DLP для эффективной работы с рисками информационной и кадровой безопасности

Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат [1]. Как в решении данной проблемы может помочь DLP?

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Давайте определимся, что скрывается за этой маркетинговой трехбуквенной аббревиатурой – DLP. Расшифровывается она обычно как Data Leak Prevention (хотя есть и множество других вариантов расшифровки) и дословно означает предотвращение утечек информации и контроля за внутренними пользователями информационных ресурсов.

На практике под DLP обычно понимают программное (аппаратно-программное) средство мониторинга внутренней инфраструктуры организации с целью предотвращения утечек информации и контроля за внутренними пользователями информационных ресурсов.

Международный стандарт ISO 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements в настоящее время является единственным документом, предназначенным для широкого круга специалистов по информационной безопасности, который использует термин Data Leak Prevention. Он определяет предотвращение утечки данных (DLP) как превентивный и детективный контроль, который снижает риск путем проактивного обнаружения и предотвращения несанкционированного раскрытия данных.

Контроль A.8.12 в ISO 27001:2022 требует от организаций применять различные меры для борьбы с утечкой данных, чтобы избежать несанкционированного раскрытия конфиденциальной информации, а если такие инциденты случаются, своевременно их обнаруживать. Таким образом, в стандарте ISO 27001:2022 термин Data Leak Prevention (DLP) используется в более широком смысле, как совокупность мероприятий, направленных на предотвращение утечки информации за периметр организации. Следует также отметить, что данный стандарт еще не переведен на русский язык.

С учетом изложенного далее можно рассматривать DLP как некое решение (программное, аппаратно-программное), систему для предотвращения утечек информации за периметр организации, которая анализирует весь исходящий и входящий трафик организации, а также другие информационные потоки, такие как печать документов, копирование на внешние носители и т.д. DLP-система определяет степень конфиденциальности документов и файлов, которые передаются или хранятся в информационной системе, и применяет соответствующие правила реагирования на попытки утечки.

DLP-система может решать ряд дополнительных задач, связанных с контролем действий персонала, таких как мониторинг использования рабочего времени и ресурсов, выявление конфликтов и неэтичного поведения и т.д., хотя эти функции не имеют прямого отношения к утечке данных.

Виды DLP-систем

Существует несколько видов DLP-систем, которые классифицируются по разным критериям. Один из наиболее распространенных критериев – это место развертывания системы в информационной инфраструктуре организации. По этому критерию можно выделить три основных вида DLP-систем:

1. Сетевая DLP-система (Network DLP) – система, которая устанавливается на сетевом оборудовании (маршрутизаторах, коммутаторах, шлюзах и т.д.) и анализирует весь сетевой трафик организации. Сетевая DLP-система позволяет контролировать все каналы передачи данных, такие как электронная почта, Интернет, FTP, VPN и т.д. Сетевая DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени.
2. Конечная DLP-система (Endpoint DLP) – система, которая устанавливается на конечных устройствах (компьютерах, ноутбуках, смартфонах и т.д.) и анализирует все действия пользователей с данными на этих устройствах. Конечная DLP-система позволяет контролировать все локальные операции с данными, такие как копирование, перемещение, удаление, печать, запись на внешние носители и т.д. Конечная DLPсистема может блокировать или предупреждать о попытках утечки данных в режиме реального времени или постфактум.
3. Централизованная DLP-система (Centralized DLP) – система, которая устанавливается на центральном сервере или облачном сервисе и анализирует все данные, которые хранятся или обрабатываются на этом сервере или сервисе. Централизованная DLP-система позволяет контролировать все данные, которые находятся в базах данных, файловых системах, облачных хранилищах, корпоративных приложениях и т.д. Централизованная DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени или постфактум.

Каждый из этих видов DLP-систем имеет свои преимущества и недостатки, а также свои сценарии применения. В зависимости от специфики организации и ее информационной безопасности можно выбрать один или несколько видов DLP-систем, а также использовать различные комбинации и интеграции между ними. Главное – определить, какие каналы утечки необходимо закрыть.

Как применение DLP системы позволяет минимизировать риски информационной и кадровой безопасности?

