Обзор подготовлен

версия для печати
Кто в силах закрутить гайки DLP?

Кто в силах "закрутить гайки" DLP?

Во внутренних инцидентах ИБ всегда присутствует субъект — сотрудник, который нарушил правила использования и хранения конфиденциальной информации, принятые в организации. У него есть фамилия, имя и отчество, а также конституционные права. Совместить юридические тонкости, ITSM, а также внутреннюю ИБ с требованиями обеспечения эффективности бизнеса может только топ–менеджмент.

Проекты по защите от внутренних угроз имеет некоторые отличия от традиционных проектов в области информационной безопасности. Можно выделить три ключевых момента. Это необходимость вмешиваться в устоявшиеся бизнес-процессы, персонифицировать нарушителя и ущемить часть его прав (в том числе конституционных). Дополнительными отличиями на сегодняшний день являются большая вовлеченность заказчика, отсутствие универсальных решений и полнейшее отсутствие отечественной экспертизы.

Никто, кроме заказчика, не сможет определить, какие действия с какой информацией (за исключением персональных данных) каким сотрудникам разрешены. Сама по себе работа по аудиту оборота информации может занять много больше времени, чем внедрение какого-либо приложения. Поскольку заказчик занимается таким аудитом строго самостоятельно, он постоянно отвлекается на решение оперативных и иных задач, которых никто не отменял. Такая работа длится иногда годами. При этом карту движения информации в крупных компаниях приходится править практически ежемесячно — бизнес постоянно внедряет новые приложения, открывает новые виды деятельности, ведет региональную экспансию и массу всего остального. Т.е. невозможно составить статическую картину, поскольку фундамент постоянно меняется.

Подавляющее большинство обещанных производителями систем безопасности автоматических классификаторов информации на деле оказываются либо контентными анализаторами, либо решениями на базе "автометок" по месту хранения. В первом случае классификация информации производится в худшем случае на базе ключевых слов, а в лучшем — на анализе контекста вокруг ключевых слов. Во втором случае система метит документы, которые размещены в специальных папках на диске с пометкой "конфиденциально".

Оба метода на деле не являются автоматическими, поскольку пользователь в первом случае должен составить базу контентного анализа, а во втором — разложить по папкам конфиденциальную информацию разных уровней доступа. То есть если пользователь ошибся либо в оценке терминов, либо в местоположении конфиденциальных документов — вина его, а не системы.

Столько сил требует только аудит. После него будет видно несовершенство существующих способов хранения и обработки, а также маршрутов движения конфиденциальной информации с точки зрения защиты от злоупотреблений с использованием санкционированного доступа. И для эффективной защиты чувствительной информации придется их менять.

Доступ к каким-то ресурсам и каналам придется закрыть, использование других - ограничить. Придется принять правило именования и хранения документов, содержащих конфиденциальную информацию. Как всегда бывает, это в первую очередь ударит по лояльным пользователям. Любые ограничения к этой группе сотрудников воспринимаются как показатель неуспеха. Обязательно будут упомянуты ГУЛАГ, закручивание гаек, "шаг влево — шаг вправо…". Часть высокопоставленных пользователей сделает вид, что это мешает бизнесу, начнется тихий саботаж решения. Тут и понадобится административный ресурс, без которого DLP (Data Loss Prevention) проекты могут пойти прахом.

Юридические тонкости требуют тщательной проработки

Вернемся к главным особенностям проекта по защите от инсайдеров. Во внутренних нарушениях всегда присутствует субъект нарушения — сотрудник, который нарушил правила использования и хранения конфиденциальной информации, принятые в организации. У него есть фамилия, имя и отчество, а также конституционные права на тайну связи, неприкосновенности частной жизни и право на справедливое судебное разбирательство. Юридические коллизии при использовании систем мониторинга действий пользователя и его переписки могут составить целую книгу. Остановимся на ключевых моментах.

Первое правило — легально связать персону с ИТ-объектом, позволяющем однозначно идентифицировать пользователя информационной системы, — учетной записью, почтовым адресом, IP-адресом, парой логин/пароль и т.д. Ведь каким бы совершенным не было ПО, оно укажет, что нарушение совершено пользователем с указанного ИТ-объекта. А вот то, что за этим объектом находился конкретный имярек, придется доказывать отдельно.

Иначе, как метко выразился один эксперт по юридическим вопросам, — "вам придется судиться с IP-адресом". Не стоит уповать на то, что компания не будет судиться с сотрудником, а просто его уволит за нарушения внутренних регламентов. Известны уже десятки случаев, когда сотрудники по суду восстанавливались на работе как несправедливо уволенные. А все потому, что ничего, кроме журнальных файлов в электронном виде, компания в суд представить не могла.

Юридические коллизии между правом сотрудника на тайну связи и корпоративными требованиями безопасности обсуждаются в прессе достаточно широко. Поэтому не будем на них концентрироваться. Ни один серьезный проект, связанный с перлюстрацией корпоративной электронной почты, сегодня не начинается без юридической экспертизы трудовых соглашений. Изучаются и другие корпоративные документы, так или иначе затрагивающие отношения работодателя, предоставляющего сотруднику ресурсы компании для исполнения его служебных обязанностей.

В качестве небольшого примера из практики стоит упомянуть, что юридическая экспертиза документов одной компании выявила противоречие недавно внедренного принципа ITSM и требований безопасности. По ITSM выходило, что компания оказывает сотруднику ИТ-услуги путем предоставления доступа к корпоративной почте. Но с точки зрения трудового законодательства сторона, оказывающая услугу, не может проверять, как эта услуга используется потребителем.

Другое дело, когда компания, предоставляющая свои ресурсы, имеет право проверять, как сотрудник их использует. Так, как можно проверить, например, пробег и расход бензина служебного автомобиля, не нарушая при этом прав сотрудника. Таким образом, требования юридической обоснованности использования сканера электронной почты вступили в конфликт с принятой в компании современной практикой измерения эффективности ИТ-службы.

Административный ресурс выходит на первый план

Построение процедуры управления DLP-проектом сильно зависит от того, кто инициировал проект и кто является его внутренним "покровителем". От этого зависят выделяемые на проект ресурсы: финансовые, кадровые и, самое важное, — административные. Выделенные бюджеты, конечно, тоже сильно влияют на выбор технических решений, но эффективность их использования в большей мере зависит именно от административного ресурса.

Часто отсутствие "правильного" воздействия административного ресурса, в частности — возможности заставить всю выявленную аудитом "группу риска" (а в ее состав может входить большая часть сотрудников) выполнять определенные требования, является критическим. Автор неоднократно был свидетелем того, что недостаток такого ресурса свел на нет все технологические усилия отдела информационной безопасности.

Приведем пример. Некая компания, в том числе и для защиты конфиденциальной информации, внедряет Digital Rights Management (DRM) технологию. DRM предназначена для управления правами на операции с документом. Каждый документ, кроме своего собственного контента, содержит и список тех лиц, кто имеет доступ к документу со спецификацией. В нем описано и то, что может делать с документом каждый допущенный, — читать, редактировать, копировать, распечатывать и т.д.

Технология сама по себе отличная. Единственный существенный недостаток — закрытость формата. Для пересылки контрагентам все равно приходилось конвертировать документы в известные форматы. Но компания — заказчик собиралась использовать ее для внутреннего документооборота, соответственно, этот недостаток ее не пугал. Инициатором внедрения была служба информационной безопасности, топ-менеджмент был в курсе. Но занимал пассивную позицию: "делайте, раз, считаете нужным и укладываетесь в бюджет".

Тонкость таких технологий в том, кто именно ставит такие права. Иметь специально выделенного человека для расстановки прав невозможно — где найти универсального специалиста, одинаково хорошо разбирающегося во всех сторонах бизнеса? Ведь даже главбух навскидку не отличит совершенно секретный "черный баланс" от "белого", публичного. Соответственно — кто создает документ, тот и определяет список допущенных и их действия с ним.

Не нужно говорить, что такая система бессильна перед злонамеренным автором, который может сделать документ легко выносимым за пределы сети. Основной удар пришелся на лояльных сотрудников. Сначала один забыл вставить начальника в список редакторов документа. Потом другой не дал кому-то доступа к отчету и уехал в командировку.

Месяц помучившись, сотрудники приняли оптимальное с их точки зрения решение — стали ставить разрешение "всем можно все", чем похоронили саму идею проекта. Сейчас система заняла подобающее ей место — защита статического документного хранилища, с администрированием которой отлично справляется один "библиотекарь", по запросу сотрудников расставляющий временные права "только чтение". Это еще раз доказывает, что нет плохих продуктов, есть лишь неправильное их использование.

Эта же технология в другой компании отлично работает, поскольку на ее внедрении настоял топ-менеджмент. Он не только донес до среднего менеджмента посыл о необходимости защиты конфиденциальных данных, но и всячески мотивировал людей на продвижение новых способов работы с информацией.

Конечно, самый простой способ вовлечь топ-менеджмент в такой проект — апелляция к требованиям регуляторов. Надеемся, что со вступлением в силу ФЗ "О персональных данных", у сотрудников информационной безопасности появится больше аргументов для вовлечения руководящего звена в проекты по внутренней ИБ.

Разумеется, все нюансы внедрения систем противодействия инсайдерам на описанных выше примерах не ограничиваются. За пределами статьи остались вопросы интеграции специализированных продуктов с другими системами информационной безопасности и встраивания контролирующих систем в корпоративные ИС. Также важным является распределение ролей заказчика и исполнителя на всех этапах проекта. Но главное, о чем здесь необходимо говорить в первую очередь, — роль менеджмента и юридическая сторона вопроса.

Рустэм Хайретдинов

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS