Контакты
Подписка 2025

Классификация данных как фундамент ИБ

Александр Ветколь, 23/04/21

Бизнес выделяет немалые бюджеты на кибербезопасность, но количество утечек конфиденциальной информации только растет. Тому есть множество причин, и сегодня я расскажу об одной из важнейших – отсутствии актуальной классификации данных.

Автор: Александр Ветколь, ведущий системный инженер Varonis Systems

Необходимость разложить цифровую информацию по полочкам, на первый взгляд, с безопасностью не связана, но на самом деле это не так.

Простой пример: в среднестатистическом файловом хранилище со временем образуется сложная структура каталогов, в которых лежит множество документов.

Кто и куда их складывает, не всегда известно даже администраторам. Тем более непонятно, как настраивать и контролировать доступ пользователей к этому богатству.

На каждый файл и каждую папку отдельно права не раздашь, а если вручную вести гигантские Access Lists, неизбежны ошибки. К тому же сотрудники имеют привычку складывать все в первое попавшееся место, не задумываясь о конфиденциальности.

Насколько все плохо?

По данным нашего исследования [1], сотруднику в среднем доступны миллионы корпоративных файлов. Точное значение показателя зависит от размера и специфики бизнеса, но порядок именно таков, а в ряде случаев речь идет даже о десятках миллионов документов.

Примерно 20% сетевых папок доступны для всех пользователей, при этом около 39% организаций имеют более 10 тыс. устаревших, но еще активных учетных записей. Неудивительно, что в подобной ситуации у двух третей компаний более 1 тыс. конфиденциальных файлов открыто для каждого сотрудника, а у 60% респондентов обнаружилось не менее 500 паролей, срок действия которых никогда не истекает. Парольная политика не имеет прямого отношения к классификации данных, но она тоже иллюстрирует сложившийся бардак.

И чем крупнее организация, тем его больше.

Кроме файловых ресурсов домена Active Directory, в корпоративной инфраструктуре есть разнообразные информационные системы со своими базами данных. Настройка безопасного доступа к этим системам – отдельная головная боль. Компании покупают антивирусы, межсетевые экраны нового поколения, решения для поведенческого анализа и управления мобильными устройствами, а также другие дорогостоящие продукты для защиты информации. Прежде чем настраивать доступ, необходимо упорядочить хаос: хотя классификация данных сама по себе проблему не решит, она является основой любой эффективной системы обеспечения информационной безопасности.

Как решить проблему малой кровью?

Самый очевидный способ классифицировать данные – провести ручной аудит силами ИТ-департамента. Такой подход прекрасно работает в небольших фирмах с десятками пользователей.

В средних и крупных компаниях переложить проблему на хрупкие плечи сисадминов не получится: слишком много цифровой информации нажито непосильным трудом, а ее структура слишком сложна и разнообразна.

К тому же это не разовая работа, после первоначального наведения порядка возникнет задача актуализации сведений и мониторинга изменений.

Пользователи не любят соблюдать правила и будут постоянно "подсыпать в топку свежего уголька", да и конфигурация ресурсов в ИТ-инфраструктуре периодически меняется. За всем нужно следить: увы, грамотная классификация данных – это непрерывный процесс, а не законченный объект. Как, впрочем, и все, связанное с информационной безопасностью.

Чем поможет автоматизация?

На этом этапе мы приходим к необходимости внедрения специализированных решений, позволяющих не только провести разовый аудит, но и отслеживающих все изменения в реальном времени. В них используются разные методы: морфологический анализ, проставление специальных меток (O365/M365, Boldon James, TITUS) и тому подобные вещи – выбор набора технологий зависит от разработчика.

Система классификации с определенной периодичностью отслеживает изменения в документах, где бы те ни находились, разбирает по полочкам логику их построения и анализирует данные с использованием заданных правил.

Частота проверок сетевых ресурсов настраивается в зависимости от многих факторов, но стратегия подбирается таким образом, чтобы получать информацию об изменениях максимально оперативно.

Система классификации должна также взаимодействовать с другими информационными системами и облачными сервисами. В частности, большинство систем ЭДО и ERP хранят информацию в обычных файлах с определенной структурой и логикой размещения – они могут быть без особого труда проанализированы. В каких-то случаях требуется и прямой доступ – вариантов масса.

Необходима также интеграция со средствами обеспечения информационной безопасности и контроля доступа, поскольку одной только классификации недостаточно, ее еще нужно правильно применить, допустив к определенной категории информации только пользователей, которым та необходима для работы. Настроив взаимодействие с DLP, можно передавать туда критичные документы для снятия цифровых отпечатков и контроля прохождения похожих на внешнем периметре. Есть и другие примеры взаимодействия; важно понимать, что эффективно лишь продуманное применение всех мер в комплексе.

Как запустить процесс?

Внедрить подобную систему – титанический труд, а без предварительного планирования проект будет обречен на провал. Начинать, как ни странно, стоит с контроля за доступом к самим данным.

Всегда возможно, что при первичной классификации данные не будут маркированы как критичные, но, если, скажем, поведенческий анализ увидит подготовку к их "выносу", действия пользователя можно будет поставить на контроль, а классификацию изменить.

Даже в крупной организации может не оказаться необходимых ресурсов, чтобы пройти все шаги по внедрению автоматизированной классификации данных и настройке ее интеграции с прочими системами самостоятельно. Хорошим выбором будет обращение к специализирующемуся на информационной безопасности системному интегратору или (в зависимости от масштабов бизнеса заказчика) напрямую к разработчику продукта. В итоге вы узнаете о своих данных главное: где они лежат и в какой защите нуждаются.


  1. https://info.varonis.com/.../Varonis_Financial_Data_Risk_Repor%20(RU)_2021.pdf
Темы:СКУДЖурнал "Информационная безопасность" №1, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • Что такое Identity, и почему его важно защищать от киберугроз
    Андрей Лаптев, директор продуктового офиса “Индид”
    Понятие Identity сложно перевести на русский язык и осмыслить в полной мере как с технической, так и с юридической точки зрения. Этот термин обычно не переводят, поскольку в нашем языке нет слов, которые раскрывали бы его суть точно и целиком. В зависимости от контекста Identity можно приблизительно перевести как “личность” или “идентичность”.
  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.
  • Практика внедрения решений класса PAM и тренды их развития. Круглый стол
    Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением и опытом по наиболее актуальным вопросам.
  • Роль систем класса PAM в реализации концепции Zero Trust
    Александр Булатов, коммерческий директор NGR Softlab
    Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...