Позиция регуляторов по защите от утечек и использованию DLP

Андрей Прозоров
Ведущий эксперт компании InfoWatch
по информационной безопасности

Регуляторы адекватно оценивают риски и понимают, что защита от внутренних угроз является важнейшей задачей ИБ. Об этом в явном виде сказано, например, в СТО БР ИББС 1.0-2010, п. 5.4: "Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.

Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.

Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает".

Похожие мысли можно найти и в других документах.

Помимо деклараций об опасности внутренних угроз, регуляторы предлагают и меры по защите.

В 2013 г. были утверждены приказ ФСТЭК России № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и приказ ФСТЭК России № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". В 2104 г. был утвержден методический документ "Меры защиты информации в государственных информационных системах", раскрывающий и детализирующий меры защиты, определенные в приказах. Также в 2014 г. издан проект нормативного правового акта ФСТЭК России "Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды". Данные документы имеют схожий набор мер по защите информации.

В них, помимо прочего, прописаны меры, которые можно реализовать исключительно с использованием DLP-систем. Если говорить кратко, то контроль содержания передаваемой информации рекомендуется обеспечивать следующей совокупностью мер:

• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное ПО из буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Помимо этого, рекомендуется осуществлять хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием в течение времени, определяемого оператором, а также обеспечить возможность блокировки такой информации.

Похожее видение и у ЦБ РФ, требования по контролю передаваемой и хранимой информации есть и в СТО БР ИББС 1.0-2010, и в проекте СТО БР ИББС 1.0-2014.

Возможно, появление этих требований и рекомендаций все же снизит количество утечек информации, происходящих в России. Ну или по крайней мере остановит рост: по данным аналитического центра InfoWatch, количество утечек информации в России в 2013 г. выросло на 76%.