В условиях стремительного роста количества киберугроз и их изощренности, защита конфиденциальной информации становится одной из приоритетных задач для любой организации. Традиционные системы защиты данных, такие как DLP и DAG/DCAP, играют важную роль, однако часто сталкиваются с проблемой низкой осведомленности сотрудников о важности информационной безопасности.
В то же время на отечественном рынке решений ИБ активно идет процесс импортозамещения продуктов зарубежных игроков (Boldon James, Microsoft RMS) и появление собственных альтернатив, а клиенты и пользователи СЗИ испытывают давление со стороны регуляторов. Например, выполнение требований 98 – ФЗ «О коммерческой тайне» подразумевает необходимость учета лиц с доступом к коммерческой тайне, включение в состав реквизитов документов специального грифа, а также явном информировании сотрудников о том, что документ содержит конфиденциальную информацию. Такие задачи можно решать при помощи нового класса решений по маркировке документов, появившегося на стыке существующих технологий и подходов в сфере защиты информации, в том числе как прямое следствие сложившейся ситуации на российском рынке.
Класс решений по маркировке данных
Концептуально – это решение, позволяющее повысить уровень информационной безопасности в организации за счет активного вовлечения сотрудников в процесс защиты данных. Основная идея заключается в том, что каждый сотрудник должен самостоятельно обозначать (маркировать) меткой конфиденциальности (грифом) создаваемые документы в зависимости от их содержимого, тем самым указывая степень конфиденциальности. Эта маркировка затем используется для контроля доступа к документам и предотвращения их несанкционированного распространения посредством специальных политик, назначаемых администратором. При этом присвоенные метки и категории документов наглядно видны всем сотрудникам, работающим с этими файлами.
Несмотря на то, что подход к защите конфиденциальной информации на основе политик похож на принципы работы систем DLP, класс решений по маркировке данных позволяет исключить присущие DLP недостатки. В первую очередь стоит отметить работу с потоками данных не только в направлении пересечения периметра компании, но и внутри организации: система позволяет ограничивать сам факт доступа сотрудника к файлам с конфиденциальной информацией, если по роду его деятельности он не имеет права работать с подобным типом данных. Другими словами, в приоритет ставится контроль самого факта наличия доступа к документу, а не предотвращение утечек во время пересечения периметра, как это делают DLP-системы. Во-вторых, отсутствует зависимость работы решения от версии и типа ПО, через которое происходит передача файла за пределы организации – важные документы могут помещаться внутрь специальных криптоконтейнеров, что не позволит злоумышленнику даже в случае получения файла извлечь оттуда информацию, так как данные внутри находятся в зашифрованном виде. В-третьих, такая концепция позволяет реализовать дополнительную мандатную систему доступа к информации на базе меток конфиденциальности, предоставив возможность работать с документами только ограниченному числу лиц, допущенных до обработки таких данных.
Все это приводит к принципиально иному подходу в работе с конфиденциальной информацией – предотвращению несанкционированного доступа и исключению утечек, а не реагированию на них при пересечении периметра. Дополнительно, офицеры ИБ получают удобный инструмент контроля работы пользователей с конфиденциальными данными вне зависимости от их нахождения в инфраструктуре компании.
Как это работает?
Администратор СЗИ создаёт и настраивает метки согласно внутреннему регламенту и типам защищаемых данных. Меткам можно назначать уровни приоритетов, в широких пределах варьировать их внешний вид, дополнять метками второго уровня для более точного соответствия содержимому любого документа.
Создание меток в интерфейсе администратора.
Затем администратор формирует политики работы с информацией на основе настроенных меток и регламентов компании и назначает действие при срабатывании каждой политики: предупреждение, запрет или разрешение. Например, можно либо предупредить пользователя о недопустимости создания немаркированных документов, либо форсировать необходимость классификации и маркировки пользователями всех создаваемых документов вне зависимости от их контента.
Для особенно чувствительных данных – можно запретить их печать, что дополнительно снижает каналы распространения чувствительной информации.
Также можно определить политики работы с электронными письмами и вложениями: например, запретить отправку внутренней информации внешним получателям (вне доменов организации) или сделать невозможным отправку немаркированных вложений и неклассифицированных писем в целом.
