Контроль доступа к съемным носителям

Александр Писемский, заместитель генерального директора, Группа информационной безопасности: Group-IB

НЕОБХОДИМОСТЬ защиты конфиденциальной информации от утечки с использованием различных внешних носителей информации давно стоит перед службами безопасности различных организаций. Существует ряд программных продуктов, которые вкупе с организационными мерами способны снизить риски утечки информации. Сюда относятся и полноценные системы предотвращения утечек данных (DLP, Data Leakage Prevention), и более простые и легкие модули контроля доступа к портам.

DLP-системы

DLP представляет собой систему защиты, которая может покрыть практически все возможные каналы утечки информации, начиная от USB-накопителей и принтеров и заканчивая IM и бесплатными почтовыми сервисами. Основной преградой на пути внедрения DLP является отсутствие в подавляющем большинстве компаний действующей практики классификации чувствительной информации и процедур работы с ней. Внедрять DLP, не зная на 100%, что для вас является конфиденциальной информацией и где и как она обрабатывается/должна обрабатываться, будет, по сути дела, пустой тратой денег. Если же у вас вся информация "про-грифована" и все пользователи четко исполняют политики безопасности при работе с ней, то вы можете смело привлекать консультантов и готовиться к интеграции.

Проще – не значит хуже

Более легкие и простые решения, направленные исключительно на предотвращение утечки информации через съемные носители, на мой взгляд, обладают большим потенциалом для их эффективного использования в большинстве компаний. Практически все программные продукты по контролю внешних портов, такие как DeviceLock, Lumension Device Control, GuardianEdge Device Control и др., позволяют эффективно разграничивать доступ к носителям информации по их уникальным идентификаторам, типам файлов и правам чтения/записи. Необходимость детальной градации прав доступа конкретных пользователей к конкретным внешним устройствам или носителям информации обусловлена большим разнообразием устройств, которые используются ежедневно пользователями в работе. Умение разделять служебные и неслужебные флешки, принтеры и мыши, мобильные телефоны и внешние жесткие диски, сетевые карты и считыватели смарт-карт является залогом успеха программного обеспечения у специалистов по информационной безопасности и минимального вмешательства в работу рядовых пользователей.

Все вышесказанное подразумевает снижение рисков утечки информации от деятельности инсайдеров и ошибок пользователей. В большинстве случаев, по мнению специалистов по обеспечению безопасности, это самые главные риски, которые связаны с утечкой конфиденциальной информации. Но так ли это на самом деле? Всегда ли самый большой ущерб наносится действиями инсайдеров или производители средств защиты информации хотят, чтобы вы так думали?

Риск потери информации

Если мы посмотрим на публикации данных об утечках информации, с которыми ежедневно сталкиваются компании и государственные организации по всему миру, то уви- дим, что большинство утечек связано с потерей ноутбука, флешки, жесткого диска или другого носителя информации. О риске потери информации многие часто забывают, концентрируясь на защите информации от своих коллег, нежели от посторонних, которые могут украсть или найти носитель с конфиденциальной информацией. Защита мобильных устройств и носителей информации и контроль доступа к информации, содержащейся на них, не должны заканчиваться, как только менеджер вынул флешку с конфиденциальным отчетом из рабочего ПК и направился домой, где собирается доделать работу по отчету. В соответствии с политикой безопасности ему разрешено брать работу на дом и в дорогу, поэтому никакое средство контроля портов или DLP не запретит ему сохранить информацию на флеш-диск.

Комплексная защита

Единственным способом эффективно защитить информацию на носителе от несанкционированного доступа явля- ется шифрование самих данных или носителя. Комбинация стойкого шифрования и строгой аутентификации позволит гарантировать конфиденциальность информации в случае попадания носителя в чужие руки.

Применение средств контроля доступа к съемным носителям совместно со средствами шифрования дает возможность контроля доступа к информации при любых условиях как внутри компании, так и за ее пределами. Однако стоит помнить, что наличие технических средств не гарантирует сохранность информации, если хромает организационная составляющая обеспечения безопасности. Понимание и применение основных принципов обеспечения безопасности со стороны пользователей позволит снизить большинство рисков. Записанные на бумажке логин и пароль сводят на нет всю многомиллионную систему защиты.

Комментарий эксперта

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

Обеспечение конфиденциальности информации – комплексная задача. Решить ее качественно одними только техническими средствами или организационными методами практически невозможно – необходимо придерживаться риск-ориентированного подхода, включающего определение наиболее вероятных каналов утечки и критичной информации и выстраивание эффективной защиты.

Для IT-специалиста важно в первую очередь заручиться поддержкой руководства компании при реализации проектов по защите конфиденциальных данных – это облегчит работу в дальнейшем. Затем следует классифицировать существующие информационные активы и определить, где, как и кем они должны и могут использоваться, куда перемещаются и в каком месте хранятся. После этого можно выбирать инструментальные средства, помогающие придерживаться принятых правил. При этом классификация информационных активов может осуществляться не по всей организации в целом, а локально в отдельном департаменте. Также возможно определение правил обработки отдельного вида информации (например, "коммерческая тайна" или "персональные данные сотрудников"). Часто такое поэтапное решение проблемы более эффективно.

Наилучшим техническим вариантом для предотвращения утечки данных является применение систем класса DLP (Data Loss/Leakage Prevention). Они контролируют все основные каналы утечки (электронная почта, Интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и др.), позволяют идентифицировать информацию самыми современными способами, что обеспечивает наименьшее количество ложных срабатываний.

Также для обеспечения конфиденциальности информации используются системы класса IRM (Information Right Management). С их помощью защита осуществляется на уровне контента, то есть информация, содержащаяся, например, внутри электронного письма или документа, становится доступной только тем сотрудникам, которым разрешен доступ к ней политикой безопасности.

Кроме того, существуют точечные решения по защите от утечки (например, только контроль съемных носителей или мобильных устройств). Они могут оправдать себя, в случае если в компании остро стоит проблема одного-двух определенных каналов утечки. Данные решения, как правило, не осуществляют анализ самой информации, защита идет исключительно на уровне разграничения доступа к некоторым устройствам и портам. И в случае появления потребности в комплексной защите от утечки издержки, связанные с интеграцией ранее внедренных решений по контролю отдельных каналов, неприятно удивят. Однако не стоит забывать о других методах, используемых инсайдерами для разглашения конфиденциальной информации, таких как: фотографирование экрана монитора, переписывание на бумажный носитель и пр. Системы DLP, IRM и другие технические средства здесь бессильны, но на помощь приходят организационные мероприятия – обучение сотрудников, создание корпоративной культуры информационной безопасности и т.п.