время и с любого устройства, в едином интерфейсе управ- дуальных потребностей: одним даже со своего смартфона, ления. Подробно изучает реальную для контроля конфиденциаль- получать полезную информа- активность и поведение поль- ности достаточно проводить цию. l • 27 зователей, затем предоставляет аудит жизненного цикла файлов детальные обзоры использова- и печати документов, другим Ваше мнение и вопросы ния рабочего времени. необходимо классифицировать присылайте по адресу типы носителей, которые можно Safetica Protection подключить к рабочим станциям [email protected] пользователей, третьим, поми- Позволяет получить полный мо прочего, нужно решить контроль над потоками конфи- вопросы сертификации. денциальных данных, сочетаю- щий в себе аналитику, класси- фикацию и предотвращение уте- чек (DLP). В него также включе- ны такие функции, как регуляр- ные отчеты о безопасности, уве- домления об инцидентах в режи- ме реального времени и зони- рование для упрощенной защи- ты данных высокого уровня. Safetica Mobile Этот модуль предоставляет отчеты о состоянии мобильных устройств для выявления рисков и проводит аудит активности
СПЕЦПРОЕКТ Как обеспечить ИБ без чрезмерных усилий? Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность\") М ногие компании сталкиваются с рядом проблем при организации процессов, обеспечивающих информационную безопасность. И хотя встречаются уникальные случаи, зачастую бизнес ищет решение самых распространенных задач, связанных с соблюдением требований законодательства, ограниченным бюджетом на внедрение необходимых систем, возможностью одновременно решать несколько задач ИБ, необходимостью использования отечественных решений. Наша компания реальные потребности компа- как показывает практика: он нии, а убить двух зайцев одним занят личными делами, раз- является разработчиком выстрелом всегда приятно. влечениями; возможно, рабо- тает на стороне, используя программного комплек- Нужно также понимать спе- ресурсы вашей компании; рабо- цифику ИБ в России, а она тает на конкурентов, саботируя са DLP Staffcop Enter- заключается в том, что: рабочий процесс или пытаясь l основная угроза безопасно- изъять данные. Конечно, пла- prise, который контролирует сти исходит изнутри самой ком- тить сотруднику ни за что выше- пании; перечисленное не стоит, поэто- АРМ сотрудников, обеспечивая l сотрудники, несмотря на то, му важно видеть, сколько вре- что много времени работают мени он работает на вас. Это При выборе варианта при этом необходимый уровень с компьютером, обладают край- позволяет выявлять как тех, кто решения важно принимать не ограниченными познаниями \"халявит\", так и тех, на кого во внимание не только бюд- защиты от утечек информации. в его использовании; \"свесили\" работы больше, чем жет, но и реальные потреб- l в силу природной доверчиво- нужно. Необходимо также ности компании. Мы понимаем задачи, стоя- сти и/или лени сотрудники легко выявлять недисциплинирован- поддаются манипуляциям. ных сотрудников – любителей Основная угроза без- щие перед заказчиками, и пред- опаздывать, отлучаться, уходить опасности исходит изнутри Все вместе эти факторы про- пораньше. самой компании. лагаем варианты решения. воцируют злонамеренные, халатные или просто некомпе- 3. Контроль информации. Скачать StaffCop Когда нужно решать сразу тентные действия сотрудников, Система должна уметь: Enterprise несколько задач ИБ поэтому важен контроль не l выявлять файлы, которые только той информации, которая находятся на компьютерах При необходимости одновре- циркулирует в компании и ее сотрудников, чтобы избежать менно решать несколько ИБ- каналах передачи, но и тех, кто неправомерного доступа к задач у компаний всегда есть с этой информацией работает. информации тех, кто не должен два пути: Как этого достичь? Основыва- с такой информацией работать; ясь на следующих тезисах: l отслеживать любые действия 1. Использовать набор из с файлами, чтобы всегда можно нескольких специализированных 1. Разделение рабочего и лич- было просмотреть жизненный решений (этот вариант приводит ного. Если сотрудник занима- путь файла; к серьезным денежным тратам). ется личными делами на рабо- l контролировать различные чем компьютере, то вероятность каналы передачи файлов – 2. Использовать одно-два гиб- заражения или утечки данных почту, печать, загрузку на внеш- ридных решения, которые не заметно повышается. Рабочий ние носители; настолько глубоки, как специали- компьютер должен быть только l отслеживать циркуляцию зированные решения, но решают для работы – это позволит осу- файлов внутри компании, что сразу несколько задач и не нано- ществлять мониторинг и конт- позволит видеть, кто получает сят большой урон бюджету. роль деятельности сотрудника доступ к файлам, а также как на законных основаниях. протекают бизнес-процессы При выборе варианта реше- Необходимо также создание в компании; ния важно принимать во вни- черного списка запрещенных l блокировать данные по мание не только бюджет, но и сайтов и приложений, чтобы у содержимому файла; работников не было физической l контролировать переписку, В StaffCop Enterprise 4.9 реализованы новые возможности заниматься чем- ведь данные необязательно возможности: то еще кроме работы. передавать файлом, можно про- l новый ETL-модуль значительно сокращает требования сто написать по памяти в мес- 2. Учет рабочего времени. к технической части сервера, заметно ускорена Если сотрудник не занят своей работа системы генерации отчетов и количество работой в рабочее время, то, агентов, которые можно подключить, увеличилось до 10 тыс.; l усилен DLP-модуль и теперь можно блокировать файлы по содержимому, в дополнение к контролю операций с файлами и модулю удаленного индексирования. Расширен также функционал версии для Astra Linux; l расширена интеграция с AD, появилась возможность интеграции со СКУД и SIEM-системами, улучшен менеджмент установщиков агентов и расширены возможности расследования преступлений. 28 •
DLP www.itsec.ru сенджере. Помните первый Отсюда можно сделать сле- В Staffcop используются Рабочий компьютер дол- пункт – \"разделение рабочего и дующие выводы: современные технологи (Click- жен быть только для личного\"? На рабочем компью- House, OLAP-кубы, нейросети), работы – это позволит осу- тере не должно быть личных 1. Система защиты должна доступные по свободной лицен- ществлять мониторинг переписок и файлов, к которым использовать ПО, распростра- зии. и контроль деятельности у сотрудника не может быть няемое по свободной лицензии, сотрудника на законных доступа или которые не нужны в то же время платных продук- Staffcop легко масштабиру- основаниях. ему для работы. тов должно быть минимальное ется, сохраняет свою функцио- количество. Стоимость далеко нальность и скорость работы Осуществляя контроль 4. Контроль АРМ. Здесь не всегда означает качество. даже при большом количестве АРМ, информации, каналов важен целый комплекс таких компьютеров. передачи информации и возможностей, как: 2. Системные требования операторов АРМ, вы будете l контроль состава АРМ – ПО должны укладываться в воз- Staffcop легко интегрируется владеть ситуацией и сможе- и железа, чтобы исключить можности имеющегося парка с SIEM-системами и со СКУД, те оперативно реагировать установку вредоносного ПО, машин (без ограничения функ- имеет единую консоль управ- на возникающие угрозы ИБ, развлекательного ПО и контро- ционала). ления и не нагружает рабочие а если инцидент уже про- лировать, что компоненты ком- станции, что позволяет безбо- изошел, то собранные дан- пьютера не подменяются/не 3. Новая система должна лезненно внедрить его в уже ные можно легко использо- изымаются; обладать функциями взаимо- имеющуюся инфраструктуру. вать во время расследова- l контроль используемых внеш- действия с уже использующи- При этом вам не придется пла- ния и сбора доказательств. них носителей – подключение мися решениями. тить ничего дополнительно: только разрешенных USB- если вы решаете приобрести Если у вас нет времени устройств, чтобы исключить 4. Интерфейс системы дол- Staffcop Enterprise, вы оплачи- учиться разбираться в про- использование неизвестных жен быть прост/интуитивен ваете только стоимость лицен- дукте, то вам нужно простое флешек; и/или нагляден, как и процесс зии, никаких скрытых плате- легковесное решение, l контроль доступа к АРМ – внедрения системы и настройки жей. в котором все можно полу- отслеживание использования \"под себя\". чить парой кликов, не тратя RuToken, идентификация тех, Отдельно стоит сделать несколько часов, чтобы кто действительно находится за Если у вас нет времени учить- акцент на расследовании инци- \"выудить\" собранные данные. компьютером (например, рас- ся разбираться в продукте, то дентов. С этой целью разрабо- познавание с помощью нейро- вам нужно простое легковесное тан конструктор отчетов, кото- Требования по импорто- сетей, по снимкам с веб-камер), решение, в котором все можно рый благодаря используемым замещению – это та реаль- использование кейлоггера, воз- получить парой кликов, не тратя технологиям и виджетам поз- ность, с которой компании можность удаленного просмот- несколько часов, чтобы воляет за считанные минуты должны считаться. ра рабочего стола, удаленное \"выудить\" собранные данные. сформировать отчет, и вам не подключение и перехват управ- нужно обладать специальными Ссылка на статью ления, запись звука с микро- Соблюдение требований знаниями, чтобы в нем разо- нашей компании, фона АРМ и т.д. законодательства браться. Кроме того, имеется посвященную требо- консоль инцидентов и уведом- ваниям регуляторов Таким образом, осуществляя Описанный выше подход пол- ления, которые помогают опе- контроль АРМ, информации, ностью укладывается в требо- ративно реагировать на про- каналов передачи информации вания руководящих документов исходящее. и операторов АРМ, вы будете по ИБ. владеть ситуацией и сможете В сложных экономических оперативно реагировать на воз- Использование условиях, при различных воз- никающие угрозы ИБ, а если отечественных решений можностях всегда можно обес- инцидент уже произошел, то печить ИБ своей компании, собранные данные можно легко Требования по импортозаме- главное – следовать принципам использовать во время рассле- щению – это та реальность, с и исходить из понимания того, дования и сбора доказательств, которой компании должны счи- что необходимо сделать, чтобы что значительно упрощает таться. На рынке есть множе- поддерживать бесперебойное нахождение виновных и вос- ство достойных решений, как функционирование предприя- становление цепочки событий. узкоспециализированных, так и тия, учитывая особенности ИБ гибридных. Наша компания, на территории РФ (основные Когда у вас ограничен полностью российская, является угрозы и менталитет сотрудни- бюджет резидентом Центра инноваций ков). \"Сколково\" и Технопарка Ново- Ни для кого не секрет, что сибирского Академгородка, при Предлагаем вам опробовать довольно часто приобретение этом мы на рынке с 2006 г. Staffcop Enterprise в течение решения для обеспечения ИБ месяца совершенно бесплатно, сопряжено с дополнительными Разработанное нами реше- с полным функционалом, нашей расходами (закупкой нового ние – легковесное endpoint DLP полной поддержкой и сопро- железа, приобретением лицен- Staffcop Enterprise соответствует вождением. зий на стороннее ПО и т.д.). описанному выше подходу. Это Кроме того, в полный рост стоит полностью отечественная раз- Как показывает наша ста- проблема интеграции новой работка, в которой все функ- титстика, 97% компаний обна- системы с уже имеющейся. Ну циональные возможности ружили серьезные нарушения и, конечно, существуют трудно- можно разделить на три основ- в течение пилотного проекта. сти использования системы ные группы: (необходимость выделять l контроль информации и дей- Помните, наша цель – дей- отдельного сотрудника, который ствий сотрудников; ствий меньше, а результат будет разбираться в ней, тра- l учет рабочего времени; лучше! l тить время и средства на его l системное администрирова- обучение). ние. NM Реклама Staffcop Enterprise соответ- АДРЕСА И ТЕЛЕФОНЫ ствует каждому из перечислен- Атом Безопасность ных тезисов, которые, в свою см. стр. 72 очередь, соответствуют требо- ваниям регуляторов. • 29
