13 марта, 2019, BIS Journal №1(32)/2019

Судьба офицера ИБ


Бялькина Александра

руководитель департамента развития продуктов (Cross Solutions (АО «Кросс Технолоджис»))

Почему он ловит только тех внутренних нарушителей, которых удобно ловить?

Данных, в том числе конфиденциального содержания, становится все больше. Исследования IDC за 2018 год показывают, что прирост объема хранимой в электронном виде информации составляет около 40% в год. При этом нет определенности относительно инструментов обеспечения безопасности, применяемой методологии и способов фактической реализации требований, которые могут зависеть от дополнительных факторов.

МИНИМИЗАЦИЯ РИСКОВ

Есть множество способов контроля за утечками информации и их предотвращения, в том числе применение решений класса DLP в качестве инструмента активного или пассивного воздействия на попытки вывода информации по цифровым каналам. Чаще других фиксируются утечки чувствительных данных по электронной почте, через Интернет-порталы и социальные сети, а также попытки несанкционированного копирования материалов в электронном виде на съемные носители и пр. Таким способом защищается корпоративная информация в виде документов, предотвращается передача баз данных и архивов информации с персональными данными, реквизитами банковских карт, исходными кодами программных продуктов, уникальной рецептурой, конструкторской документацией и пр.

Чтобы минимизировать риски утечек данных, офицерам ИБ в организациях приходится решать сложные организационные и технические задачи, которые регулярно включают в себя следующие три пункта:

1. Классификация чувствительной информации в компании. Нужно понимать, какие данные имеются в компании и что из них следует защищать.

2. Разграничение доступа к чувствительным данным. Нужно понимать, где они хранятся, кто и с помощью чего с ними работает.

3. Актуализация модели угроз и построение списка каналов утечки информации. Нужно понимать и контролировать современные каналы утечки данных, например, фотографирование документов на мобильные телефоны с последующей передачей в открытую сеть через сервисы обмена мгновенными сообщениями.

Первые две задачи покрываются DLP-системами посредством контентного анализа используемых сотрудниками файлов. В таком подходе требуется время на обучение системы и минимизацию ложных срабатываний. Совместно с DLP-системами для этого могут применяться системы типа Data Classification, которые за пределами нашей страны являются распространенными, но не часто используются в России.

Не знаешь, какая информация у тебя имеется, – не знаешь, насколько эффективно (достаточно, но не избыточно) ты ее защищаешь.

На практике выделяют два подхода к классификации чувствительной информации:

1) автоматизированная классификация (автоматическое сканирование и анализ контента информации) на основе правил, включая текст, регулярные выражения и пр. Чаще всего это функция реализована в решениях класса DLP.

2) ручная классификация (обучение сотрудников основам работы с чувствительной информацией с предложением самостоятельно по предварительно согласованной инструкции категорировать созданные ими и/или обработанные/отредактированные электронные документы на основе понятных правил) (Data Classification).

МАРКИРОВАНИЕ: КАК И ЗАЧЕМ

Остановимся подробнее на втором типе систем и рассмотрим его на примере платформы маркирования и классификации электронных документов Docs Security Suite (далее – DSS).

Система DSS предлагает сотруднику каждый раз после завершения работы с электронным документом присвоить ему определенную категорию: «Персональные данные», «Банковская тайна», «Для служебного пользования», «Конфиденциально», «Коммерческая тайна» и т.д. Выбор отразится в структуре документа, а в скрытой части автоматически проставятся метки конфиденциальности из заранее настроенного списка меток.

Таким образом достигаются и обеспечиваются следующие параметры безопасности электронного документа, как объекта защиты:

  • принудительное маркирование документа непосредственным автором или редактором документа;
  • учет техническими средствами электронных документов в организации, содержащих чувствительные данные;
  • экспертная классификация электронных документов по установленным в организации критериям на этапе создания документа;
  • разграничение доступа пользователей к документам с различными метками конфиденциальности;
  • учет и регистрация действий пользователей внутри организации с электронными документами, содержащими метки;
  • формирование древа родительских и дочерних электронных документов;
  • создание режима и повышение культуры информационной безопасности работников организации, обрабатывающих конфиденциальную информацию.

Интеграция систем Data Classification с DLP ручной классификацией позволяет избежать ошибок первого рода, получаемых при автоматизированном сканировании и контентном анализе документов, а также дает возможность компании «вступить в диалог» с сотрудником о важности данных, которые он использует или создает. По каждому документу собирается полная информация: кто, когда использовал его, какие операции производил. И на выходе - доказательная база для расследования инцидентов ИБ, которая в том числе обеспечивает снижение стоимости расследования за счет сокращения не только количества самих инцидентов, но и времени, требуемого для проведения процесса расследования.

