Классификация данных – один из важнейших компонентов информационной безопасности, особенно в случае большого объёма хранимой информации в организации. Классификация даёт понимание о том, где находятся ваши критичные данные и требуют ли они какого-либо дополнительного регулирования. Кроме того, она помогает расставить приоритеты по защите информации и сфокусировать внимание на наиболее важных рисках.

Классификация сама по себе не является самостоятельным продуктом, а идёт в качестве одного из функциональных модулей более комплексных решений. Чаще всего классификация ассоциируется с решениями класса DLP, однако использование алгоритмов распознавания информации является крайне полезным и для других продуктов информационной безопасности, так или иначе работающих с данными. Решения DAG/DCAP по управлению и защите неструктурированных данных – один из таких представителей. 

В чём отличия модуля классификации в данных классах решений и какие задачи с помощью него можно решить – читайте далее в статье.

Категории данных 

Классификация информации в первую очередь необходима для присвоения категории данным в организации для последующего принятия определенных мер по их защите и наложения политик безопасности. Наиболее часто используемыми категориями являются: персональные данные (ПДн), информация для служебного пользования, коммерческая тайна, банковская тайна и другие в зависимости от отрасли деятельности компании.

Обычно организации самостоятельно разрабатывают свод правил, на базе которых принимается решение о том или ином грифе конфиденциальности или степени критичности информации, однако многие из них зачастую уже включены в средства защиты информации и нужно лишь немного скорректировать базовые настройки системы.

Цели классификации и регулирующие документы

Конечными задачами процесса классификации являются недопущение нарушения конфиденциальности (неправомерное использование, утечки), целостности (несанкционированное изменение) и доступности (отказы в доступе, удаление) критически важной для компании информации во избежание финансовых и репутационных рисков и соответствия законодательным актам РФ.

На момент середины 2023 года основными регулирующими документами в зависимости от сферы деятельности организации являются:

• ФЗ №152 «О персональных данных»;
• ФЗ №187 «О безопасности критической информационной инфраструктуры»;
• требования НСПК;
• стандарт ГОСТ Р 57580.1-2017;
• требования Банка России.

Невыполнение требований регулирующих документов наказывается штрафами на юридические и должностные лица, а в отдельных случаях – уголовной ответственностью. 

Различия в подходах к классификации

Модуль классификации DLP системы направлен, как и сам класс решений, в первую очередь на анализ данных «на лету», т. е. во время передачи информации. При этом архитектура DLP хоть и нацелена на работу с большим числом рабочих станций пользователей, но также позволяет анализировать данные, расположенные на различных файловых ресурсах – файловых серверах и СХД. Однако в итоге, несмотря на обширные возможности, результаты классификации остаются оторванными от контекста: их расположения, реальных прав доступа, статистики и активности использования.

DLP не наблюдает полноценно за файловыми серверами и не обладает информацией о действиях пользователей на них и существующих рисках. Системе регулярно приходится повторно сканировать данные с нуля, так как она не может точно определить, изменялись ли конкретные данные или нет. При этом любые действия и анализ внутри системы совершаются на уровне отдельных файлов, которых у организации может быть сотни миллионов, что приводит к необходимости содержать широкий штат сотрудников ИБ, анализирующих каждый инцидент по каждому файлу в отдельности.

Подход DCAP решений похож на сканер («краулер») DLP, однако в связи со своим фокусом на данные система также обладает дополнительным контекстом: структурой хранилища, правах доступа ко всем объектам, аудитом доступа всех пользователей на файловых ресурсах. Это позволяет не совершать повторную классификацию данных с нуля, а работать инкрементальным образом только по новым или изменившимся объектам. 

При этом основными преимуществами являются не столько результаты классификации, а сколько эта дополнительная контекстная информация. Благодаря ей DCAP может отвечать на такие вопросы, как:

• кто имеет доступ к каким данным;
• являются ли они критичными для организации;
• кто работает с этой информацией;
• кто может являться потенциальным бизнес владельцем этих данных;
• какие риски присутствуют на файловых хранилищах и, самое главное, предоставляет полный инструментарий по их сокращению и «наведению порядка» с целью приведения структуры прав доступа к концепции минимально необходимых привилегий. 

К тому же не стоит забывать, что современные DCAP системы умеют работать и с рабочими станциями обычных пользователей, что даёт схожий DLP системам контекст в плане расположения критичной информации внутри инфраструктуры организации. Однако в отличие от DLP, DCAP решениям не нужно дожидаться, когда пользователь начнёт передавать данные для формирования инцидента, — анализ и подсвечивание рисков происходит ещё на стадии факта нахождения критичного файла на рабочей станции или файловом сервере.

Настройка в DCAP точечных шаблонов сканирования по файловым ресурсам, инкрементальное сканирование, обработка информации в «плоском виде» и поддержка работы с объёмом данных более 100 ТБ позволяют не только быстро производить классификацию ресурсов организации, но и оперативно с ними работать вне зависимости от масштаба компании.

Выбор решения

Классы систем DLP и DCAP хоть и обладают схожим функционалом модуля классификации информации, но с точки зрения общей концепции безопасности являются взаимодополняющими, а не взаимозаменяемыми решениями, решающими разные задачи. При этом одной только DLP системы недостаточно, чтобы закрыть существующие риски на файловой структуре различных хранилищ, так как данный класс решений направлен на анализ данных «в движении», что является уже следующим шагом после хранения информации. Анализом «причины», а именно данных «в покое», занимаются системы DCAP. Они направлены на выявление рисков, связанных с некорректным расположением критичной информации на файловых ресурсах и рабочих станциях, и предоставляют инструментарий по их сокращению и последующему контролю.

Система «Спектр» — современное DCAP решение от российского производителя «Сайберпик», поддерживающее классификацию данных на всех платформах с неструктурированными данными, распознавание и детектирование изображений, в том числе с помощью нейронных сетей. В решении предусмотрено более 200 категорий классификации и 70 готовых отчётов. Совместно с возможностями аудита файловых хранилищ, выявлением рисков, связанных с неоптимальной структурой прав доступа, выявлением аномалий в поведении пользователей и активным реагирование на инциденты, «Спектр» предлагает законченное решение по контролю и управлению за неструктурированными данными.
Провести классификацию ваших корпоративных данных при помощи DCAP-системы, вы можете заказав бесплатный полнофункциональный тест российской DCAP/DAG-системы «Спектр».

Иван Дудоров,  руководитель группы поддержки продаж  компании «Сайберпик»