СПЕЦПРОЕКТ DLP умерла. Да здравствует DLP! Несмотря на то что в 2021 г. вендоры DLP продолжают анонсировать новую функциональность, далеко не всегда понятно, какой эффект для бизнеса стоит за этими изменениями и дадут ли они качественный скачок с точки зрения скорости и эффективности решения прикладных задач ИБ, количество которых не Конфиденциальные уменьшается. В гонке за вниманием производители DLP добавляют и неконфиденциальные новые возможности, иногда выходя за границы задач защиты чертежи визуально похожи. информации от утечек и усложняя продукты. А что могло бы на Поэтому защита, основан- ная на детектировании толь- самом деле изменить жизнь специалистов ИБ, сделать актуальной ко формата файла, никогда их роль в современном бизнесе на современных скоростях? не обезопасит компанию от утечки конфиденциального DLP должна ощутимо фики есть свои технологии рас- рая часть своих чертежей раз- чертежа. Тут нужен графи- снижать трудоемкость познавания, которыми может мещает публично в Интернете ческий копирайтный анализ. обработки инцидентов похвастаться далеко не каждая вместе с официальной конкурс- современная DLP-система. ной документацией. А другая Чтобы не перегрузить Качество технологий анализа Например, есть конфиденци- часть чертежей остается кон- безопасника и помочь определяет трудоемкость обра- альные фотографии (фото, свя- фиденциальной, к примеру с приоритизацией событий, ботки инцидентов. Если нельзя занные с исследованиями, тех- планы застройки территории. важно, чтобы DLP-система настроить систему так, чтобы нологическими разработками, Конфиденциальные и неконфи- сама уведомляла специали- она давала минимум ложных медицинского характера), карты денциальные чертежи визуаль- ста ИБ, на что ему стоит срабатываний без ущерба для застройки территории, схемы но похожи. Поэтому защита, обратить внимание. надежности защиты, то неми- помещений, карты георазведки, основанная на детектировании нуемо стоит ожидать большого чертежи, схемотехника и пр. только формата файла, никогда количества ложноположитель- Максимум, что может большин- не обезопасит компанию от ных срабатываний. Все их при- ство DLP-систем, – детектиро- утечки конфиденциального чер- дется либо просматривать вруч- вать формат файлов и тежа. Тут нужен графический ную, либо игнорировать. сообщать безопаснику: \"Это копирайтный анализ. документ AutoCAD\". А нужно Как SIEM называют уметь \"залезть\" в файл и понять, Вторая понятная задача – не кладбищем логов что содержит изображение. перегрузить ИБ-специалиста в безопасности, так и DLP Только так в ответственный ненужными действиями. Напри- скоро будут называть момент DLP-система сможет мер, в случае с персональными кладбищем нарушенных определить, была ли отправле- данными отлично видно, как политик. на через мессенджер фотогра- использование системы без раз- фия с корпоратива или фото- витых технологий контентного Отсюда первая очевидная графия важного чертежа. анализа \"аукается\" отделу ИБ. Представьте себе, что у вас задача – не пропустить важное. Претендовать на защиту кон- в мессенджере два сообщения фиденциальных данных и обхо- с персональными данными, но Удивительно, но она до сих пор дить стороной качественное в одном из них – ФИО, телефон распознавание графической и адрес клиента компании из не решена во многих DLP. Ведь информации никак не получит- вашей бизнес-системы, а в дру- ся. Разница в эффективности гом – такие же данные, но другая ловить надо разные форматы технологий защиты графики на ситуация: кто-то по дружбе реко- реальных кейсах заказчиков мендовал специалиста и поде- документов: текстовые, очевидна. Возьмем, например, лился контактами. Если пытать- компанию-застройщика, кото- ся ловить утечку таких данных с несколько видов графических использованием регулярных выражений, то оба сообщения и т.д. Мы много лет занимаемся будут нарушением. Более того, каждое письмо с подписью разработкой своих методов в почте будет считаться инци- дентом. И другое дело, когда защиты, и, по нашим наблюде- ваша DLP интегрирована с биз- нес-системами и вы защищаете ниям, защищать графику мало конкретные данные, которые имеют реальную ценность. кто умеет. Под каждый тип гра- Итак, мы кратно снизили коли- InfoWatch Traffic Monitor – ИБ-решение года в России чество инцидентов, на которые надо реагировать. Но ведь есть Объявлены лучшие ИТ-решения по выбору TAdviser 2021. В рамках ежегодного TAdviser SummIT, события или череда событий, прошедшего 26 мая 2021 года в Москве, состоялось награждение участников пятой церемонии где совершенно неочевидно, что награждения TAdviser IT PRIZE. ГК InfoWatch стала лауреатом премии в \"ИБ-решение года это надвигающийся инцидент. России – 2021\". Выбором TAdviser 2021 года среди ИБ-продуктов стала Здесь приходит на помощь DLP-система Traffic Monitor за уникальные технологии анализа, расши- возможность прогнозировать ряющие возможности DLP. DLP-система InfoWatch Traffic Monitor – это высокотехнологичное решение на основе искусственного интеллекта для защиты от утечек данных и прогнозирования рисков информационной безопасности компаний и организаций. С момента создания в 2003 году InfoWatch задает тон на рынке DLP и на протяжении многих лет остается лидером в этом сегменте. 30 •
DLP www.itsec.ru Реклама риски безопасности с исполь- Может ли офицер безопасно- личному и корпоративному, Обнаружить инцидент, зованием технологий машин- сти сам быстро составить марш- общение с уволившимися задействовав минимум ного обучения. В DLP-системе рут движения конфиденциаль- сотрудниками, отправка данных ресурсов, – только первый InfoWatch Traffic Monitor, ного документа и провести рас- самому себе на личный адрес этап, на котором DLP-систе- например, за это отвечает следование утечки за пять и другие действия, несущие ма должна уметь показать модуль предиктивной анали- минут? Скорее всего, нет. Но потенциальную опасность для свою эффективность. тики InfoWatch Prediction, спо- если он обратится к инструмен- сохранности конфиденциаль- Основные трудозатраты собный \"увидеть\" в разрознен- ту визуальной аналитики дан- ной информации. В частности, наступают с переходом ных событиях цепочку и пред- ных DLP и построит граф пере- и такое можно увидеть, исполь- на этап расследования. упредить службу безопасности мещения информации, то тут зуя инструмент визуализации до того, как наступит реальная же увидит, в каком направлении InfoWatch Vision. Бизнес обычно не согла- угроза. вести расследование дальше: совывает свои действия кто создал документ, куда его Второй пример – когда нужно с ИБ, не уведомляет об И снова, чтобы не перегру- отправлял и какими способами, оперативно настроить политику изменениях и редко прино- зить безопасника и помочь когда документ покидал пери- защиты новых типов докумен- сит в отдел ИБ шаблоны с приоритизацией событий, метр компании и т.д. Даже тов, появляющихся в компании. новых документов, которые важно, чтобы DLP-система сама с учетом различных нюансов, Ведь было бы идеально делать нужно защищать. уведомляла специалиста ИБ, возникающих во время \"жиз- это автоматически. В InfoWatch на что ему стоит обратить вни- ненного пути\" документа. такую технологию на основе ИИ • 31 мание. Например, с помощью Например, \"договор\" и \"дого- сделали. Это \"Автолингвист\". того же модуля предиктивной вор_правки\" – это может быть Он позволяет автоматически аналитики InfoWatch Prediction один и тот же документ, назва- настроить политику защиты можно автоматизировать опо- ние которого в процессе его документов такого же типа. вещения об аномальном пове- \"путешествия\" дополняется ком- дении и даже цепочке событий. ментариями и пометками. Фак- Следующий логичный шаг – Офицеру безопасности остает- торы такого рода не должны вовремя узнать о появлении ся только настроить, что он стать помехой для поиска. новых типов документов в ком- хочет видеть и как часто хочет пании. Это означает, что нужно получать оповещения. DLP должна быть научить DLP автоматически актуальной категоризировать данные. Кто Анализ данных должен сделает это первым, тот сможет быть удобным Любая компания – это живой доказать рынку и клиентам, что организм, и процессы в ней он действительно понимает Обнаружить инцидент, задей- постоянно меняются. Бизнес боль безопасников, работаю- ствовав минимум ресурсов, – обычно не согласовывает свои щих с DLP-системами, и спосо- только первый этап, на котором действия с ИБ, не уведомляет бен думать на несколько шагов DLP-система должна уметь об изменениях и редко приносит вперед с позиций заказчика. l показать свою эффективность. в отдел ИБ шаблоны новых Основные трудозатраты насту- документов, которые нужно Благодарим экспертов пают с переходом на этап рас- защищать. Как успевать за ско- ГК InfoWatch Александра следования: требуется переко- ростью изменений? Клевцова и Марину пать горы данных, нащупать Маркелову за помощь направление и по крупицам вос- На графе связей визуально в подготовке материала. становить картину произошед- выделятся то, что зачастую шего. Увеличить скорость реак- остается вне зоны внимания Ваше мнение и вопросы ции специалисту ИБ помогают безопасника, например, комму- присылайте по адресу инструменты визуальной ана- никации с одним адресатом по литики. двум параллельным каналам – [email protected]