Рисунок № 1. Иллюстрация возможностей DSS по простановке визуальной (видимой) метки на отредактированном пользователем документе

МАРКИРОВАНИЕ: ПРАКТИЧЕСКАЯ ПОЛЬЗА

1. Первая задача, которую они позволяют решить – это обучение сотрудников работе с информацией разных категорий, вовлечение их в процесс работы с документами, разделение ответственности компании с сотрудником за сохранность данных, неразглашение информации о нем в открытых источниках. Это помогает снизить количество инцидентов, в том числе совершаемых «по незнанию». 2. Вторая важная задача – проведение максимально оперативного расследования инцидентов. В половине случаев утечки происходят по вине внутренних нарушителей. Их действия по объему ущерба сопоставимы с деятельностью внешних злоумышленников.

Помочь в решении этой проблемы может аудит действий сотрудников с документами компании как возможность обогащения информацией DLP. Метка, которая установлена сотрудником, позволяет однозначно подсказать DLP необходимые действия по предотвращению инцидента или уведомлению о нем ответственного сотрудника. Однако злоумышленники все реже используют заведомо контролируемые каналы передачи информации — электронную почту, копирование на USB и пр.  Мобильные телефоны, с помощью которых можно сделать фото и/или передать через мессенджер личную информацию, - все чаще. И здесь на помощь придет кодирование дополнительной информации в тексте документа.

Предлагаемый в Docs Security Suite механизм или уникализации – использование стеганографических методов кодирования информации путем манипуляций с текстом редактируемого документа.

При открытии документа в соответствии с алгоритмом кодирования изменяются параметры текста у всего электронного документа, возникает дополнительная цифровая скрытая метка. Она дополняет основную метку (например, «Банковская тайна»), и обладает следующими свойствами:

- динамически изменяется каждый раз при открытии документа;

-содержит имя пользователя или рабочей станции, с которой обрабатывается электронный документ, дату, время или идентификатор сессии, связанный с именем пользователя.

Плюсы применения уникализации:

- факт содержания скрытой метки не виден обычному пользователю;

- сессия работы с документом обладает уникальным идентификатором;

- уникализация является свойством метки, которое применяется автоматически;

- формируется доказательная база от случаев утечки информации в том числе по некорпоративным неконтролируемым каналам, таким как мобильные телефоны.

Рисунок № 2. Иллюстрация возможностей DSS по уникализации электронного документа, содержащего метку конфиденциальности

Как использовать этот механизм при расследовании инцидентов? Ввиду того, что алгоритм уникализации является прозрачным для сотрудника службы ИБ при обучении работе с системой Docs Security Suite, мы можем как использовать автоматизированные средства сопоставления «утекшего» документа с оригиналом, так и вычислить уникальный идентификатор вручную (при понимании алгоритма кодирования и декодирования скрытой информации). И ручной механизм зачастую бывает единственно возможным в случае наличия некачественной фотокопии документа (угол поворота, освещение в помещении при фотографировании, качество камеры и пр.).

Заключение

Таким образом, для обеспечения комплексной защиты электронных документов следует в процессе внедрения организационных и технических аспектов режима информационной безопасности учесть следующие вехи:

1. Разработать внутренние положения организации по работе с электронными документами и их маркированию с указанием ответственности за нарушение установленных правил;

2. Вовлечь сотрудников в процесс маркирования и классификации документов;

3. Провести для них обучение по использованию инструментов маркирования;

4. Внести в должностные инструкции сотрудников обязанность по маркированию документов и ответственность за корректность проведенных операций;

5. Периодически проводить аудит промаркированных документов для выявления некорректных меток;

6. При необходимости использовать механизм разграничения прав доступа IRM или шифрования на основе меток конфиденциальности;

7. Помимо типовых средств контроля и борьбы с утечками использовать дополнительные для расследования утечек через создание фотографий.

Эти меры нацелены на оптимизацию процесса управления инцидентами информационной безопасности в компании, и, последовательно примененные, позволят выявлять утечки не только тех нарушителей, которых «удобно» ловить, но тех, чьи деструктивные или несанкционированные действия до настоящего времени остаются незамеченными! Решение DSS способно снизить трудозатраты офицеров ИБ и упростить менеджмент инцидентов ИБ.

 

BIS-КОММЕНТАРИЙ

Алексей Плешков, независимый эксперт по информационной безопасности

Конец 2018 года наглядно продемонстрировал, что персональные данные и банковская тайна даже самых защищённых финансовых организаций коварно и регулярно перетекают от владельцев в хранилища злоумышленников. Объявления об их продаже есть не только на чёрном рынке, но доступны даже в поисковиках. Основные причины утечек чувствительных данных сегодня связаны с нарушениями со стороны лиц, имеющих к ним допуск. А потому такие меры, как маркирование документов, учёт, контроль и ограничение доступа к информации, а также своевременное выявление и расследование связанных инцидентов - выходят на первый план. При больших объемах обрабатываемых документов применять средства ручного контроля и визуальной фильтрации не эффективно, однако для многих офицеров информационной безопасности это остаётся единственным возможных способом, в условиях ограниченного финансирования и кадровой неукомплектованности подразделений.  

 

Смотрите также

Утечки данных

28 февраля, 2019
Подпишись на новости!
Подписаться