С точки зрения пользователей – процесс маркировки документов интуитивно понятен и не требует специальных навыков: сотрудники могут устанавливать метки, заданные в системе администратором, непосредственно в интерфейсе популярных офисных приложений (Microsoft Office, Outlook, LibreOffice) или контекстном меню проводника (Windows, Linux). При создании или редактировании документа пользователь выбирает соответствующую метку (например, «Конфиденциально», «Внутреннее использование»), которая затем отображается в тексте самого документа и сохраняется в его метаданных и альтернативных файловых потоках.
Эффективность и удобство пользователей при работе с системой маркирования данных может повысить встроенный помощник классификации, который на основе машинного обучения предложит сотруднику вариант метки, исходя из содержимого документа.
Интерфейс маркировки на примере встраиваемой панели в MS Word
Пример назначения метки из меню проводника
В случае нарушения политик работы с промаркированными данными пользователь получает соответствующее уведомление и применение выбранного администратором действия.
Пример предупреждения согласно политике и требованиям маркировки
При этом все нарушения назначенных политик безопасности, а также любые действия с промаркированными объектами (документами, письмами, файлами), попадают во внутренний журнал системы и могу быть проанализированы администратором в любой момент времени.
Аудит действий пользователей и нарушений политик
Самые важные данные можно помещать в специальные криптоконтейнеры, которые обеспечивают надёжную защиту даже в случае утечки таких документов за пределы контура организации. Доступ к ним можно получить лишь в случае наличия установленного агента и явных привилегий на работу с данной меткой конфиденциальности. При этом с точки зрения пользователя работа с зашифрованными файлами происходит в полностью прозрачном режиме.
Работа с метками, применение политик безопасности и сбор аудита действий осуществляется с помощью агента, устанавливающегося на АРМ пользователя администратором. Он же обеспечивает выполнение проверок на случай разграничения прав доступа к документам на основе меток конфиденциальности. Важно также упомянуть, что агент нетребователен к ресурсам рабочих станций сотрудников и не оказывает заметного влияния на отклик системы АРМ. Соответственно, не требует модернизации парка ПК и не привносит неудобства в работу обычных пользователей.
Как данный подход и решение можно использовать на практике?
В первую очередь использование данного класса решений нацелено на выполнение требований НПА в части уведомления сотрудников о работе с документами, содержащими коммерческую тайну (98-ФЗ).
Кроме этого, его можно использовать как альтернативу DLP-системам в качестве превентивного противодействия возможным утечкам информации путём шифрования документов вместо сложного контроля всех исходящих поток информации.
И качестве третьего сценария применения – дополнительное назначение мандатных прав доступа к документам на базе меток конфиденциальности, что позволяет предотвращать несанкционированный доступ третьих лиц вне зависимости от местонахождения документа в инфраструктуре организации или за её пределами.
В случае наличия в компании СЗИ, таких как DAG/DCAP, DLP и SIEM, решение по маркировке данных можно использовать для обогащения этих систем информацией о содержимом файлов и их движении. Это, в свою очередь, повышает эффективность работы привычных решений по защите информации, ускоряет и оптимизирует работу с массивами файлов в инфраструктуре компании. Особенно гармонично выглядит связка с системой DAG/DCAP, так как позволяет закрыть «слепую зону» по контролю данных в движении и полностью сместить фокус с реагирования на утечки и ликвидации последствий на проактивное предупреждение инцидентов, обеспечивая кардинальное уменьшение площади атаки вкупе с осознанным подходом самих пользователей к работе с конфиденциальной информацией.
Заключение
Решение по маркировке является важным новым элементом корпоративного ландшафта безопасности, работающее в синергии с привычными СЗИ и помогающее реализовать комплексный подход к защите информации – одного из главных активов организации.
Использование подобного решения позволяет соответствовать нормативным требованиям 98-ФЗ «О коммерческой тайне», предотвращать несанкционированный доступ и потенциальные утечки критичной информации, а также повысить уровень информационной безопасности благодаря совместной работе с решениями классов DLP, DAG/DCAP и SIEM. И в качестве дополнительного элемента защиты – сформировать культуру ИБ в организации на базе осознанного подхода к работе с конфиденциальными данными, уменьшив тем самым влияние человеческого фактора, так как весомая часть атак и утечек осуществляется при помощи приемов социальной инженерии.
Антон Здоров, инженер технического сопровождения продаж компании «Сайберпик»