СПЕЦПРОЕКТ Поймать и обезвредить \"шпиона\" в офисе без установки системы видеонаблюдения Игорь Калайда, генеральный директор НИИ СОКБ А нализ судебных решений на портале ГАС РФ “Правосудие” свидетельствует о том, что у российских граждан достаточно часто возникает желание не только заработать на продаже конфиденциальных документов, но и навредить своим работодателям. Прежде чем продавать конфиденциальные документы, рекомендуем всем будущим “шпионам” ознакомиться с возможными последствиями, которые содержатся в ст. 81, 192 ТК РФ, ст. 14 закона “О коммерческой тайне\", ст. 13.14 КоАП и ст. 183 УК РФ. Если искажения уникаль- Обостренное чувство нальных репрессий\", но при изменения содержимого доку- ны, то по ним можно распо- справедливости толкает этом публикует документ мента нельзя. Если искажения знать каждую копию доку- на безрассудные поступ- в неизменном виде… уникальны, то по ним можно мента даже по части страни- ки не только российских распознать каждую копию доку- цы. граждан. Так, в 2018 г. бывшая Чтобы развеять иллюзии про- мента даже по части страницы. сотрудница американских спец- давцов и покупателей конфи- Один из эффективных служб Риэлити Виннер (Reality денциальных документов о том, Один из эффективных спосо- способов скрытой маркиров- Winner) была осуждена на пять что по ксерокопии, фотографии бов скрытой маркировки – это ки – это аффинные пре- лет тюрьмы за передачу в изда- или скриншоту документа невоз- аффинные преобразования, с образования. тельство The Intercept секрет- можно определить источник помощью которых можно неза- ного отчета разведки. Риэлити утечки, предлагаем описание метно смещать части текста отно- SafeCopy распознает распечатала отчет на принтере, технологии скрытой маркировки сительно друг друга (см. рис. 1). копии даже по фотографиям вынесла его с режимного объ- конфиденциальных документов. низкого качества. екта в колготках и затем отпра- Этот способ реализует система вила в издательство по почте. Аффинная защита SafeCopy, которая не только 32 • Получив секретный отчет, конфиденциальных автоматически вносит аффинные издательство The Intercept документов преобразования в копии доку- решило проверить его подлин- ментов, но и распознает марки- ность. Наивно полагая, что скан- Если маркировка будет рованные таким образом копии. копия документа не позволяет заметной, то ее легко удалить определить источник утечки, или скрыть при копировании. SafeCopy распознает копии издательство отправило отчет К заметным способам марки- даже по фотографиям низкого на проверку в АНБ, которое по ровки относится нанесение на качества, несмотря на то, что: скрытой маркировке установило каждую страницу водяных зна- время, дату и принтер, на кото- ков, грифа, номера копии или 1. Фотографии делаются под ром был напечатан документ. имени ее получателя. углом. Документ или экран, на Через несколько дней на пороге котором он изображен, невозмож- дома Риэлити уже стояли быв- Скрытая маркировка основа- но сфотографировать строго под шие \"коллеги по цеху\". на на внесении незаметных углом 90 град., как в сканере. За прошедшие три года изда- искажений в текст документа. тельство The Intercept не сде- Удалить такую маркировку без 2. На фотографиях экранов лало выводов из допущенных будет цветная рябь (муар), пото- ошибок. му что экран мерцает. В марте 2021 г. в издатель- ство был передан документ Рис. 1. Иллюстрация маркировки с грифом Amazon Confidential. В документе подробно опи- саны антисанитарные наруше- ния водителей Amazon, в том числе \"публичное мочеиспуска- ние\" и \"публичная дефекация\" непосредственно на рабочем месте, \"…в связи с напряжен- ным режимом работы и отсут- ствием времени на поиски туа- лета\". Издательство The Intercept сообщает, что гарантирует ано- нимность курьеру из Amazon, чтобы избежать \"профессио-
DLP www.itsec.ru Рис. 2. Интеграция с СЭД Рис. 3. Интеграция с печатью Рис. 4. Интеграция с почтой его маркировку. В результате Интегрировать SafeCopy в дру- Сервис маркировки сотрудник забирает из лотка гие корпоративные системы SafeCopy можно встроить 3. При отправке фотографий принтера маркированную копию также просто, так как в состав в корпоративные системы, с помощью мессенджеров их (см. рис. 3). продукта входит API, с помощью которые обрабатывают кон- размер уменьшается больше которого любая корпоративная фиденциальные документы. чем на порядок. Интеграция с электронной система может запросить мар- почтой кированную копию документа. Модуль интеграции Сервис маркировки SafeCopy SafeCopy с электронной можно встроить в корпоратив- Во многих организациях нель- Заключение почтой предоставляется ные системы, которые обраба- зя использовать электронную бесплатно. тывают конфиденциальные почту для рассылки конфиден- Корпоративные \"шпионы\" документы. Типовыми являют- циальных документов, но эти фотографируют документы, ся нижеследующие сценарии запреты регулярно нарушаются. потому что это быстро и про- интеграции SafeCopy с корпо- С помощью SafeCopy сотрудник сто, а главное – можно остать- ративными системами. может запросить маркировку ся безнаказанным. Если же вложений при отправке конфи- промаркировать все конфи- Интеграция с системами денциального письма. В этом денциальные документы, пред- электронного случае каждому получателю упредить об этом своих сотруд- документооборота (СЭД) будут отправлены не оригиналы ников и объяснить им, что в документов, а их маркирован- случае утечки гарантированно Каждый раз, когда сотрудник ные копии. найдете виновных, то можно запрашивает конфиденциаль- безошибочно прогнозировать ный документ в СЭД, интегри- Модуль интеграции SafeCopy резкое сокращение желающих рованной с SafeCopy, он полу- с электронной почтой предо- \"поиграть в шпионов\". l чает его маркированную копию ставляется бесплатно. Нашим (см. рис. 2). заказчикам не нужно ничего NM Реклама дорабатывать. Достаточно уста- Интеграция с системами новить клиентские библиотеки АДРЕСА И ТЕЛЕФОНЫ управления печатью SafeCopy на свой почтовый сер- НИИ СОКБ вер, и сотрудники смогут мар- см. стр. 72 Сотрудник отправляет доку- кировать конфиденциальные мент на печать. Система управ- вложения. ления печатью определяет, что этот документ конфиденциаль- ный, и запрашивает у SafeCopy • 33
СПЕЦПРОЕКТ DLP: взгляд со стороны заказчика Круглый стол Максим Сяглов, руководитель направления информационной безопасности НПО Петровакс Фарм Участники: Роман Ванерке, технический директор АО “ДиалогНаука” Алексей Дрозд, начальник отдела ИБ “СёрчИнформ” Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии” Александр Клевцов, глава направления InfoWatch Traffic Monitor Алексей Кубарев, руководитель группы развития бизнеса Центра продуктов Dozor компании “Ростелеком-Солар” Анна Попова, руководитель блока DLP Infosecurity Владимир Ульянов, руководитель аналитического центра Zecurion Давно и достаточно надежно в рос- проблема в том, что такой подход мания исключительно на чувствительных сийских компаниях укоренились решения предполагает свершившимся сам факт для компании данных, и для его реали- класса DLP. Каждый заказчик желает утечки информации. И офицер без- зации компания должна четко понимать, видеть в этой технологии решение своих опасности либо вынужден превентивно какие данные для нее имеют ключевую индивидуальных проблем и бизнес- прибегать к иным организационным ценность. Во-вторых, требуется индиви- задач, и разработчики идут навстречу. мерам для снижения вероятности реа- дуально и оперативно расследовать каж- Но разнообразие решаемых задач при- лизации таких инцидентов, например дый инцидент, так как это напрямую вело к тому, что отечественные DLP- заблаговременно ограничивать доступ влияет на бизнес-процессы компании решения обросли невероятным функ- к различным каналам передачи инфор- и скорость принятия решений. ционалом, который, на взгляд практи- мации, либо вообще теряет возмож- кующего безопасника, избыточен и даже ность отреагировать на инцидент в слу- Например, работник отправляет пись- вреден. чае, если нарушитель успел расторг- мо контрагенту с вложением конфиден- нуть трудовые отношения с работода- циального характера. В DLP срабаты- Учитывая многообразие практик при- телем. вают настроенные на такой случай триг- менения DLP-решений в российских ком- геры, и система останавливает процесс паниях, в настоящее время сложно Да и практика показывает, что при- отправки письма, оповещая офицера согласиться с изначальной расшифров- влечение работника к административ- безопасности. Офицер в течение уста- кой Data Loss Prevention (предотвраще- ной, а тем более уголовной ответствен- новленного SLA проверяет инцидент ние утечек данных). ности за нарушение режима коммерче- и принимает решение о подстройке ской тайны для многих компаний являет- системы или дальнейшем расследова- Предотвращение утечек ся практически невыполнимой задачей. нии инцидента. В таком случае инфор- или расследования? мация не покинет периметр компании, В компаниях с прозападным мышле- а с виновым будет проведена необхо- В большинстве российских компаний нием, наоборот, встраивают DLP \"в раз- димая работа. системы DLP применяются по большей рыв\", интегрируя их с совместимыми части для расследования инцидентов узлами информационной системы: это Но российские вендоры удивляются информационной безопасности. Но могут быть антиспам-системы, межсе- применению технологии в таком режиме, тевые экраны и др. хотя он, казалось бы, заложен в самом названии! Может, стоит переименовать Такой подход требует от офицера без- продукт в систему расследования утечек опасности, во-первых, грамотной информации? настройки системы, концентрации вни- Комментарии экспертов Анна Попова, Infosecurity: Несмотря на существенную вовая база – без нее внедрение не имеет смысла. Так устроено эволюцию в сторону аналитических возможностей и инстру- в Traffic Monitor. Дискурс об избыточной функциональности ментов для расследований, DLP все так же продолжают возник из-за того, что некоторые вендоры \"допиливали\" DLP выполнять свою первоначальную функцию – контроль каналов по просьбе заказчиков порой в неожиданную сторону, отсюда передачи данных и защиту от утечек. Расследования подра- и сумбур, от которого страдают и сами вендоры, и репутация зумевают не только действие постфактум, но и разбор продуктов класса DLP. отчетов, анализ текущих событий и прочие собранные систе- мой данные. Например, технология поведенческого анализа Владимир Ульянов, Zecurion: DLP-система должна UBA фиксирует действия, указывающие на отклонение в уметь предотвращать утечки информации, это ее прямая обя- поведении. Кроме того, есть успешные кейсы, в которых дан- занность. Когда вендор советует своим заказчикам \"пассивный\" ные DLP-системы успешно применялись в ходе судебных режим работы – это индикатор того, что возможности системы разбирательств. ограниченны по каналам предотвращения утечки, выдержи- ваемой нагрузке или другим критериям. Да, режим блокировки Александр Клевцов, InfoWatch: Современная DLP – требует тщательной настройки, но это штатный режим работы это и предотвращение утечек, и проактивное прогнозирование для DLP, который позволяет не только расследовать инциденты, рисков, и сбор данных для расследования, и правильная пра- но и реально предотвращать утечки. 34 •
