Ксения Головко, 17/01/20
Специалист по внешним коммуникациям Zecurion
Три основные проблемы, с которыми сталкиваются организации:
- нет понимания, где хранятся конфиденциальные данные;
- не установлены разграничения между актуальными и устаревшими данными;
- отсутствуют возможности оперативного ответа на запрос о данных.
С этими и другими проблемами, вытекающими из необходимости соблюдать требования GDPR, поможет справиться DLP-система. Ниже рассмотрены ключевые требования регламента по защите персональных данных, которые можно соблюсти с помощью системы защиты информации от утечек.
Из основных требований GDPR вытекает необходимость использования инструментов информационной безопасности и их глубокой интеграции в инфраструктуру компании, как на уровне потоков данных, так и на уровне корпоративных бизнес-процессов. Преимущество DLP-систем по сравнению с другими ИБ-решениями заключается в большем количестве функциональных возможностей, позволяющих соблюсти значительное число требований по работе с данными и их защите. Кроме того, DLP-системе не нужны дополнительные интеграционные решения для полного соответствия требованиям GDPR.
Классификация данных и выявление объекта защиты
Согласно GDPR необходимо категорировать информацию и выявлять персональные данные, в частности персональные данные граждан Евросоюза. До сих пор многие организации не выделяют персональные данные клиентов среди другой информации и не всегда знают все места их хранения. Для решения этой проблемы DLP-система автоматически распознает конфиденциальную формацию благодаря глубокому анализу содержания пересылаемых и хранимых файлов, это может быть и документ, отправленный по электронной почте, и вложение к сообщению в мессенджере, и сохраненный в облаке файл.
Преимущество DLP-систем по сравнению с другими ИБ-решениями заключается в большем количестве функциональных возможностей, позволяющих соблюсти значительное число требований GDPR.
Отдельное внимание стоит уделить информации в графическом виде, особенно чувствительной к утечкам. По данным Zecurion Analytics, около 30% от общего числа утечек приходятся на персональные данные в графическом формате, это сканы паспортов, СНИЛС, ИНН и прочих официальных документов. В отличие от других систем безопасности, DLP распознает текст на изображениях и позволяет идентифицировать их как личные данные. Все это система умеет благодаря набору технологий детектирования. Чем большее количество таких технологий используется, тем точнее получается результат идентификации.
Управление данными при их передаче
Данные постоянно перемещаются не только в пределах компании, но и за пределами корпоративной сети, например отправляются письма партнерам или поставщикам. Поэтому в процессе перемещения персональных данных важно отслеживать их маршрут и проводить их шифрование. Zecurion DLP использует уникальную технологию "криптопериметр", благодаря которой файлы с персональными и другими конфиденциальными данными принудительно шифруются, а значит обеспечивается их полная защита.
Кроме того, GDPR предусматривает возможность передачи персональных данных другому оператору, например если гражданин запросит свои данные для дальнейшего обслуживания в другой компании.
Для решения этой задачи DLP-система может вести учет всех данных, связанных с субъектом. Используя архив и Web-консоль современных DLP, в любой момент можно узнать, кто и что именно делал с данными, где они сейчас находятся, а также загрузить их копию. Еще одно преимущество DLP – централизованное управление администраторами системы, а не конечными пользователями или локальными администраторами из нескольких консолей. Впрочем, стоит отметить, что далеко не все DLP-системы обладают единым Web-интерфейсом для управления всеми модулями.
Защита в режиме реального времени
По требованию GDPR от компании, работающей с данными граждан Евросоюза, требуется назначение DPO (Data Protection Officer) – ответственного лица, в обязанности которого входит регулярный и систематический мониторинг действий с данными различных субъектов. Преимущество DLP заключается в том, что в дополнение к непосредственно ручной работе DPO система в режиме реального времени отслеживает передачу данных и контролирует максимальное количество каналов: конечные точки сети, в том числе принтеры, сетевые каналы и всевозможные хранилища информации. И самое главное – система не только помогает вести мониторинг действий, но и реагирует на события различными способами, начиная от блокировки и заканчивая теневым копированием и оповещением офицера безопасности.
Еще одной важной возможностью DLP является управление с использованием фильтрации по атрибутам. То есть система определяет наличие конфиденциальных данных не в результате анализа содержимого документа, а по формальным признакам – отправитель, получатель, размер, тип файла или периферийного устройства, время отправки или создания, направление трафика и т.д. С помощью фильтрации по атрибутам DLP может, например, заблокировать переписку между определенными сотрудниками, передачу каких-либо типов документов или просто файлов большого размера. Преимущество такой возможности заключается в прозрачности политик и простоте их конфигурации, в то время как контентный анализ является более ресурсозатратным процессом и может занимать значительное время.
Уведомление об утечках
По правилам GDPR быстрое реагирование на инциденты и уведомление об утечках становится обязательным, причем оператору необходимо оценить возможные риски, связанные с "нарушением прав и свобод граждан". Сообщить об утечке необходимо и субъектам персональных данных, и надзорным органам.
В случае возникновения инцидента DLP-система заблокирует неправомерные действия и уведомит о них офицера безопасности, останавливая таким образом потенциальную утечку на самом раннем этапе.
Удаление личных данных, или право на забвение
По первому обращению субъекта или его представителя оператор должен удалить данные и предотвратить их дальнейшее распространение. Согласно ст. 17 данные следует удалить также в случае, когда пропала необходимость в их использовании.
DLP позволяет контролировать распространение персональных данных, чтобы в случае необходимости удалить их из всех мест хранения. Используя DLP-систему, администратор может достаточно быстро удалить данные, воспользовавшись архивом, в котором сосредоточена вся информация о субъекте. При этом некоторые вендоры DLP, в том числе Zecurion, предоставляют возможность шифрования персональных данных на время их хранения, чтобы предотвратить несанкционированный доступ к информации и безвозвратно удалить ее после окончания периода обработки.
Отчеты об использовании
Субъекты персональных данных имеют право требовать от оператора информацию о том, какие данные были им собраны, а также где и для каких целей использованы. Современные DLP-системы позволяют отслеживать операции с данными на серверах, компьютерах и ноутбуках, а также во время их передачи по каналам связи, обеспечивая защиту и пресекая попытки неправомерного использования. Архив и консоль DLP позволяют быстро выстраивать цепочки событий, связанных с перемещением и обработкой данных.
Заключение
Меры по защите персональных данных используют множество технологий, это и предотвращение утечек, и шифрование, и реагирование на инциденты, и другие. Но пока ни одно отдельно взятое решение не может полностью решить задачу соответствия GDPR. Тем не менее DLP-системы обладают наиболее широким набором функций, позволяющих выполнить большинство требований по защите данных и работе с ними. Выбирая DLP, компания получает готовый инструмент для соответствия требованиям регулятора, с удобным интерфейсом, архивом событий, готовыми шаблонами и простой настройкой.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019
