Идея объединения нескольких систем в одну или же создания единого инструмента управления политиками безопасности компании –- не нова. Целей такого подхода всегда несколько, но ключевые – это эффективность и качество, как инструментов, так и команды при решении задач.

Один из примеров, это концепция и построенные на ее основе продукты, которые были выведены в отдельный класс – Data Security Platform (DSP). В рамках данной статьи мы ответим на вопросы:

• зачем потребовалось вводить еще один продукт в многогранный ландшафт существующих ИБ-продуктов;
• какие ключевые отличия и наоборот сходства с текущими решениями есть у DSP;
• какую практическую пользу можно извлечь, поддерживаясь данной концепции.

Задачи Data Security Platform

Сначала разберем что же такое Data Security Platform. Основная задача этой концепции — унификация подхода защиты разносторонних данных. Речь идет как о документах, либо о других файлах, расположенных на файловых серверах, рабочих станциях, корпоративных портала, облаках, другими словами, в местах хранения неструктурированных данных, так и о информации, содержащейся в СУБД, а именно в экземплярах, таблицах, полях баз данных – т.е. местах хранения структурированной информации. Оба этих верхнеуровневых класса данных составляют более 80 процентов данных любой организации.

Какие задачи должны входить в защиту таких данных:

• Классификация информационных активов – т.е. ответ на вопрос где, в каком виде и какая информация хранится. Классификация должна осуществляться как с точки зрения уровня критичности бизнеса конкретной организации, так и с точки зрения требований законодательства.
• Анализ и минимизация (управление) правами доступа. Определив места хранения наиболее ценной информации, необходимо провести аудит текущих прав доступа, выявить факты избыточных или ошибочно выданных привилегий и оптимизировать их приводя к принципу минимальной достаточности.
• Непрерывный аудит всех обращений к данным. Это одна из ключевых задач защиты данных с точки зрения Data Security Platform. Необходимо осуществлять как контроль доступа к данным, так и контролировать все изменения, происходящие в инфраструктуре.

Отличия Data Security Platform от других классов решений (DLP, DCAP и др.)

На текущий момент безусловно существуют продукты, которые самостоятельно могут закрывать данные задачи для своих типов данных. Наиболее близкие – это DLP, где фокус идет на коммуникации сотрудников, защиту от утечек и контроль рабочих станций, DCAP – где концепция защиты выстраивается не от сотрудников, а непосредственно от данных, которые могут находиться в покое, и DAM/DBF – класс решений, позволяющий защищать СУБД и расположенную в них информацию.

При этом не так много компаний сумели выстроить полноценную концепцию защиты данных с помощью этих решений, т.к. использование нескольких продуктов несет за собой достаточно большие затраты, как в части инженерного состава, который занимается эксплуатацией продуктов, так и в материальной части. Часто происходит даже так, что одинаковые по смыслу политики безопасности настраиваются разными людьми с помощью разных инструментов для разных типов данных. При использовании разнородных инструментов для защиты данных, расположенных в разных системах, невозможно создать так называемый каталог данных – составной части концепции Data Security Platform.

Преимущества Data Security Platform

Переходя к преимуществам использования Data Security Platform выделим следующие моменты.

• Возможность создания единого каталога данных

Термин «каталог данных» используется достаточно давно, но по мере роста цифровизации, увеличения количества и как следствие разрозненности информационных систем, он приобретает новый смысл. Речь идет уже не только о данных, которые концентрируются на рабочих станциях, сотрудниках и общих файловых хранилищах, к ним добавляются также облака, как частные, так и публичные, причем последние с точки зрения защиты требуют еще большее внимание. Также не стоит забывать о базах данных – они могут быть как самостоятельными сущностями, так и по большей части составным элементом информационных систем. Анализировать все эти массивы информации – важнейшая задача с точки зрения понимания, какая именно информация расположена в инфраструктуре и где находится наиболее чувствительная ее часть.

• Классификация данных

Классификация или категоризация – это неотъемлемая составная часть создания каталога данных. Именно для решения этой задачи Data Security Platform может быть наиболее полезной. Дело в том, что, применяя единый политики, выстроенные в организации в части классификации, можно снизить трудозатраты на решение этой задачи, а также существенно повысить качество ее решения. Data Security Platform позволяет оперативно получать срезы мест хранения критичных ПДн, данных держателей платежных карт и других классов данных, где бы они не находились.

• Аудит пользовательских операций

Задачу аудита пользовательских операций можно закрыть также, используя SIEM-систему, как агрегатор данных, но в данном случае теряется контекст того, к чему именно обращался сотрудник, а происходит сбор и анализ сырых событий. DSP же старается собрать максиму прикладных событий, обогащая их контентной составляющей данных, к которым было обращение, будь SELECT запрос в СУБД, либо же открытие документа на файловом сервере.

• Анализ прав

Ключевое преимущество Data Security Platform для этой задачи кроется опять же в унификации подхода, независимо от анализируемой платформы, и в привязке к классам данных, в разрезе которых анализируются права.

Подводя итоги отметим, что подход и продукты основанный на концепции Data Security Platform – это по сути ответ на рост многообразия информационных систем, объемов данных и требований со стороны регуляторов. Ключевое – это более эффективная трата ресурсов, специалистов по кибербезопасности и аналитиков, а также унификация подходов к защите данных, независимо от того, в каком виде и где они находятся.

Сергей Добрушский, директор по развитию продуктов компании «Сайберпик»