Три основные проблемы, с которыми сталкиваются организации:
С этими и другими проблемами, вытекающими из необходимости соблюдать требования GDPR, поможет справиться DLP-система. Ниже рассмотрены ключевые требования регламента по защите персональных данных, которые можно соблюсти с помощью системы защиты информации от утечек.
Из основных требований GDPR вытекает необходимость использования инструментов информационной безопасности и их глубокой интеграции в инфраструктуру компании, как на уровне потоков данных, так и на уровне корпоративных бизнес-процессов. Преимущество DLP-систем по сравнению с другими ИБ-решениями заключается в большем количестве функциональных возможностей, позволяющих соблюсти значительное число требований по работе с данными и их защите. Кроме того, DLP-системе не нужны дополнительные интеграционные решения для полного соответствия требованиям GDPR.
Согласно GDPR необходимо категорировать информацию и выявлять персональные данные, в частности персональные данные граждан Евросоюза. До сих пор многие организации не выделяют персональные данные клиентов среди другой информации и не всегда знают все места их хранения. Для решения этой проблемы DLP-система автоматически распознает конфиденциальную формацию благодаря глубокому анализу содержания пересылаемых и хранимых файлов, это может быть и документ, отправленный по электронной почте, и вложение к сообщению в мессенджере, и сохраненный в облаке файл.
Преимущество DLP-систем по сравнению с другими ИБ-решениями заключается в большем количестве функциональных возможностей, позволяющих соблюсти значительное число требований GDPR.
Отдельное внимание стоит уделить информации в графическом виде, особенно чувствительной к утечкам. По данным Zecurion Analytics, около 30% от общего числа утечек приходятся на персональные данные в графическом формате, это сканы паспортов, СНИЛС, ИНН и прочих официальных документов. В отличие от других систем безопасности, DLP распознает текст на изображениях и позволяет идентифицировать их как личные данные. Все это система умеет благодаря набору технологий детектирования. Чем большее количество таких технологий используется, тем точнее получается результат идентификации.
Данные постоянно перемещаются не только в пределах компании, но и за пределами корпоративной сети, например отправляются письма партнерам или поставщикам. Поэтому в процессе перемещения персональных данных важно отслеживать их маршрут и проводить их шифрование. Zecurion DLP использует уникальную технологию "криптопериметр", благодаря которой файлы с персональными и другими конфиденциальными данными принудительно шифруются, а значит обеспечивается их полная защита.
Кроме того, GDPR предусматривает возможность передачи персональных данных другому оператору, например если гражданин запросит свои данные для дальнейшего обслуживания в другой компании.
Для решения этой задачи DLP-система может вести учет всех данных, связанных с субъектом. Используя архив и Web-консоль современных DLP, в любой момент можно узнать, кто и что именно делал с данными, где они сейчас находятся, а также загрузить их копию. Еще одно преимущество DLP – централизованное управление администраторами системы, а не конечными пользователями или локальными администраторами из нескольких консолей. Впрочем, стоит отметить, что далеко не все DLP-системы обладают единым Web-интерфейсом для управления всеми модулями.
По требованию GDPR от компании, работающей с данными граждан Евросоюза, требуется назначение DPO (Data Protection Officer) – ответственного лица, в обязанности которого входит регулярный и систематический мониторинг действий с данными различных субъектов. Преимущество DLP заключается в том, что в дополнение к непосредственно ручной работе DPO система в режиме реального времени отслеживает передачу данных и контролирует максимальное количество каналов: конечные точки сети, в том числе принтеры, сетевые каналы и всевозможные хранилища информации. И самое главное – система не только помогает вести мониторинг действий, но и реагирует на события различными способами, начиная от блокировки и заканчивая теневым копированием и оповещением офицера безопасности.
Еще одной важной возможностью DLP является управление с использованием фильтрации по атрибутам. То есть система определяет наличие конфиденциальных данных не в результате анализа содержимого документа, а по формальным признакам – отправитель, получатель, размер, тип файла или периферийного устройства, время отправки или создания, направление трафика и т.д. С помощью фильтрации по атрибутам DLP может, например, заблокировать переписку между определенными сотрудниками, передачу каких-либо типов документов или просто файлов большого размера. Преимущество такой возможности заключается в прозрачности политик и простоте их конфигурации, в то время как контентный анализ является более ресурсозатратным процессом и может занимать значительное время.
По правилам GDPR быстрое реагирование на инциденты и уведомление об утечках становится обязательным, причем оператору необходимо оценить возможные риски, связанные с "нарушением прав и свобод граждан". Сообщить об утечке необходимо и субъектам персональных данных, и надзорным органам.
В случае возникновения инцидента DLP-система заблокирует неправомерные действия и уведомит о них офицера безопасности, останавливая таким образом потенциальную утечку на самом раннем этапе.
По первому обращению субъекта или его представителя оператор должен удалить данные и предотвратить их дальнейшее распространение. Согласно ст. 17 данные следует удалить также в случае, когда пропала необходимость в их использовании.
DLP позволяет контролировать распространение персональных данных, чтобы в случае необходимости удалить их из всех мест хранения. Используя DLP-систему, администратор может достаточно быстро удалить данные, воспользовавшись архивом, в котором сосредоточена вся информация о субъекте. При этом некоторые вендоры DLP, в том числе Zecurion, предоставляют возможность шифрования персональных данных на время их хранения, чтобы предотвратить несанкционированный доступ к информации и безвозвратно удалить ее после окончания периода обработки.
Субъекты персональных данных имеют право требовать от оператора информацию о том, какие данные были им собраны, а также где и для каких целей использованы. Современные DLP-системы позволяют отслеживать операции с данными на серверах, компьютерах и ноутбуках, а также во время их передачи по каналам связи, обеспечивая защиту и пресекая попытки неправомерного использования. Архив и консоль DLP позволяют быстро выстраивать цепочки событий, связанных с перемещением и обработкой данных.
Меры по защите персональных данных используют множество технологий, это и предотвращение утечек, и шифрование, и реагирование на инциденты, и другие. Но пока ни одно отдельно взятое решение не может полностью решить задачу соответствия GDPR. Тем не менее DLP-системы обладают наиболее широким набором функций, позволяющих выполнить большинство требований по защите данных и работе с ними. Выбирая DLP, компания получает готовый инструмент для соответствия требованиям регулятора, с удобным интерфейсом, архивом событий, готовыми шаблонами и простой настройкой.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019