DLP контролирует почту, а передача данных идет через мессенджер 🤒
Разбор кейса
В организации внедрена DLP-система.
Контролируется корпоративная почта, анализируются вложения, фиксируются попытки передачи файлов через внешние носители. Формально меры защиты реализованы.
При этом фактическая передача информации (в т.ч. персональные данные) происходит через мессенджеры: как корпоративные, так и публичные. Это могут быть веб-версии, мобильные приложения или передача ссылок на облачные хранилища. Часто это выглядит как пересылка ссылок, выгрузка на облачный диск, пересылка фрагментов в чат или отправка с личного устройства.
С технической точки зрения DLP выполняет свои функции, но только в рамках настроенных политик.
Однако если часть реальных каналов коммуникации не включена в контур контроля, они остаются вне мониторинга и управляемых ограничений.
В ЧЕМ ТУТ ПРАВОВАЯ СОСТАВЛЯЮЩАЯ
❗️Федеральный закон №152-ФЗ обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерных действий (в т.ч. доступа, раскрытия и распространения).
Конкретный перечень мер определяется моделью угроз и установленным уровнем защищенности ИСПДн (а также принятыми организационными мерами и настройками средств защиты).
Если передача персональных данных осуществляется через каналы, которые не учтены в модели угроз и не охвачены мерами контроля, у регулятора возникают основания поставить вопрос о достаточности и актуальности реализованных мер защиты. При проверках обычно смотрят не наличие DLP, а соответствие мер фактическим процессам обработки и передачи данных.
Важно учитывать:
⚫️какие каналы передачи данных используются фактически
⚫️включены ли они в документацию по обеспечению безопасности
⚫️определены ли правила использования мессенджеров локальными нормативными актами
⚫️управляются ли конечные устройства и рабочие места (корпоративные / личные), через которые возможна передача (в т.ч. мобильные)
⚫️ограничен ли доступ к персональным данным по принципу необходимости и достаточности (минимальные права и доступы под задачи)
Почему это возникает:
На практике защита часто строится вокруг традиционных каналов — электронной почты и файловых операций.
При этом коммуникационные инструменты внутри компании со временем меняются: сотрудники используют чаты, облачные сервисы, мобильные приложения. Но изменения в каналах часто не сопровождаются обновлением модели угроз, регламентов и политик DLP/контент-контроля.
Если изменения в инфраструктуре и фактических процессах не отражаются в модели угроз, ЛНА и настройках средств защиты, возникает разрыв между мерами на бумаге и реальной картиной передачи данных.
Каков вывод?
Наличие DLP само по себе не гарантирует контроля всех каналов передачи персональных данных, DLP работает в пределах охваченных каналов и настроенных политик.
Оценка достаточности мер защиты проводится с учетом фактических процессов обработки и передачи данных.
При пересмотре системы защиты имеет смысл сопоставить:
👉модель угроз,
👉перечень используемых коммуникационных каналов,
👉какие из этих каналов реально охвачены контролем / ограничениями (а какие остаются вне контура),
👉локальные нормативные акты,
👉фактическую архитектуру ИТ-среды.
Такой анализ позволяет быстро выявить слепые зоны и привести меры защиты в соответствие текущим рискам и требованиям законодательства 👍
😎
