Нерациональное поведение и ошибки людей являются основными слабыми сторонами, выявленными в инцидентах безопасности, которые создают такие угрозы, как плохая репутация и высокие затраты. Это хорошо известно многим специалистам по информационной безопасности. Как в решении данной проблемы может помочь DLP, рассмотрим в рамках данной статьи.
Для начала, давайте определимся, что скрывается за этой маркетинговой трехбуквенной аббревиатурой – DLP. Расшифровывается данная аббревиатура обычно как Data Leak Prevention, хотя имеется и множество других вариантов ее расшифровки и дословно означает предотвращение утечки данных.
На практике, под DLP обычно понимают программное (аппаратно-программное) средство мониторинга внутренней инфраструктуры организации с целью предотвращения утечек информации и контроля за внутренними пользователями информационных ресурсов.
Международный стандарт ISO 27001:2022 Information security, cybersecurity and privacyprotection — Information security management systems — Requirements в настоящее время является единственным документом, предназначенным для широкого круга специалистов по информационной безопасности, который использует термин Data Leak Prevention. Он определяет предотвращение утечки данных (DLP) как превентивный и детективный контроль, который снижает риск путем проактивного обнаружения и предотвращения несанкционированного раскрытия данных. Контроль A.8.12 в ISO 27001:2022 требует от организаций применять различные меры по борьбе с утечкой данных, чтобы избежать несанкционированного раскрытия конфиденциальной информации, а если такие инциденты случаются, своевременно их обнаруживать. Таким образом, в стандарте ISO 27001:2022 термин Data Leak Prevention (DLP) используется в более широком смысле, как совокупность мероприятий, направленных на предотвращение утечки информации за периметр организации. Следует также отметить, что данный стандарт еще не переведен на русский язык.
С учетом изложенного предлагается далее рассматривать DLP как некое решение (программное, аппаратно-программное), систему, для предотвращения утечек информации за периметр организации, которая функционирует следующим образом: анализирует весь исходящий и входящий трафик организации, а также другие информационные потоки, такие как печать документов, копирование на внешние носители и т.д. DLP-система определяет степень конфиденциальности документов и файлов, которые передаются или хранятся в информационной системе, и применяет соответствующие правила реагирования на попытки утечки. Кроме того, DLP-система может решать ряд дополнительных задач, связанных с контролем действий персонала, таких как мониторинг использования рабочего времени и ресурсов, выявление конфликтов и неэтичного поведения и т.д., хотя данные функции не имеют прямого отношения к утечке данных.
Существует несколько видов DLP-систем, которые классифицируются по разным критериям. Один из наиболее распространенных критериев – это место развертывания системы в информационной инфраструктуре организации. По этому критерию можно выделить три основных вида DLP-систем:
- Сетевая DLP-система (Network DLP) – это система, которая устанавливается на сетевом оборудовании (маршрутизаторы, коммутаторы, шлюзы и т.д.) и анализирует весь сетевой трафик организации. Сетевая DLP-система позволяет контролировать все каналы передачи данных, такие как электронная почта, интернет, FTP, VPN и т.д. Сетевая DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени.
- Конечная DLP-система (Endpoint DLP) – это система, которая устанавливается на конечных устройствах (компьютеры, ноутбуки, смартфоны и т.д.) и анализирует все действия пользователей с данными на этих устройствах. Конечная DLP-система позволяет контролировать все локальные операции с данными, такие как копирование, перемещение, удаление, печать, запись на внешние носители и т.д. Конечная DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени или постфактум.
- Централизованная DLP-система (Centralized DLP) – это система, которая устанавливается на центральном сервере или облачном сервисе и анализирует все данные, которые хранятся или обрабатываются на этом сервере или сервисе. Централизованная DLP-система позволяет контролировать все данные, которые находятся в базах данных, файловых системах, облачных хранилищах, корпоративных приложениях и т.д. Централизованная DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени или постфактум.
Каждый из этих видов DLP-систем имеет свои преимущества и недостатки, а также свои сценарии применения. В зависимости от специфики организации и ее информационной безопасности, можно выбрать один или несколько видов DLP-систем, а также использовать различные комбинации и интеграции между ними. Главное – это определить какие каналы утечки необходимо закрыть.
Как применение DLP системы позволяет минимизировать риски информационной и кадровой безопасности?
В качестве основных рисков информационной и кадровой безопасности можно выделить, пожалуй, следующие (таблица 1).
