BIS Journal №1(24)/2017

6 февраля, 2017

Можно ли банку обойтись без DLP-системы?

Среди внутренних инцидентов информационной безопасности (ИБ) в организациях традиционно преобладают утечки информации. Для организаций кредитно-финансовой сферы это связано с особыми рисками, так как в результате намеренной или непреднамеренной утечки данных потери грозят и клиентам, и самим компаниям.
 
Ситуация осложняется еще тем, что каналов для утечки данных существует множество. Согласно рекомендациям Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016), к потенциальным каналам утечки информации следует отнести электронную почту, Интернет и беспроводные сети (включая социальные сети и форумы), съемные накопители, телефон и факс, принтеры и другие периферийные устройства, фото- и видеокамеры и др.
 
ПРИНЦИП «МИНИМУМА ПОЛНОМОЧИЙ»
 
Банк России рекомендует блокировать техническими средствами и организационными мерами потенциальные каналы утечки информации, которые не требуются сотрудникам для выполнения служебных обязанностей, а в отношении разблокированных каналов — вести непрерывный мониторинг их использования и контроль. Эти рекомендации построены по принципу «минимума полномочий». Смысл его в том, что слишком широкий круг полномочий может стать причиной утечки информации. В зоне особого риска — администраторы, программисты, специалисты в области компьютерной техники и защиты информации. Особенно опасно, когда специалисты этого уровня входят в сговор с руководством подразделений и службы безопасности, с организованными преступными группами. В этом случае возможный ущерб и тяжесть последствий многократно возрастают. Разработчики документа ставят в приоритет работы по защите каналов передачи информации с помощью электронной почты, сервисов Интернета (социальных сетей и форумов), удаленного доступа по Интернету, съемных носителей, принтеров и копировальных устройств. Отдельно стоит отметить высокий приоритет по защите переносных носителей информации и средств вычислительной техники, которые могут быть использованы или утеряны за пределами информационной инфраструктуры.
 
ДВА НЕДОСТАТКА
 
Прежде всего, для защиты от утечек информации применяются DLP-системы. Эффективность работы DLP-системы достигается путем слаженного взаимодействия нескольких неотъемлемых составляющих, включая набор регламентов, обучение сотрудников, мониторинг и анализ работы средств защиты информации. Для автоматизированной работы системы нужна точность фильтрации информационных потоков, четкий отбор того, какие сообщения могут быть пропущены, а какие нет. DLP-систему необходимо постоянно подстраивать, менять настройки в зависимости от возникающих новых бизнес-задач. В этом кроется один из недостатков DLP-систем: помимо затрат на внедрение она требует в дальнейшем существенных затрат на сопровождение. Еще один недостаток — это вероятностный подход, применяемый при настройке фильтрации. Когда система проверяет поток информации в соответствии со множеством загруженных в нее категорий и классов конфиденциальности, в разы возрастает вероятность ошибки определения класса, что приводит к утечке или лишает канал легитимности. Получается, что система защиты от утечек может не справиться должным образом со своим прямым предназначением.
 
ОГРАНИЧЕНИЕ ДОСТУПА
 
В отличие от DLP-систем, которые контролируют и анализируют потоки информации, системы защиты информации от несанкционированного доступа (СЗИ НСД) и средства контроля съёмных машинных носителей информации (СКН) ограничивают доступ к информации. Такой подход наиболее органичен принципу «минимума полномочий». В пункте 9.1. рекомендаций Банка России по предотвращению утечек как раз идет речь о такой мере, как блокирование каналов, которые не требуются сотрудникам для выполнения обязанностей. Другими словами, это и есть ограничение доступа, которое могут обеспечить СЗИ НСД и СКН. В ряде случаев оно наиболее предпочтительно, потому что проще и дешевле ограничить доступ, чем разрешить использование каналов информации сверх меры, а затем тратить дополнительные ресурсы на анализ этой информации с помощью DLP-системы.
 
ВОКРУГ СЪЕМНЫХ НОСИТЕЛЕЙ
 
Типовой набор функций СКН включает контроль подключения съемных носителей информации и разграничение доступа к ним, а также «теневое копирование». Главный недостаток таких СКН и их отличие от DLP-систем — это неспособность контролировать утечки информации. Дело в том, что в случае утери/кражи учтённого накопителя, информация может стать доступной злоумышленнику. Для решения этой проблемы на рынке есть специализированные решения с функцией преобразования на внешних накопителях. Однако их применение связно с дополнительными затратами для организаций, у которых уже внедрена СЗИ НСД.

