В рубрику "All-over-IP" | К списку рубрик | К списку авторов | К списку публикаций
Защита от утечек критичных данных, как и от любых других угроз, должна строиться на результатах анализа рисков и соответствовать определенным в компании целям обеспечения информационной безопасности и, что не менее важно, бизнес-целям и существующим бизнес-процессам.
Независимо от того, какой способ контроля каналов утечки будет выбран, на первом этапе необходимо провести обследование информационных потоков и определить состав критичной информации, подлежащей защите. Данная работа должна быть реализована путем анализа внутренних организационно-распорядительных документов, регламентирующих порядок получения доступа, обработки, хранения и защиты информации, а также определения перечня информации и активов, подлежащих защите.
При этом устанавливается:
Анализ и сбор данных должен производиться в обязательном порядке в привязке к существующим бизнес-процессам. По результатам анализа этих процессов и информационных потоков должен быть сформирован не только перечень защищаемой информации, но и легитимные каналы ее передачи (в том числе определены лица, ответственные за реализацию этих каналов со стороны структурных подразделений – "владельцы активов") и места хранения (информационные системы, сетевые папки и т.д.).
На втором этапе необходимо определить потенциальные каналы утечки защищаемой информации, перечень которых напрямую зависит от используемых в компании ИТ-технологий, характеристик корпоративной информационной системы и существующих бизнес-процессов. К таким каналам могут относиться:
Для каждого определенного потенциального канала утечки должна быть определена модель нарушителя, который может реализовать угрозы информационной безопасности. В основном, когда говорят о защите от утечек, рассматривают следующие основные категории нарушителей:
Оценка рисков должна проводиться с учетом ценности информации и существующих в компании уязвимостей (организационных, эксплуатационных, технологических), которые могут быть использованы определенным на предыдущем этапе нарушителем для кражи критичной информации. По результатам оценки рисков должны быть определены меры, направленные на снижение уровня риска до приемлемого. Их перечень должен содержать меры, направленные как на выявление и предотвращение потенциальных утечек, так и на снижение вероятности возникновения ситуации, в условиях которой такая утечка возможна. К ним могут относиться:
К мерам, направленным на выявление и предотвращение утечек критичной информации, в первую очередь относятся системы класса DLP (Data Leak Prevention). При недостаточной формализации процессов и знания реальных информационных потоков в компании либо эти системы могут выявлять базовые каналы утечек, связанные с непреднамеренной передачей информации легитимными пользователями, либо количество ошибок (как первого, так и второго рода) будет таким большим, что оператор системы не сможет обнаружить реальные угрозы в потоке событий, связанных со срабатыванием заданных правил выявления потенциальных инцидентов информационной безопасности.
Современные системы класса DLP позволяют определять защищаемую информацию в каналах передачи по следующим критериям:
Каждый из методов обладает своими положительными и отрицательными (с точки зрения потенциальных ошибок) особенностями. Применение конкретного метода выявления и отнесения информации к защищаемой должно быть основано на ее особенностях и формах ее представления.
Большим вызовом для обеспечения безопасности критичных данных является использование скрытых каналов передачи информации (например, DNS Covert Channel) для несанкционированной передачи данных за пределы контролируемой зоны. Такие каналы, в некоторых случаях несмотря на небольшую пропускную способность, трудно выявляются и позволяют за "приемлемое с точки зрения злоумышленника" время вывести (украсть) большой объем информации.
Даже при условии применения различных методов защиты информации, которые, как правило, направлены на защиту от внешних угроз, человеческий фактор по-прежнему является наиболее критичной уязвимостью.
В целях формализации базового подхода к обеспечению защиты от утечек защищаемой информации и накопившегося опыта в апреле 2016 г. Банк России подготовил новый документ – Рекомендации в области стандартизации Банка России РС БР ИББС-2.9–2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации".
Рекомендации предназначены для организаций банковской системы РФ, принявших по результатам оценки рисков решение проводить деятельность по предотвращению утечек информации конфиденциального характера, и формализуют основные процессы. Они могут быть использованы как основа для определения требований к защите от утечек в любой компании.
Согласно рекомендациям Банка России процесс защиты утечек включает в себя:
Рекомендации содержат примеры применения описанной методологии, например Приложение В к РС БР ИББС-2.9–2016 "Пример матриц доступа для различных категорий потенциальных нарушителей" показывает перечень мероприятий по мониторингу и контролю, которые должны быть реализованы в компании по отношению к рассматриваемым каналам утечки и категориям потенциальным нарушителей.
В настоящее время на рынке информационной безопасности представлено большое количество технических решений, позволяющих контролировать потенциальные каналы утечки критичной информации. Однако в решении поставленных задач использование современных технологий – это лишь 10%. Остальные 90% – это сложная работа, связанная с построением процессов обеспечения информационной безопасности, настройкой этих систем в соответствии с существующими реалиями и особенностями реализации бизнес-процессов конкретной компании и дальнейшей эксплуатацией. Реализация мер, направленных на предотвращение утечек защищаемой информации, требует проведения глубокого анализа существующих процессов в компании и вовлечения всех подразделений и владельцев информационных ресурсов.
Опубликовано: Журнал "Системы безопасности" #3, 2016
Посещений: 5156
Автор
| |||
Автор
| |||
В рубрику "All-over-IP" | К списку рубрик | К списку авторов | К списку публикаций