На риски кадровой безопасности, не связанных с утечкой информации: уход к конкурентам ключевых сотрудников организации, высокая текучесть кадров, отсутствие кадров нужной квалификации на рынке труда, DLP система влияния не оказывает. Некоторые смежные функции, связанные с мониторингом активности сотрудников, которые часто интегрируют в отечественные решения DLP, могут помочь в раннем выявлении работников желающих сменить место работы и работников «портящих» морально-психологический климат в коллективе, что позволяет нейтрализовать такие риски как текучесть кадров и уход работников к конкурентам. Очевидно, что риск отсутствия на рынке квалифицированных кадров никакое решение по информационной безопасности минимизировать (а уж тем более нейтрализовать) не может.
Все остальные риски, перечисленные в таблице 1, могут быть минимизированы посредством применения DLP-систем. Давайте попробуем разобраться каким образом:
- Блокировка исходящих из информационной инфраструктуры потоков информации позволяет предотвратить утечку конфиденциальных данных, несанкционированное неумышленное распространение (передачу) информации, хищение информации и, как следствие, ущерб репутации организации в случае появления сведений об инциденте в средствах массовой информации. При этом, следует отметить, что включения функций блокировки в DLP cистеме, на практике, стараются избегать, чтобы не произошла блокировка нужного информационного сообщения. Практика автора показывает, что указанный подход имеет право на существование. Однако, в ряде случаев блокировка может показывать себя как эффективный элемент для помощи не только специалисту по информационной безопасности, но и самому работнику. Например, встречаются организации, которые настраивают DLP систему таким образом, чтобы при блокировании информационного сообщения она отправляла уведомление не только специалисту по информационной безопасности, но и самому работнику для проверки правильности отправления информации нужному адресату. В этом случае DLP система выступает как помощник, защищающий работника от ошибок (например, случайной отправки почты и т.п.). Кроме того, функциями DLP системы, как правило, можно заблокировать доступ к потенциально опасным объектам во внешней сети.
- Мониторинг информационных потоков внутри инфраструктуры позволяет минимизировать утечки информации в том числе вызванные умышленными действиями работников и такими их следствиями как ущерб репутации организации и финансовый ущерб от действий работников. Кроме того, мониторинг информационных потоков помогает при выявлении внешних атак и активности вредоносного программного обеспечения. Конечно, это лишь некая вспомогательная функция DLP, которая не заменит системы класса SIEM, EDR и XDR.
При этом, мониторинг информационных потоков, в отличии от блокировки сопряжен с рисками для самого специалиста по информационной безопасности, занимающегося таким мониторингом. Дело в том, что действия специалиста по информационной безопасности при использовании DLP системы могут нарушать конституционных прав и свобод человека и гражданина, за что предусмотрена уголовная ответственность:
- Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, совершенные лицом с использованием своего служебного положения (часть 2 статьи 137 УК РФ).
- Максимальная санкция: лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет
- Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное лицом с использованием своего служебного положения (часть 2 статьи 138 УК РФ).
Максимальная санкция: лишение свободы на срок до четырех лет.
Таким образом, применение DLP системы, особенно для «работы» с рисками кадровой безопасности (когда первичен мониторинг и контроль за сотрудниками) неизбежно приводит к необходимости обезопасить себя при помощи т.н. «легализации» этой системы. Вопрос легализации DLP на сегодняшний день является достаточно дискуссионным, часть специалистов считают, что полная легализация не возможна. По мнению автора следует опираться на толкование судами правоприменительной практики, а именно на Постановление Пленума Верховного Суда РФ от 25.12.2018 № 46 «О некоторых вопросах судебной практики по делам о преступлениях против конституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 Уголовного кодекса Российской Федерации)».
Из указанного Постановления Пленума Верховного Суда РФ специалисту по информационной безопасности, работающему с DLP системой, следует обратить внимание на следующие моменты, связанные с особенностями правоприменения:
Таким образом, первое на что рекомендуется обращать внимание специалисту по информационной безопасности при начале использования DLP (или при ее внедрении) это на наличии оформленного согласия пользователей информационной инфраструктуры на проведение подобного рода мониторинга их активности.
Более подробное видео по данной тематике вы можете посмотреть ниже:
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности.
Сайт: https://ksamatov.ru
Источник: https://cs.groteck.com/IB_3_2023/36/