В качестве основных рисков информационной и кадровой безопасности можно выделить следующие (см. табл. 1).

На риски кадровой безопасности, не связанные с утечкой информации, – уход к конкурентам ключевых сотрудников организации, высокая текучесть кадров, отсутствие кадров нужной квалификации на рынке труда DLP-система влияния не оказывает. Некоторые смежные функции, связанные с мониторингом активности сотрудников, которые часто интегрируют в отечественные решения DLP, могут помочь в раннем выявлении желающих сменить место работы и "портящих" морально-психологический климат в коллективе, что позволит нейтрализовать такие риски, как текучесть кадров и уход работников к конкурентам. Очевидно, что риск отсутствия на рынке квалифицированных кадров никакое решение по информационной безопасности минимизировать (а уж тем более нейтрализовать) не может.

Все остальные риски, перечисленные в табл. 1, могут быть минимизированы посредством применения DLP-систем. Давайте попробуем разобраться, каким образом.

1. Блокировка исходящих из информационной инфраструктуры потоков информации позволяет предотвратить утечку конфиденциальных данных, несанкционированное неумышленное распространение (передачу) информации, хищение информации и, как следствие, ущерб репутации организации в случае появления сведений об инциденте в средствах массовой информации. Включения функций блокировки в DLP-cистеме на практике стараются избегать, чтобы не произошла блокировка нужного информационного сообщения. Моя практика показывает, что указанный подход имеет право на существование. В ряде случаев блокировка может проявлять себя как эффективный элемент для помощи не только специалисту по информационной безопасности, но и самому работнику. Например, встречаются организации, которые настраивают DLP-систему таким образом, чтобы при блокировании информационного сообщения она отправляла уведомление не только специалисту по информационной безопасности, но и самому работнику для проверки правильности отправления информации нужному адресату. В этом случае DLP-система выступает как помощник, защищающий работника от ошибок (например, случайной отправки почты и т.п.). Кроме того, функциями DLP-системы, как правило, можно заблокировать доступ к потенциально опасным объектам во внешней сети.
2. Мониторинг информационных потоков внутри инфраструктуры позволяет минимизировать утечки информации, в том числе вызванные умышленными действиями сотрудников, и такие их последствия, как ущерб репутации организации и финансовый ущерб от действий работников. Кроме того, мониторинг информационных потоков помогает при выявлении внешних атак и активности вредоносного программного обеспечения. Конечно, это лишь некая вспомогательная функция DLP, которая не заменит системы класса SIEM, EDR и XDR. Мониторинг информационных потоков, в отличие от блокировки, сопряжен с рисками для самого специалиста по информационной безопасности, занимающегося таким мониторингом. Дело в том, что действия специалиста по информационной безопасности при использовании DLP-системы могут нарушать конституционные права и свободы человека, гражданина. Уголовная ответственность предусмотрена за:
   - незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, совершенные лицом с использованием своего служебного положения (ч. 2 ст. 137 УК РФ). Максимальная санкция: лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;
   - нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное лицом с использованием своего служебного положения (ч. 2 ст. 138 УК РФ). Максимальная санкция: лишение свободы на срок до четырех лет.

Таким образом, применение DLP-системы, особенно для "работы" с рисками кадровой безопасности, когда первичен мониторинг и контроль за сотрудниками, неизбежно приводит к необходимости обезопасить себя при помощи так называемой легализации этой системы.

Вопрос легализации DLP на сегодняшний день является достаточно дискуссионным: некоторые специалисты считают, что полная легализация невозможна. По моему мнению, следует опираться на толкование судами правоприменительной практики, а именно на постановление пленума Верховного Суда РФ от 25.12.2018 г. № 46 "О некоторых вопросах судебной практики по делам о преступлениях против конституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 Уголовного кодекса Российской Федерации)". Из него следует, что специалисту по информационной безопасности, работающему с DLP-системой, нужно обратить внимание на моменты, связанные с особенностями правоприменения, указанные в табл. 2.

Таким образом, первое, на что рекомендуется обращать внимание специалисту по информационной безопасности при начале использования DLP (или при ее внедрении), – это наличие оформленного согласия пользователей информационной инфраструктуры на проведение подобного рода мониторинга их активности.