DLP www.itsec.ru Дмитрий Горлянский, Гарда Технологии: Дей- Алексей Кубарев, Ростелеком-Солар: Современные ствительно, тенденция использования DLP как инстру- DLP-системы позволяют блокировать утечки, вопрос лишь мента расследований значительно усилилась за последние в том, кто применяет систему. Например, служба информа- годы. Несмотря на обилие инструментов, формальное ционной безопасности заинтересована в режиме блокировки, описание инцидента остается довольно сложной задачей. который, по сути, является технической реализацией режима Часто данные DLP-систем используются как фактор \"подо- коммерческой тайны. А вот службе экономической безопасности зрительности\", а инцидентом является уже совокупность блокировки неинтересны, их больше интересуют оперативно- событий, причем поступивших не только из самой DLP- розыскные мероприятия и наличие в системе богатой аналитики, системы: например, факты клавиатурного ввода в опре- которая есть далеко не во всех решениях. На практике блоки- деленных документах, факты отправки почты без темы ровка утечек используется в довольно зрелых в плане ИБ письма и др. организациях – лидерами являются банки и представители финансового сектора. Роман Ванерке, ДиалогНаука: Безусловно, первичная задача DLP системы – обеспечивать защиту конфиденци- Алексей Дрозд, СёрчИнформ: Действительно, на Западе альной информации при ее использовании, хранении или DLP понимают как, по сути, блокировщик трафика, что-то вроде передаче. Но появившиеся инциденты ИБ необходимо рас- proxy. Аналитика и форензика там востребованы не в рамках следовать. Подход к архивации трафика имеет как свои ИБ, а в риск-менеджменте и комплаенсе. В России же запрос на плюсы – возможность провести ретроспективный анализ, \"спайку\" функционала шел от бизнеса, у нас внутренняя ИБ так и ограничения, например высокие требования к подси- исторически ближе к \"следствию\", чем к администрированию, стеме хранения или возможность получить доступ к чувстви- отсюда и различия. \"Зарубежное\" исполнение DLP в виде бло- тельным данным сотрудника. Проактивная защита требует кировщика не справится, если требуется не перерубить все более тонкой настройки DLP-системы, выверенных процессов исходящие каналы, а установить хоть сколько-то гибкие правила и сильной команды. Зачастую как раз поэтому именно \"архи- контроля, поэтому комбинированный подход в целом выигрывает. ваторы\" находят более широкое распространение среди Он также позволяет делать выводы по итогам расследований заказчиков. и менять процессы так, чтобы нарушения не повторялись. Гибкость настройки политик тику, основанную на словарях, когда когда системы определяют корни вендоры считают, что если встречается в слове, например \"разРАБОТАли\". Воз- Для четкого описания документов кон- слово \"работа\", то мы обязательно имеем можно, применяя технологии машинного фиденциального характера требуется дело с человеком, желающим сменить обучения на площадке заказчика, полу- гибкая настройка правил. Нередко я работу. Особенно нелепо это выглядит, чится добиться более точных результа- замечаю тупиковую, на мой взгляд, прак- тов при поиске инцидентов. Несомненно, данные методы потребуют больше ресур- сов от инфраструктуры заказчика и вре- мени его квалифицированных специа- листов. Но, несмотря на это, пора начать более широко применять нейросети с учителем. Механизм машинного обуче- ния уже можно встретить в некоторых западных DLP. Мы наблюдаем приме- нение подобных технологий и у отече- ственных производителей в виде подси- стем распознавания лиц и машинного зрения. Комментарии экспертов Дмитрий Горлянский, Гарда Технологии: Поддержу пересылать все выявленные DLP инциденты в UEBA для еще одним примером: выявление мошенничества по наличию построения моделей поведения, а на выходе получать слова \"откат\" на кабельном заводе, где откаты катушек кабеля информацию о выявленных аномалиях, тем самым снижая происходили по сотне раз в день. Словари неплохо могут себя загрузку офицера безопасности. зарекомендовать для определения тематики большого объема данных – переписка в мессенджерах и соцсетях, тематические Александр Клевцов, InfoWatch: Не перестаю повторять, сайты (\"Форекс\" и др.). Но они не подходят для работы с насколько важно качество контентного анализа в DLP! Если в небольшими текстами. вашей DLP есть полноценный лингвистический анализ, учиты- вающий морфологию, значимость каждого слова в контексте Роман Ванерке, ДиалогНаука: Простые механизмы документа, взаимоотношения разных словарей и многие другие выявления конфиденциальной информации, такие как ключе- особенности, это будет на несколько порядков эффективнее, вые слова, словари, регулярные выражения, могут приме- нежели просто работа со стоп-словами. Технологии машинного няться, но требуют аккуратного использования и тонкой обучения в Traffic Monitor давно применяются, и не только для настройки. Встроенные политики, которые, по сути, с помо- качественного распознавания и защиты текстовой информации, щью скриптов описывают защищаемые данные немного но и для графики. гибче, чем простые ключевые слова, – удобный способ базовой настройки системы. Цифровые отпечатки — гораздо Владимир Ульянов, Zecurion: Точность классификации более точный способ обнаружения конфиденциальной информации и распознавание конфиденциальных данных информации, но, чтобы этот механизм работал качественно, крайне важна для DLP. Набор технологий контентного анализа необходимо на регулярной основе пополнять базу DLP является одним из важнейших критериев выбора. И если соответствующими документами. Наиболее простой и удоб- вендор предлагает скромный набор коробочных технологий и ный способ – обучить систему с помощью ML. Один из вен- дополнительные услуги для \"тонкой настройки словарей\", доров UEBA/SIEM решений предлагает такой сценарий: стоит задаться вопросом об эффективности такой системы. Самая замечательная настройка словаря не заменит прогрес- • 35
СПЕЦПРОЕКТ сивные технологии с элементами искусственного интеллекта, ноу-хау – поиск похожих. Но и \"примитивные\" поиски тоже которые сократят число ложных срабатываний и будут эффек- имеют право на жизнь. Например, тот же стемминг нужен, тивно ловить утечки. когда требуется найти что-то специфическое – термин, сленг, иноязычное заимствование, когда \"умные\" алгоритмы могут Алексей Кубарев, Ростелеком-Солар: Мы применяем перемудрить и выдать мусор. Все зависит от задачи. Эти виды технологии машинного обучения в своей DLP-системе для детек- поиска с ними справляются, так что не вижу смысла в нейро- тирования печатей и графических объектов, а также исследуем сетях с машинным обучением – результат достигается проще применимость машинного обучения для тонкой настройки политик и дешевле. системы. Чтобы осуществить точную настройку, требуется четкое описание информационных объектов, тогда можно свести ложные Анна Попова, Infosecurity: На сегодняшний день техно- срабатывания к минимуму. К сожалению, гарантировать отсут- логия машинного обучения в DLP не получила своего развития. ствие ложных срабатываний ни одна DLP-система не может. В некоторых системах на рынке она уже применяется, но это Словарь – лишь малая толика политики DLP. У ведущих еще довольно сырые решения, ведь для зрелости необходимы вендоров есть много других методов, которые работают в ком- большой объем данных и время на обучение. Поэтому основной плексе: атрибуты, шаблоны, цифровые отпечатки и др. остается старая добрая настройка правил силами ИБ-специа- листов в зависимости от требований заказчика, его отрасли и Алексей Дрозд, СёрчИнформ: Некачественный поиск – внутренних бизнес-процессов. Если же у штатных сотрудников проблема не DLP как класса, а отдельных вендоров. недостаточно компетенции для скрупулезной настройки, всегда В \"СёрчИнформ КИБ\" реализовано более 10 видов поиска, их можно прибегнуть к сервис-провайдеру, который предоставит можно комбинировать. Мы постоянно добавляем новые виды, специалистов и услуги. Только так можно повысить качество чтобы снизить число ложных срабатываний: по комбинации работы DLP. фраз, по последовательности символов, наше собственное Надежность и совместимость риках эффективности, когда системы показывают нестабильную работу, вызы- Надежность и безотказность работы вают различного рода ошибки памяти, DLP-системы олицетворяют нашу ответ- сбои в модулях индексации. А вопросы ственность перед бизнесом, который совместимости DLP в работе с прило- доверил нам заботу о своей информа- жениями и почтовыми системами, по ции. Но вопросы качества работы систе- моим ощущениям, будут преследовать мы как программного продукта огорчают заказчиков еще довольно продолжи- заказчиков чаще, чем им хотелось бы. тельное время. Сложно говорить о высоконаучных мет- Комментарии экспертов Александр Клевцов, InfoWatch: Перечисленные про- отдельный продукт со своей консолью управления и собствен- блемы могут говорить о наличии у системы \"детских болезней\". ными политиками безопасности. Даже если повезет успешно Мне трудно представить, что в 2021 г. у зрелой системы есть внедрить подобный продукт в корпоративную среду, эффек- проблема совместимости с почтовыми сервисами – ведь это тивность такой кусочной защиты представляется сомнительной. основы DLP. Настоятельно рекомендую заказчикам требовать Для эффективной работы как с технической точки зрения, так от вендора пилотный проект, чтобы выявлять подобные и с позиций защиты от угроз DLP должна быть единым продук- болезни, а заодно и проверять стабильность функционирования том с омниканальными политиками безопасности, настраи- системы на большом количестве рабочих мест, генерирующем вающимися централизованно для всех каналов и модулей. достаточный поток передачи данных. Алексей Кубарев, Ростелеком-Солар: Отказоустой- Анна Попова, Infosecurity: На сегодняшний день все чивость системы всегда закладывается в проект, и обычная ее системы работают стабильно тогда, когда им уделяется цена – усложнение требуемой ИТ-инфраструктуры. Соглашусь, должное внимание. Да, DLP – сложные системы с широкими что основные неприятные моменты у любой DLP-системы воз- возможностями, и успешность их эксплуатации во многом никают на уровне конечного хоста, а именно совместимости с зависит от того, как они настроены. Регулярная поддержка новыми версиями перехватываемых приложений. Это вечная системы со стороны сервисной компании позволяет избежать гонка для DLP-систем, и здесь ничего не поделаешь: заказчику этого опыта на 99,9%, ведь в их зоне ответственности как можно только посоветовать всегда закладывать в бюджет обеспечение бесперебойности работы, так и адекватная стоимость обновления до новых версий. Наш продукт Solar настройка под требования бизнеса. Dozor – высокопроизводительная система класса Enterprise, которая подтвердила свою надежность в режиме блокировки Алексей Дрозд, СёрчИнформ: Вопросы совместимости, на 400 тыс. контролируемых хостах. действительно, есть, потому что не все вендоры DLP сотрудни- чают с производителями остального софта. Пока происходит Дмитрий Горлянский, Гарда Технологии: Многие \"война брони и снаряда\", то если нет партнерства с разработ- сотрудники отделов ИБ, особенно из числа молодых специа- чиками, например, ОС, DLP всегда будет в роли догоняющего. листов, хотят иметь \"серебряную пулю\", которая сможет все. Но это вопрос решаемый: например, у нас есть опыт интеграции Но если десять лет назад бóльшая часть задач DLP решалась с отечественными ОС (Astra Linux, РОСА, Ред ОС и др.), когда обычным сниффером, то сейчас чуть ли не под каждый мес- мы получаем предрелизные сборки новых версий и можем сенджер требуется написать свой механизма контроля. Из-за оперативно \"подогнать\" КИБ под них. Другой вариант – вклю- возросшего количества подобных интеграций с ОС, с приклад- чаться в программы бета-тестирования, вроде Windows Insider ным ПО, со сторонним софтом и возникает повышенное коли- от Microsoft, но таких программ, увы, мало. Ведь условному чество ошибок. Другая проблема – противоречия в удобстве WhatsApp с миллиардной аудиторией нет дела, что какой-то развертывания, использования и безопасности. Например, локальный вендор DLP не сможет стабильно перехватывать очень многие сейчас пользуются терминальными серверами информацию. для работы с критическими данными. А для любой DLP- системы работа на терминальном сервере – повышенный риск Владимир Ульянов, Zecurion: Чаще всего трудности с отказа каких-либо компонентов. В результате, с одной стороны, интеграцией в корпоративную среду испытывают сложные мы имеем единую точку доступа к информации, с другой – продукты, с разрозненными модулями. Нет ничего удивитель- проблемы с ее контролем. ного в сбоях и проблемах, когда каждый модуль – фактически 36 •
DLP www.itsec.ru Избыточность непрофильного сколько времени сотрудник отработал, чтобы служба ИБ предоставляла доступ функционала тем более что в условиях удаленной другим подразделениям к системе DLP. работы этот показатель кажется абсо- Более того, многие компании пытаются В процессе эволюции системы DLP лютно размытым. К тому же я в своей скрыть от сотрудников факт использо- стали превращаться в универсальный практике еще не встречал случаев, вания таких систем. комбайн. В условиях развития совре- менных технологий может быть оправ- данно совмещение в DLP-агенте, к при- меру, антивируса и средства шифрова- ния конечного устройства. Но у меня вызывает вопрос совмещение функцио- нала, который подразумевает привлече- ние в систему сторонних подразделений, например HR. Рядовому офицеру без- опасности совершенно неинтересно, Комментарии экспертов Дмитрий Горлянский, Гарда Технологии: В боль- отстроиться друг от друга и как можно раньше анонсировать шинстве типичных закупочных ТЗ есть лишь небольшой список новые возможности на рынке. Для Solar Dozor домашний задач, которые должна решать система, но присутствует рынок – Enterprise, и некоторый функционал – прослушива- огромный, на несколько десятков листов, раздел с описанием ние микрофона, запись камеры мы не спешим реализовы- желаемой функциональности, построенный по отраслевым вать, нам его надо детально продумать, чтобы надежно рейтингам и обзорам. Но такой подход дает лишь общее пред- поддерживать на инсталляциях в 10 тыс. хостов. А под- ставление о существующих на рынке системах. Мы всегда держка на 100–300 хостов – вполне посильная задача для предлагаем проводить тестирование, запускать пилотный про- SMB-вендоров. Что касается привлечения HR, это уловка ект, в рамках которого и появляется возможность определить для продажи решения: на практике службы ИБ не готовы перечень решаемых задач. допускать посторонних в систему. Именно поэтому мы выпустили отдельный продукт Solar addVisor, который Анна Попова, Infosecurity: Развитие DLP-систем под- помогает принимать управленческие решения не только разумевает решение задач не только службы ИБ, но и бизнеса HR-директорам и топ-менеджерам, но и линейным руково- в целом. Из решения вырастают новые сервисы, которые дителям, и самим сотрудникам: доступ в систему может решают разные бизнес-задачи, начиная от соответствия тре- иметь вся компания. бованиям законодательства и заканчивая кадровыми вопро- сами. Сейчас вектор развития DLP направлен в сторону ана- Алексей Дрозд, СёрчИнформ: Модульное исполнение лиза и предоставления общего портрета пользователя на DLP-системы решает проблему избыточного функционала. рабочем месте: с какими данными работает, с кем общается, Клиенты могут внедрить только те модули, которые для них какие ресурсы посещает и даже в каком эмоциональном актуальны. От компании к компании необходимый набор раз- состоянии находится. Но нужно понимать, что речь идет личается. Если в организации важно считать, сколько времени именно о вспомогательных инструментах. Для топ-менеджеров сотрудники пили чай вместо работы, ИБ-специалист будет это и руководителей подразделений такая информация будет делать. И кстати, во время удаленки самым востребованным полезной для общего понимания состояния ИБ и атмосферы модулем КИБ стал ProgramController – как раз для контроля в коллективе. Что касается службы HR, то DLP может помочь дисциплины, его стали запрашивать на 56% чаще. С помощью бизнесу работать с лояльностью сотрудников, пересматривать DLP можно делать выводы не только о безопасности, но и об рабочие процессы между подразделениями, контролировать эффективности процессов. Например, если какой-то линейный обстановку в коллективе и пр. руководитель допускает злоупотребления и в отделе растет текучка – это организационный прокол, который DLP обнаружит, Владимир Ульянов, Zecurion: Zecurion долго сопротив- а бизнес устранит. лялся идее внедрения инструментов контроля рабочего времени в DLP-систему, так как формально это не задача офицера без- Александр Клевцов, InfoWatch: Безопасность бывает опасности. Однако настойчивые требования рынка говорили информационная, кадровая, экономическая. И все эти направ- об обратном. Более того, несмотря на формальное обилие ления идут за данными к ИБ. Клиентам мы рекомендуем предложений, мы не видели на рынке достойных решений для использовать инструмент визуальной аналитики для совместных внедрения в enterprise-сегменте, все популярные продукты расследований и работы с данными других отделов. Благодаря оказались хороши лишь для СМБ. Это подтолкнуло нас разграничению прав доступа можно не волноваться за утерю к выпуску модуля Zecurion Staff Control, который пользуется контроля над данными, а визуализация помогает тем, кто хорошим спросом в компаниях от 5 тыс. рабочих мест. ранее не работал с DLP. Делиться данными выгодно, безопасник перестает быть тем, кто пугает, и становится тем, кто всем Алексей Кубарев, Ростелеком-Солар: В современ- помогает. А это помогает легче защищать бюджеты на СЗИ ных DLP много избыточного функционала. В погоне за в будущем. заказчиками и при высокой конкуренции вендоры стремятся Обновления без прекращения функционирования DLP-системы на конкретном обновлен- Российские DLP-системы развиваются ном рабочем месте, ведь переустановка и в связи с этим постоянно требуют агента нередко требует перезагрузки обновления, что само по себе нормаль- удаленного хоста, а до тех пор данные ное и даже хорошее явление. Но на перестают поступать в систему монито- практике это приводит к тому, что у ринга. заказчика появляется \"зоопарк\" версий DLP-агентов. В результате появляется лазейка, спо- собная приводить к утечкам, которые Данная проблема относится не только пройдут мимо DLP и службы информа- к DLP-системам. Но все же было бы ционной безопасности. здорово решить проблему обновления • 37
СПЕЦПРОЕКТ Комментарии экспертов Владимир Ульянов, Zecurion: Когда заказчик сталки- и стабильно. С нашей точки зрения, недопустимо, чтобы вается с трудностями обновления агентов или поддержки DLP, агенты отваливались или их приходилось отключать при кон- скорее всего, это индикатор технического несовершенства фликте с другими приложениями. продукта. Операции установки и обновления агентов должны производиться плавно и бесшовно, со средствами автоматиза- Алексей Кубарев, Ростелеком-Солар: В нашей систе- ции. Если же обновления встают криво, если для этого нужно ме основной функционал вынесен на серверную часть, но бегать по компьютерам и устанавливать вручную, это вообще у нас есть и свой агент. В случае работы агента в режиме бло- не enterprise-продукт, не стоит его рассматривать для исполь- кировки перезагрузка необходима ввиду встраивания агента зования в корпоративной среде, либо нужно задуматься о ско- в драйверы и библиотеки операционной системы и контроли- рейшей замене. руемого ПО. К сожалению, другого способа не существует. Если же агент работает только в режиме мониторинга, то Дмитрий Горлянский, Гарда Технологии: Процесс можно его обновить и без перезагрузки. Работа разных версий перехода с одной системы на другую планируется заранее, агента в принципе возможна, но у наших заказчиков редко с обязательной разбивкой на этапы и контрольными точ- такое встречается: для поддержки новой версии агента может ками. потребоваться обновление и серверной части системы, так как они связаны. Анна Попова, Infosecurity: Да, нельзя утверждать, что DLP всегда и везде работает на 100%. Все же такой класс Алексей Дрозд, СёрчИнформ: Мы разработали два решений довольно сложный, но и нельзя сказать, что при режима обновлений на выбор, оба исключают вероятность обновлении система прекращает функционировать. Старая остановки работы DLP. В первом режиме на ПК пользователя версия в любом случае работает должным образом, а значит фоново устанавливается новая версия агента, но она \"спит\" до система выполняет свою функцию. Самое плохое, что может следующей перезагрузки. Старая версия продолжает работать, произойти во время обновлений, – это временное ограничение перехват не останавливается. В случае, если обновление кри- по новым возможностям версии. В таких случаях просто тичное (а мы об этом предупреждаем), можно принудительно необходимо удостовериться в том, что пользователи переза- перезагрузить пользовательский ПК. Во втором режиме старый грузили свои рабочие станции. агент автоматически заменяется новой версией. Это происходит очень быстро, максимум за 10 секунд. Вероятность пропустить Александр Клевцов, InfoWatch: Было бы здорово, инцидент за это время минимальна. Даже в случае потери если б автосервис осуществлял техническое обслуживание связи с сервером данные перехвата не исчезнут: в КИБ на машины на ходу, но он этого не делает. Так и здесь: правильное агенте предусмотрены хранилища, которые могут отправлять планирование обновлений помогает предотвратить проблему. данные на сервер в отложенном режиме. Также важно, чтобы агенты всех решений работали совместимо Защита облачных периметров А для этого требуется качественно иной подход со стороны систем пред- Бизнес в условиях пандемии стал отвращения утечек информации, под- более активно использовать облачные ход, ориентированный на интеграцию решения, а часто и полностью перехо- с облачными решениями, в том числе дить на них. Это абсолютно позитивный и иностранными. Подобные интегра- и смелый тренд, который, впрочем, ции в условия политической и конку- требует пересмотра подходов к обра- рентной напряженности мне кажутся ботке и защите информации. Безуслов- затруднительными, но, возможно, вен- но, вероятность инцидентов при этом доры найдут возможности преодолеть существенно возрастает, но компании эти трудности и мы увидим заоблач- смогут увидеть возможности для утечек ные результаты работы отечественных только после того, как DLP-системы DLP-систем. научатся это показывать. Комментарии экспертов Алексей Кубарев, Ростелеком-Солар: Если речь идет интегрированы, например, с Microsoft Exchange Online, Office об инфраструктуре, то нет никакой разницы: DLP разворачи- 365, с корпоративными облачными решениями и др. У Traffic вается в облаке и настраивается в обычном режиме, а сервис- Monitor открытый API, поэтому мы в любой момент можем провайдер обеспечивает информационную и физическую интегрироваться как с распространенными решениями, так защиту, доступность и SLA. В случае защиты данных в и с теми, которые были разработаны внутри компаний. облачных сервисах типа Miro безопасность обеспечивается другими классами продуктов, например CASB. Владимир Ульянов, Zecurion: Несмотря на то что дина- мика проникновения облачных сервисов в корпоративную Анна Попова, Infosecurity: DLP-системы изначально среду явно отставала от оптимистичных прогнозов Gartner и создавались для защиты периметра сети организации, и они других мировых аналитиков на протяжении многих лет, 2020 год практически беззащитны, когда речь идет об облачных прило- ясно обозначил необходимость поддержки облаков и в DLP. жениях. Для защиты данных за пределами периметра суще- Zecurion уже сейчас предлагает полноценный контроль ствуют специализированные решения – CASB (Cloud Access Office 365, Dropbox, Google Docs, Яндекс.Диск и многих других Security Broker), которые могут функционировать в связке сервисов, а помимо этого и веб-почты, и браузерных клиентов. с DLP. То есть одна система видит, кто и что загружает В разработке также находится собственный CASB-модуль, в облако, а вторая отслеживает выгрузку документов. Таким который будет востребован не только конечными заказчиками, образом формируется эффективная защита данных внутри но и операторами облачных сервисов. и за пределами периметра организации на стыке работы DLP и облачных решений. Алексей Дрозд, СёрчИнформ: В \"СёрчИнформ КИБ\" есть универсальные технологии (вроде ICAP), которые позволяют Александр Клевцов, InfoWatch: Без облачных решений нам из коробки интегрироваться со многими облачными серви- уже не обходится ни одна компания. Мы это понимаем и счи- сами. Для остальных случаев есть API. Мы сотрудничаем с раз- таем, что обработать риски можно только интеграцией. Мы ными вендорами облачных сервисов, например c Microsoft 365, 38 •
DLP www.itsec.ru реализуем полноценные интеграции. Поэтому данные не выпа- (например, с помощью решений класса CASB), но и реализо- дают из перехвата, когда пользователь работает в облаке не с вывать контроль хранимых и передаваемых данных. С одной корпоративного ПК с агентом DLP, а с телефона или из дома. стороны, в рамках бизнес-процессов может допускаться хра- Больше того, КИБ и сам работает в облаке. Например, в июле нение критичных данных (например, в рамках сервисов мы стали партнерами Microsoft Azure и сделали облачную Office 365), но, с другой стороны, остаются задачи контроля инсталляцию под ключ, доступную по всему миру. хранения и передачи данных за периметр облака. В таких слу- чаях возможна как непосредственная интеграция DLP-решения Роман Ванерке, ДиалогНаука: Когда компания начинает с облачными сервисами, так и обеспечение контроля посред- работать с облачными сервисами, необходимо обеспечивать ством интеграции с решением CASB. не только контроль их использования и аудит доступа к ним Сообщество пользователей подход не только помог бы при решении Ваше мнение и вопросы конкретных проблем, но и стал бы оче- присылайте по адресу Неочевидный, но очень важный аспект, видным преимуществом для тех, кто пока с которым многим приходится сталки- только выбирает DLP-систему. [email protected] ваться при поиске решения возникающих проблем, – недостаточно развитое или не очень удобное общение пользователей выбранной DLP-системы. Первое и зача- стую последнее, с чем приходится иметь дело специалисту, ищущему решение проблемы в поисковой системе, – это рекламный буклет того или иного реше- ния. К сожалению, мы не наблюдаем профильных площадок, форумов, на кото- рых участники делились бы своим опытом и лучшими практиками. Ведь практически все сталкиваются с одними и теми же проблемами, и многие из нас, я уверен, наработали свои методики выявления инцидентов или стабилизации работы систем. Производители DLP-решений могли бы помочь нам, организовав свои базы знаний на общих площадках. Такой Комментарии экспертов Владимир Ульянов, Zecurion: Попытка найти решение тике эксплуатации DLP-систем. В этом году мы впервые проблемы с DLP в Интернете мне представляется результатом провели Форум DLP+ – мероприятие для обсуждения, обмена некорректной работы службы технической поддержки. При- идеями и практическим опытом борьбы с внутренними угрозами. обретая серьезный продукт корпоративного уровня, заказчик Его цель – обмен реальными кейсами и лучшими практиками, может рассчитывать на помощь со стороны разработчика или которых так не хватает российскому ИБ-сообществу. Планируем партнера, в том числе и в настройке системы. База знаний – проводить его ежегодно и восполнить таким образом суще- тоже хорошая практика. А на активное открытое сообщество ствующий недостаток реальных знаний на рынке. Для своих пользователей вряд ли можно рассчитывать: щепетильные клиентов мы также организовали неформальную группу заказчики DLP не очень охотно делятся проблемами и хинтами в Telegram, где любой может спросить совет или пообщаться в работе системы, а многие просто не хотят афишировать свои напрямую с командой центра продуктов Dozor. инциденты. Алексей Дрозд, СёрчИнформ: Мы уделяем этому Александр Клевцов, InfoWatch: Такие площадки и вопросу много внимания. Наши клиенты имеют доступ ко всей форумы для общения пользователей DLP есть. Из самых круп- базе знаний, от технической документации до гайдов по реше- ных – Ассоциация BISA и ежегодный BIS Summit. Кроме нию точечных задач. Ежегодно мы проводим RoadShow, больших событий есть и более камерные. Как вендор мы каж- а в этом году попробовали формат отраслевых конференций, дую неделю проводим митапы, где говорим про технологии где ИБ-директора компаний из одной сферы разбирают схожие в DLP, про то, как ИБ-специалистам жить в новом мире, и это проблемы. Есть и закрытые клиентские чаты, где пользователи глубоко профессиональное общение участников с разным нашего софта обмениваются лайфхаками – от настройки ПО опытом и из самых разных отраслей. Мы всегда готовы до оформления отчетов регуляторам или расследования инци- к открытой дискуссии и обсуждению любых аспектов, связанных дентов. Сообщество живет. Кроме того, у нас есть уникальный с DLP, в том числе правовых. для рынка отдел внедрения, который создан специально, чтобы аккумулировать опыт клиентов и советовать эффектив- Анна Попова, Infosecurity: Организация базы знаний на ные практики. Так мы узнали, что общих \"болей\" у заказчиков общей площадке – довольно спорный вопрос. Не каждый нет, сходство на уровне отрасли, а дальше – индивидуальная вендор захочет, чтобы на таких открытых площадках обсужда- специфика. Поэтому считаю, что вендору незачем пытаться лись проблемы, связанные с их решением. К тому же есть дать пользователям универсальные ответы, лучше формировать риск того, что после советов и лайфхаков пользователей диалоговую площадку. могут возникнуть проблемы в работе системы. Лучше оставить решение проблем специально обученным этому людям, то Дмитрий Горлянский, Гарда Технологии: Мы прово- есть техподдержке. Ну а базы знаний есть у большинства вен- дили клиентские мероприятия для обмена опытом между доров, как правило они на официальных сайтах, а также на нашими клиентами. На практике немногие готовы афишировать специализированных площадках по информационной безопас- интересные кейсы, так как они включают в себя подробности ности. инцидентов. Как правило, делятся общими подходами к построе- нию процессов, мер защиты, выполнению требований регуля- Алексей Кубарев, Ростелеком-Солар: К сожалению, торов и др. l на рынке действительно мало доступной информации о прак- • 39