Отметим, что ФСТЭК России установлены требования к использованию средств контроля съемных машинных носителей информации. Защитные меры включают в себя учет носителей, управление доступом, исключение несанкционированного доступа к хранящимся данным, контроль перемещения носителей, использования интерфейсов ввода/вывода, подключения носителей, уничтожение и контроль уничтожения информации при передаче носителей между пользователями и в сторонние организации. Требования по использованию съёмных носителей также устанавливаются и Стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014). В частности, в организации банковской системы РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации. Более того, устанавливаются требования по обработке персональных данных (ПДн) в организациях банковской системы Российской Федерации, включая фиксацию и хранение ПДн на отдельных съемных носителях.

В 2014 году ФСТЭК России утвердила требования к средствам контроля съемных машинных носителей информации, профили защиты к каждому классу защиты. Требования касаются как контроля подключения носителей, так и контроля отчуждения информации, то есть предотвращения несанкционированного переноса информации ограниченного доступа с зарегистрированных (учтенных) съемных машинных носителей информации. Контролировать отчуждение информации необходимо для того, чтобы защитить данные даже в том случае, когда носитель используется вне доверенной среды, потерян или похищен злоумышленниками. Фактически, Регулятор определил требования к созданию доверенной среды внутри организации для безопасного использования съёмных накопителей, что исключает утечки информации через съёмные накопители.
 
ВЫХОД ЕСТЬ!
 
Таким образом, СЗИ НСД вместе с СКН по контролю подключения и контролю отчуждения (переноса) информации позволяют реализовать принцип «минимума полномочий», заложенный в рекомендациях Банка России по предотвращению утечек информации. DLP-система в режиме блокировки выполняет схожие функции в части контроля подключения устройств, однако, значительные ресурсы на системы такого класса тратятся заказчиками из-за наличия в них функций анализа информации, а не её блокирования.

На текущий момент на рынке СЗИ пока отсутствуют сертифицированные ФСТЭК России СКН по контролю отчуждения (переноса) информации, однако есть продукт, в котором реализован подход создания доверенной среды для безопасного использования съёмных накопителей информации. Речь идёт об СКН Dallas Lock разработки Центра защиты информации ГК «Конфидент» (ЦЗИ «Конфидент»). СКН Dallas Lock — это модуль в составе флагманского продукта СЗИ Dallas Lock 8.0. Пользователям СКН Dallas Lock не нужно беспокоиться за утерю или хищение съемных носителей — данные на них являются преобразованными. Функционал по работе с носителями реализован на основе требований ФСТЭК России к СКН уровня отчуждения. Помимо этого, для защиты от утечек информации реализован функционал по контролю подключения локальных и внешних устройств, запрет выхода в Интернет (работа с браузерами, «мессенджерами») с помощью мандатного доступа к устройствам (сетевой карте). Функция «теневого копирования» незаметно для пользователя сохраняет документы, отправляемые на печать или копируемые на съёмные носители. Функционал СКН Dallas Lock позволяет вести централизованное управление.
 
СЗИ НСД и СКН в некоторых случаях более предпочтительны для защиты от утечек информации, чем DLP-системы, как экономически, так и с точки зрения реализации принципа «минимума полномочий». Функция преобразования данных, реализованная в СКН Dallas Lock компании «Конфидент», позволяет при этом защищать информацию на съемных носителях даже за пределами доверенной среды.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.11.2024
В «Сбере» подтверждают: скамеры начали миксовать преступные схемы
14.11.2024
Мнение: На импортозамещение софта потребуется 14‑15 лет, дополнительные инвестиции и господдержка
14.11.2024
В ответ на массовую блокировку счетов дропов криминал ответил асимметрично
14.11.2024
Российские банки не могут приземлить свои дата-центры
14.11.2024
«Лаборатория Касперского» получила «платину» от Forbes
13.11.2024
ЛК и АМТ-ГРУП совместно защитят АСУ ТП и промышленные объекты
13.11.2024
Скамеры учатся работать с возражениями
13.11.2024
Иран огласил сроки начала приёма «мировых» карт в стране
13.11.2024
ИИ, ЦОДы и АЭС. Пробудят ли прожорливые нейросети дух атома
13.11.2024
Сентябрь — 2025: ЭВМ без RuStore — под запретом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных