Данных становится все больше. По исследованиям International Data Corporation (международная исследовательская компания) прирост объема хранимой в электронном виде информации составляет порядка 40% в год. При этом отсутствует определенность относительно инструментов обеспечения безопасности, применяемых методик и способов защиты данных.
Откуда появилась задача классификации
Как правило, крупная организация не знает точно, где и какие данные у нее находятся и как их защищать. Проблема состоит в том, что до 90% данных в компаниях находятся неструктурированном виде. Это могут быть документы, всевозможные отчеты, презентации и т.д., располагающиеся в сетевых папках или же на локальных машинах пользователей. И, поскольку обеспечением этой самой информационной безопасности компании занимаются сотрудники службы безопасности, то им и выбирать инструменты. Часто используется какая-либо система DLP – Data Leak Prevention, предотвращение утечек информации – мониторинг защищенного контура на предмет сообщений, перемещения файлов на внешние носители или веб-ресурсы, и т.д. Таким способом защищается корпоративная информация в виде документов, предотвращается передача архивов персональных данных, программных исходных кодов, конструкторской документации и пр. Таким образом, для минимизации рисков перед офицерами ИБ возникают задачи, которые, как правило, включают в себя следующие пункты:
Классификация информации в компании. Это нужно для понимания, какие данные имеются в компании и какие из них следует защищать.
Разграничение доступа к информации. Необходимо знать, кто и с помощью чего создает данные и где они располагаются.
Актуализация угроз и построение списка каналов утечки информации. Следует понимать современные каналы утечки информации, с тем, чтобы своевременно противостоять им.
Для первых двух задач используется контентный анализ используемых сотрудниками файлов, после чего выделяются ресурсы на обучение DLP. Кроме того, применяются системы классификации данных, которые за пределами нашей страны являются довольно популярными, но в России менее распространены.
Не знаешь, какая информация у тебя имеется – не знаешь, как ее достаточно, но не избыточно защитить.
Как классифицировать данные
На первый взгляд решение лежит сугубо в организационной плоскости. Чего уж проще – при создании документа указывать класс информации, который в этом документе содержится. И это довольно распространенный подход – некоторые финансовые организации, крупные производственные организации, в том числе международные, идут по этому пути. Разрабатывается внутренний регламент, в котором описываются принципы присвоения той или иной метки документу при его создании/изменении. После чего проводится обучение сотрудников основам работы с чувствительной информацией. Но если технически это не никак не регулируется, то в результате все равно данные попадают не в те руки в результате утечки. Чаще подобное происходит с локальными машинами.
Еще одно из решений, лежащих на поверхности – автоматическая классификация. Этот функционал часто реализована в решениях класса DLP. На рынке есть предложения, которые позволяют помечать доступные в сетевом окружении документы по тем или иным признакам в содержимом. Но документы еще и разбросаны по локальным машинам. Кроме того, они могут копироваться и изменяться.
Далее рассматривается техническое средство: Docs Security Suite (DSS) – это платформа маркирования и классификации электронных документов.
Классификация как обязанность каждого сотрудника
Рассмотрим первый подход – сотрудник классифицирует документы сам. Стоит сюда добавить технические средства, которые при каждом создании/изменении документа, копировании его или печати будут требовать присвоения ему определенной категории, и задача классификации информации упрощается. Выбранная метка должна прописываться визуально в документ, а также – в структуру файла.
Таким образом достигается следующее:
- Обязательное принудительное маркирование документа автором или редактором (владельцем информации);
- Учет техническими средствами электронных документов в организации;
- Экспертная классификация электронных документов на этапе создания документа;
- Разграничение доступа пользователей к документам с различными метками конфиденциальности;
- Учет и регистрация действий пользователей с документами, содержащими метки;
- Отслеживание путей развития документов, формирование дерева родительских и дочерних электронных документов;
- Вовлечение сотрудников организации в процесс информационной безопасности, как результат – повышение культуры информационной безопасности в компании.
Таким образом по каждому документу собирается полный набор данных о его использовании. И, как результат, доказательная база для расследования инцидентов информационной безопасности, которая повышает эффективность расследования и снижает ее стоимость, как в финансовом, так и во временном выражении.
Что такое метка
Метка проявляет себя в визуальном виде в документе. То есть, если документ является конфиденциальным, соответствующая надпись располагается, например, на подложке текста. Располагается она, как уже упоминалось, автоматически, и удалить ее пользователю нельзя. Соответственно, каждая метка должна централизованно настраиваться, позволяя указать шрифт, цвет, размер, расположение на странице и т.д. Кстати, визуальной меткой может быть и изображение, и штрихкод.
Однако, помимо этого, в электронном документе должны сохраняться и другие данные. Если ставить задачу интеграции нашего инструмента с DLP, то визуального изображения метки будет явно недостаточно для этого. Для этого создается электронная метка – дополнительные данные, которые сохраняются где-то в структуре файла документа, например в метаданных. Туда следует писать следующую информацию:
- Описание метки. Основная информация в рамках нашей системы, как раз он служит для интеграции с DLP, для контроля доступа и т.д.
- Идентификатор документа. Мы же ведем учет документов, значит каждому из них должен быть присвоен идентификатор.
- Идентификатор родительского документа. Скопировав или “Сохранив как...” файл мы получаем новый экземпляр, значит стоит знать его “происхождение”.
- Дата, время последнего открытия.
- Автор документа - идентификатор пользователя или его логин.
- Последний редактор документа - идентификатор или логин. Последние два пункта говорят о том, кто несет ответственность за присвоение той или иной метки.
- Машина, на которой были произведены последние изменения.
- Путь, по которому лежит документ.
- Хэш файла. Позволяет контролировать целостность данных в документе.
- Плюс какое-то количество другой служебной информации.
Подобный набор данных позволяет более плотно контролировать потоки данных в организации, собирать базу знаний об электронных документах и, как результат, – предотвращать возможные инциденты, облегчая жизнь сотрудникам информационной безопасности.
Однако, следует подчеркнуть: основная идея подобной автоматизации – вовлечение всех сотрудников организации, работающих с документами, в процесс обеспечения информационной безопасности компании. В результате использования систем классификации данных (в моем примере – DSS), рано или поздно, все файлы контуре безопасности будут иметь ту или иную метку. Закрыть или напечатать документ без установленной метки пользователю просто не будет позволено. А значит, сотрудник будет обязан выполнить эту свою обязанность – классифицировать документ, который до сих пор по какой-то причине не имеет ту или иную метку.
Shaman_RSHU
Задача правильная и необходимая. Если CISO не знает какую информацию в каких бизнес-процессах он защищает — грош ему цена.