СПЕЦПРОЕКТ Обзор решений DLP Название DLP-решения Гарда Контур DeviceLock DLP Предприятие информационной безопасности СёрчИнформ (СёрчИнформ КИБ) Компания-разработчик Гарда Технологии ООО \"СёрчИнформ\" АО \"Смарт Лайн Инк\" Компания, предоставившая информацию Гарда Технологии Поддержка русского языка Да ООО \"СёрчИнформ\" АО \"Смарт Лайн Инк\" Поддержка других языков Да Необходимость приобретения лицензий сторонних вендоров Нет Да Да Лицензии, сертификаты и патенты Да Да Позиционирование Для ОС (Windows Нет 1. Архитектура решения Server) и СУБД (MS SQL) Лицензия Лицензии ФСТЭК Лицензия ФСТЭК на на разработку СЗИ и ФСБ на разработ- деятельность по разра- ку, лицензия ФСТЭК ботке и производству на сопровождение. СЗКИ. Свидетельство Сертификат ФСТЭК Роспатента о госу- по четвертому уров- дарственной регистра- ню доверия ции в реестре программ для ЭВМ DLP-система для Защита от утечек Комплексная DLP- крупного и средне- данных и корпора- система с полнофунк- го бизнеса тивного мошенниче- циональными endpoint- ства, входит в топ-3 агентами для пред- востребованных DLP отвращения утечек дан- в России. Включена ных с рабочих станций в \"магический квад- Windows и Mac рант\" Gartner 1.1. Архитектура и модули Контроль данных на шлюзе сети Да Да Нет Контроль данных на уровне рабочих станций Да Да Да Шифрование данных при хранении на серверах и в хранилищах Нет При передаче Да (data at rest) Да на USB Да Поиск конфиденциальной информации в корпоративной сети Да (data discovery) Перехват и контроль сессий привилегированных пользователей Да Да Да Прокси-сервер Не требуется Да, сторонний Не требуется Минимальный срок развертывания продукта, дни 3 1 1 Да Да Возможность развернуть все модули на одном физическом сервере Да Возможность развернуть все модули на одном виртуальном сервере Да Да Да 1.2. Поддерживаемые платформы Платформа шлюзового решения (если есть) Linux (свой дистри- Не привязан к конкрет- бутив) ному оборудованию Агент под Windows Да Да Да Агент под Linux Да Да Нет Агент под MacOS Да В ближайших планах Да Поддерживаемые СУБД для архива событий и файлов СУБД своей разра- MS SQL, PostgreSQL MS SQL, PostgreSQL ботки 1.3. Автоматизация Нет Да Нет Автоматическое выявление и группировка неизвестных документов по новым тематикам (кластеризация) Автоматическое создание словарей на основе сырых данных Нет Да Нет 40 •
DLP www.itsec.ru Infowatch Safetica Protection Solar Dozor Staffcop Enterprise Zecurion DLP Traffic Monitor АО \"Инфовотч\" Safetica \"Ростелеком-Солар\" ООО \"Атом Безопасность\" Zecurion ГК Infowatch ESET \"Ростелеком-Солар\" ООО \"Атом Безопасность\" Zecurion Да Да Да Да Да Да Да Да Да Да Нет Нет Нет Нет Нет Сертификаты ФСТЭК: Действующие лицензии Лицензии ФСТЭК, ФСБ и Действующие лицензии Лицензии и сертифика- НДВ-4, СВТ-5; РФ и других государств, ты ФСБ, ФСТЭК. Также сертификаты СНГ: действующие патенты МинОбороны РФ РФ и других государств, имеются международ- Беларусь, Таджикистан, ные патенты на техно- Казахстан; действующие патенты логии, применяемые в 28 действующих патентов DLP DLP-система для контро- Защита от утечек кон- DLP-система корпоратив- Контроль деятельности Одна из лучших в мире ля и анализа информа- фиденциальных данных ного класса с уникальны- сотрудников, обеспечение DLP по версии IDC, ционных потоков и защи- и мониторинг эффектив- ми функциями анализа информационной безопас- Gartner, Forrester и дру- ты от утечек данных. ности труда персонала поведения пользователей ности предприятий, уда- гих международных Контентный анализ, и объединения террито- лённое администрирова- аналитиков передовая аналитика, риально-распределенных ние автоматизация инсталляций в единое целое Да Нет Да Нет Да Да Да Да Да Да Нет Нет Нет Нет Да Да Да Да Да Да Да Нет Да Да Да Да Нет 11 Да Не требуется Да, Zecurion SWG Да Да Нет Да 11 1 Да Да Да Да Да Да RHEL, CentOS, Astra Linux Solar webProxy Windows Да Да Да Да Да Да Нет Да Да Да Да Да В ближайших планах Да Да PostgreSQL, Oracle MS SQL PostgreSQL, Oracle PostgreSQL, Clickhouse MS SQL, PostgreSQL Да Да Нет Нет Да Да Нет Нет Нет Да • 41
СПЕЦПРОЕКТ Название DLP-решения Гарда Контур DeviceLock DLP Предприятие информационной безопасности СёрчИнформ (СёрчИнформ КИБ) Автоматическая актуализация базы цифровых отпечатков Нет Да Да Автоматическое помещение сотрудника в группу риска Нет Да Нет 2. Управление и расследование инцидентов Единая консоль управления всеми модулями и продуктами Да Да Да Веб-интерфейс консоли управления Да Да Нет Единые политики безопасности (для шлюзового и агентских модулей) Да Да Не применимо Да Да Работа с несколькими архивами данных и событий Не применимо Система совместного расследования инцидентов Да Да Да Да Диаграмма связей пользователей Да Да Статусы пользователей Нет Да Да Шаблоны отчетов Да Да Да Кастомизируемые отчеты Да Да Нет Граф связей пользователей Да Да Да 3. Возможности выявления утечек 3.1. Функциональность Нет Да Да Поведенческий анализ (UBA, UEBA) Оценка морального состояния пользователей (выявление групп риска) Нет Да Нет Да Нет Контроль фотографирования экрана Нет Нет Нет Анализ клавиатурного почерка Нет Поиск конфиденциальных данных на локальных рабочих станциях Да Да Да Контроль голосового трафика Да Да Да Запись сессий пользователей Нет Да Да Да Да Нет Контроль звука и возможность подключения к микрофонам компьютеров Нет Да Нет Контроль видео и возможность подключения Да Да Да к камерам рабочих станций Да Да Да Да Да Да Запись нажатий клавиатуры Да Да Нет В ближайших планах Да Да Снимки экрана контролируемых рабочих станций Да Да Да Теневое копирование данных Контроль запуска приложений URL-фильтрация Контроль выхода данных за пределы ограниченной группы пользователей Карантин Нет Да Нет 3.2. Технологии контентного анализа Да Да Да Морфологический анализ, стемминг Анализ документов на иностранных языках Да Да Да Подключаются при 33 языка 9 языков необходимости Детектирование документов, написанных на двух и более языках Да Да Нет Да Да Детектирование транслита и замаскированного текста Нет 42 •
DLP www.itsec.ru Infowatch Safetica Protection Solar Dozor Staffcop Enterprise Zecurion DLP Traffic Monitor Да Нет Да Нет Да Да Да Да Нет Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Нет Да Да Да Да Нет Да Да Да Да Да Да Да Да Да Да Нет Да Да Да Нет Да Да Да Да Да Да Нет Да Да Да Да Да Да Да Нет Нет Нет Да Да Нет Нет Нет Да Да Да Да Да Да Да Нет Нет Да Да Да Нет В ближайших планах Да Да Да Нет В ближайших планах Да Да Да Нет В ближайших планах Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Нет Да Нет Да Да Нет Да Да Да Да Да Да 42 языка, 20 – с поддерж- Да Да 200 языков кой морфологии Все по UTF8 Да Да Да Да Да Да Да Да Да Да • 43
СПЕЦПРОЕКТ Название DLP-решения Гарда Контур DeviceLock DLP Предприятие информационной безопасности СёрчИнформ (СёрчИнформ КИБ) Бинарные цифровые отпечатки Нет Да Да Да Да Нет Векторные графические отпечатки Нет Да Нет Растровые графические отпечатки Нет Да Нет Отпечатки таблиц и баз данных Да Да Да Распознавание текста (OCR) Да Да Да Регулярные выражения Да Да Да Строки со спецсимволами Да Да Да Категоризация текста с использованием тематических и отраслевых словарей Возможность составления словарей под терминологию заказчика Да Да Да Да Нет Детектирование изображений кредитных карт Да Да Нет Да Нет Детектирование печатей Нет Да Нет Детектирование заполненных бланков Нет Использование машинного обучения для классификации текста Нет 4. Каналы контроля и предотвращения утечек Возможность блокировки передачи на USB-устройства на основе Да Да Да контентного анализа Да Да Возможность блокировки передачи на принтер на основе кон- Да тентного анализа Возможность блокировки передачи на другие локальные устрой- Да Да Да ства на основе контентного анализа Да Да Возможность блокировки данных на основе контентного анализа В ближайших Да Да Да для электронной почты планах Да Да Возможность блокировки данных на основе контентного анализа Да Да Нет для веб-почты Да Возможность блокировки данных на основе контентного анализа В ближайших пла- Да Нет для HTTP нах Да Нет Возможность блокировки данных на основе контентного анализа Нет Нет для FTP Да Нет Возможность контентного анализа данных в облачных хранили- Нет Да Да щах (CASB) Да Да Возможность контентного анализа мессенджеров Возможность контроля обращения с информацией ограниченного Нет Нет доступа на мобильных устройствах сотрудников Возможность контроля соцсетей сотрудников на предмет утечки Да, при контроле Да конфиденциальной информации в публичный доступ при исполь- агентом отправки зовании корпоративных устройств сообщений и файлов Возможность контроля соцсетей сотрудников на предмет утечки Нет Да конфиденциальной информации в публичный доступ при исполь- зовании личных устройств 5. Интеграции Наличие открытого API Нет Да Импорт событий из внешних перехватчиков Нет Да Экспорт событий в SIEM и SOC Да Да Возможность изменить решение по инциденту из SOC Нет Да Возможность обогащения специфичными атрибутами событий из Да Да внешних систем 44 •
DLP www.itsec.ru Infowatch Safetica Protection Solar Dozor Staffcop Enterprise Zecurion DLP Traffic Monitor Да Нет Да Нет Да Да Да Нет Нет Нет Да Да Да Нет Да Да Да Да Да Нет В ближайших планах Нет Да Да Да Нет Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Да Нет Да Да Да Да Нет Да Да Да Да Нет Да Нет Да Да Нет Нет Нет Да Да Да Да Да Нет Да Да Да Да Да Нет Да Да Да Да Нет Да Да Да Да Нет Да Да Да Да Нет Нет Да Да Да Да Нет Да Да Да Да Да Нет Да Да Нет В ближайших планах Нет • 45 Да Да Да Да Нет Да Нет Нет Да Нет Да Да Да Нет Нет Да Да Нет Нет Да Да Нет Нет Да Да Да Да Да Да Нет Нет Нет Да Нет Нет Да
УПРАВЛЕНИЕ Чему могут научить системы безопасности аэропорта Сергей Меньшаков, инженер-пресейл направления McAfee С лужба безопасности аэропорта может стать примером того, как следует продумывать, проектировать и реализовывать систему ИТ-безопасности в своей организации. Ведь аэропортам необходимо проявлять бдительность в отношении множества угроз, исходящих от террористов, преступников, недобросовестных сотрудников и т.д. Их системы безопасности противостоят как масштабным атакам, так и отдельным угрозам, например препятствуют проникновению на борт безбилетных пассажиров и провозу контрабанды, параллельно заботясь о безопасности людей. При этом меры безопасности не должны мешать пассажиропотоку, потому что любая задержка запускает цепную реакцию последствий для бизнеса. И это только начало! Руководство аэропортов зациями. Они сотрудничают с туры, кражами в розничных может научить нас взаимодей- авиакомпаниями, ритейлерами магазинах, оценкой работы, ствию с участниками цепочки и государственными ведомства- обучением сотрудников, без- поставок и сторонними органи- ми. А угрозы, с которыми они опасностью зданий, отслежи- сталкиваются, могут иметь ката- ванием перемещений людей строфические последствия. и т.д. Список практически бес- Специалисты аэропорта также конечный. решают такие рутинные задачи, как быстрое перемещение боль- Потребности в информацион- шого количества людей, опре- ной безопасности вашего биз- деление судьбы забытого бага- неса могут казаться не настоль- жа, поиск баланса между сни- ко обширными. Однако у каж- жением возможных рисков и дого предприятия есть свои комфортом для путешествен- внешние и внутренние факторы ников. Многое необходимо риска, такие как: учесть и подготовить план дей- l хакеры; ствий, который нужно незамед- l программы-вымогатели; лительно осуществить при l DDoS-атаки, направленные выявлении угрозы. И все это на выведение из строя ваших без учета проблем, связанных систем; с состоянием ИТ-инфраструк- l мошенничество недобросо- вестных сотрудников; Комментарий эксперта Виктор Вячеславов, технический директор группы компаний Innostage На настоящий момент в информационной безопасности есть два понятных и работающих подхода. Первый подход – регуляторный, его еще называют \"формальная безопасность\". В этом подходе основным источником тре- бований к работе ИБ-систем являются регуляторы: они регламентируют, что и как следует делать, предъявляют требования к организационным процессам, устанавливают критерии контроля. В итоге мы получаем комплексную, эшелонированную, а местами даже избыточную систему защиты информации. Второй подход, практическая безопасность, заключается в формулировании недопустимых событий информационной без- опасности на понятном бизнесу языке, и ответе с их помощью на вопросы \"Насколько мы защищены?\", \"Сколько стоит защита?\", \"Почему это важно?\". Второй подход не подменяет и не отменяет первый. Формальную безопасность надо рассматривать как набор базовых мер, которые обязательно должны быть реализованы в информационной системе. А практическая безопасность закрывает лакуны, которые не затрагиваются требованиями регу- ляторов. Формальная безопасность априори несколько отстает по времени от практической в силу изменчивости реального мира. Но синергия двух подходов позволит любому CISO, руководствующемуся ими, построить эффективную комплексную систему защиты. 46 •
УПРАВЛЕНИЕ www.itsec.ru l непреднамеренные действия Сопоставление мер безопасности в аэропортах с корпоративными мерами безопасности добросовестных сотрудников, которые не понимают, по какой Меры безопасности в аэропорту Меры безопасности в корпоративных информационных системах ссылке они переходят или какие данные распространяют. Для компаний важно иметь Сверка данных в билете с данными Глобальная технология единого входа и мно- в паспорте гофакторная аутентификация для каждого возможность использовать приложения (включая облачные) новейшие и наиболее эффек- тивные приложения и системы, Проверка багажа (сканирование багажа рент- Сканирование прикрепленных файлов на геновскими лучами) наличие вредоносных программ однако сотрудникам не нравит- Арочные металлодетекторы и проверка руч- Технологии предотвращения утечек информа- ся, когда что-то, по их мнению, ной клади ции для контроля конфиденциальных данных мешает работе. Распознавание лиц для сравнения данных при Концепция Zero Trust (\"нулевое доверие\") – прохождении контрольно-пропускных пунктов постоянная проверка на всех этапах Итак, давайте посмотрим, и зоны выхода на посадку с данными в билете Проверка вложенных файлов в письмах элек- чему аэропорты могут научить Проверка веса багажа тронной почты – рассмотрение файлов незна- комого формата в качестве подозрительных нас в области анализа потен- циальных угроз и соответствую- щих мер безопасности для раз- вертывания многоуровневого подхода, который защищает ваши данные, пользователей и инфраструктуру. Система видеонаблюдения за перемещением Аналитика поведения пользователей на пред- пассажиров по аэропорту мет потенциально опасного поведения Существует более 20 уровней База данных путешественников, предыдущие Ведение журнала событий/аналитика безопасности в отношении толь- перелеты, информация о пункте назначения Блокировка перехода на небезопасные веб- ко одной угрозы – терроризма. Принятие решения о допуске на основании сайты замера температуры как симптома СOVID-19 Такой подход сочетает в себе Контроль доступа к конфиденциальным обла- Визовые требования стям или конфиденциальным данным человеческие действия и тех- Проверка даты истечения срока действия пас- Повторное подтверждение учетных данных по нологические меры безопасно- порта истечении определенного периода сти. История предыдущих перелетов Аналитика поведения пользователей, которая позволяет определить \"нормальный трафик\" Не существует \"серебряной для каждого отдельного пользователя и пред- упредить о нетипичном поведении пули\" – универсальных мер без- опасности на все случаи жизни или единственной технологии, которая могла бы решить все проблемы. Однако комплекс- ный подход помогает составить полную картину потенциальной угрозы. Системы безопасности Инициатива по открытому небу – обмен дан- Аналитическая информация для проверки и ными с пунктом назначения – разрешение на внедрения системы защиты от атак на основа- в организациях не должны пола- арест по приземлении нии угроз, с которыми сталкиваются другие организации гаться только на одну техноло- гию, но, когда у нас есть несколько решений, работаю- щих совместно, мы можем оце- Иммиграционная карточка (место пребывания, Обоснование действий сотрудников – обрат- нивать, определять и удовле- причина и т.д.) ная связь при возникновении проблем творять наши потребности Отпечатки пальцев по приземлении – сверка с Выводы из анализа данных историей предыдущих перелетов в обеспечении безопасности. Ниже приведена таблица, в которой некоторые области l Сотрудники службы охраны; Индивидуальный подход: сотрудники центра l сотрудники таможенной службы; мониторинга информационной безопасности обеспечения безопасности l сотрудники на стойках регистрации; расследуют угрозы, а также определяют и l диспетчеры системы видеонаблюдения внедряют принципы и правила политики без- в аэропортах сопоставлены с опасности аналогичными сферами ИТ- безопасности. Как и в аэро- порту, отдельные элементы Различные линии безопасности для дополни- Удаленная изоляция браузера тельных проверок имеют ограниченную эффек- тивность, если они не интегри- рованы. Несмотря на то что Общий центр мониторинга информационной Глобальное управление безопасности для сопоставления всех входных каждый элемент повышает данных общий уровень безопасности, единая система управления, способная соотносить все дан- портах сложна и включает в В-третьих, такие концепции, себя тщательное планирова- как Zero Trust, программная ные и предлагать или прини- ние, сотрудничество со сто- матрица MITRE ATT&CK, Cyber ронними организациями, а Kill Chain, нацелены на всесто- мать решения в рамках стра- также интеграцию работы роннюю оценку угроз – нам сотрудников службы безопас- необходимо рассматривать тегии безопасности, имеет ности и системы безопасно- угрозы. l сти, основанной на техноло- решающее значение для обес- гиях. Ваше мнение и вопросы присылайте по адресу печения максимальной эффек- Во-вторых, как и аэропортам, нам нельзя полагаться лишь на [email protected] тивности. одно средство защиты. Что дает аналогия с аэропортом? Во-первых, работа по обес- печению безопасности в аэро- • 47
УПРАВЛЕНИЕ Роли в информационной безопасности Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru О ценивая корпоративное управление современных компаний, нельзя не обратить внимание на очевидные проблемы с информационной безопасностью. Для решения этих проблем от топ-менеджмента требуется проведение инициатив, которые, с одной стороны, являются сложными, многосторонними и неочевидными, а с другой – предполагают вовлечение всех сотрудников компании, и прежде всего руководителей ряда ключевых подразделений. Об этом и пойдет речь в данной статье. Создание атмосферы ИБ не работает без Перечислим, пропуская руко- вильного отношения к требова- прозрачности – еще одна помощи изнутри водителя службы ИБ, еще при- ниям информационной безопас- задача топ-менеджмента организации мерно семь различных руково- ности. Такой настрой руковод- при выработке стратегии дящих должностей в компаниях, ства повлечет за собой активи- безопасности. При обсуждении отвечающих в качестве основ- зацию диалога между теми, кто ролей в ИБ роль CISO (Chief ных исполнителей за опера- определяет культуру компании 48 • Information Security Officer), ционную отказоустойчивость, и требует соблюдения опреде- директора по информационной безопасную инфраструктуру, ленных правил, и теми, кто безопасности, сознательно правильное распределение отвечает за бизнес-деятель- выведем за скобки, так как ресурсов, репутационные риски, ность. речь пойдет вовсе не о службе реагирование на инциденты и информационной безопасности. другие аспекты информацион- Сегодня бизнесу нужны внут- Деятельность по выстраиванию ной безопасности: ренние лидеры, сочетающие процессов информационной l топ-менеджмент; хорошую осведомленность в безопасности эффективна лишь l кадровая служба; передовых технологиях с широ- в том случае, если она орга- l ИТ-служба; ким кругозором. Важно, чтобы нично встроена в корпоратив- l риск-менеджмент; в компании была создана ную культуру компании. В слу- l служба внутреннего аудита; открытая обстановка, в кото- чае организационной и опера- l юридическая служба; рой поощряется не только ционной обособленности функ- l общая безопасность. информация об успехах, но ций информационной безопас- и негативная информация ности только в службе ИБ ком- Проанализируем возможные о любых процессах. Создание пания не сможет эффективно точки взаимодействия указан- атмосферы прозрачности – реагировать на сложные, каче- ных подразделений, и прежде еще одна задача топ-менедж- ственно новые вызовы в совре- всего их руководителей, в раз- мента при выработке стратегии менных условиях ведения биз- резе информационной безопас- безопасности. неса. Чтобы обеспечение ности компании. информационной безопасности Кадровая служба стало общей заботой в органи- Топ-менеджмент зации, ее требуется вывести на CHRO (Chief Human Resources уровень бизнес-подразделений CEO (Chief Executive Officer), и топ-менеджмента. Officer), директор по персоналу генеральный директор – Информационная безопас- главное должностное лицо ность в значительной степени зависит от организационной Руководство компании обес- структуры и корпоративной печивает создание и поддер- культуры компании, а роль жание внутренней среды, кото- директора по персоналу – одна рая позволяет сотрудникам из ключевых в обеспечении в полной мере участвовать информационной безопасности. в достижении стратегических В чем это выражается? целей компании. ИБ начинается с генерального директора Прежде всего в том, что такой и спускается вниз, охватывая руководитель должен принять весь персонал. Именно топ- на себя часть ответственности менеджмент в ответе за созда- за нанимаемых компанией ние строгой культуры безопас- сотрудников. Причиной любого ного поведения, и он лично дол- ИБ-инцидента может быть злой жен показывать пример пра- умысел или некомпетентность
Search
