Журнал "Information Security/ Информационная безопасность" #3, 2019

ли сотрудник свои трудовые обязанности или бил баклуши. Это задача, никак не связанная с утечками информации, поэтому UAM не может заменить DLP- системы. При этом уже сейчас в DLP- системах есть все возможности для сбора информации о пользовательской активности, остается научить систему обрабатывать эту информацию, а ИБ- специалистов – правильно интерпрети- ровать полученные данные. Елена Нагорная – Право на жизнь имеет каждое решение. Каж- дое решение разрабаты- вается для каких-то опре- деленных целей и имеет своего потребителя. Как говорится, спрос рожда- ет предложение. На сегодняшний день функции пользовательской активности нами не используются, но мы планируем задействовать ограниченный функционал для контроля продуктивного рабочего времени в рамках перевода ряда работ- ников на дистанционную работу. Алексей Плешков – Отдельные российские и белорусские вендоры, давно работающие на рынке DLP-решений в России и в СНГ, регулярно поднимают флаги UAM/DLP. Но это больше маркетинговые флаги. На мой взгляд, нужно всегда идти от задачи заказчика. Чтобы понять, какой тип решения по без- опасности нужно предложить заказчику, целесообразно для начала сесть и совмест- но с ним обсудить, какую конкретную про- блему (применительно к инфраструктуре, бизнес-процессам и типам пользователей) он решает в организации. Когда получается построить это обсуждение на реальных кейсах из практики заказчика и внешнего опыта, найти подходящее решение класса UAM, DLP или иные, становится гораздо проще и зачастую эффективнее для всех. Константин Саматов – Использование UAM- решений расширяет сферу применения системы, помимо защи- ты от утечек информа- ции появляются новые возможности: выявле- ние работников, нарушающих трудовую дисциплину, и работников, участвующих в противоправной деятельности (упо- требление, торговля наркотиками, заня- тие проституцией, мошеннические схемы). Однако продвижение совсем другого класса решения под флагом DLP вносит путаницу и вызывает слож- ности с выбором у специалистов по кор- поративной безопасности. Анатолий Скородумов – Основное отличие UAM-решений от DLP- систем в том, что они не предназначены для пред- отвращения утечки дан- ных. Если вы планируете использовать DLP исклю- чительно в пассивном режиме, только для мониторинга событий, связанных с возможной утечкой информации, то можно рассматривать UAM-решения как альтернативу такому внедрению. – Если сохранять в централизованном архиве весь поток данных, это приводит к попаданию в него личных данных сотрудников. Законны ли и допустимы ли их сбор и хранение в архивах? Как решать эту проблему? Сергей Вахонин – Во многих странах хра- нение личных данных сотрудников в корпора- тивных ИС категориче- ски недопустимо, а за доступ служб ИБ к, например, личным фото- графиям могут быть наложены весьма неприятные санкции, и такие прецеденты неоднократно имели место. Принцип невмешательства в личную переписку на Западе является одним из основных факторов при выборе и внедрении DLP- систем. Для решения этой проблемы в DLP-решении должны быть предусмот- рены, во-первых, техническая возмож- ность обрабатывать только те коммуни- кации, в которых выявлены конфиден- циальные корпоративные данные, во- вторых, возможность собирать, обраба- тывать и хранить только эту часть ком- муникаций работника, исключив таким образом проблему сбора и хранения личных коммуникаций организацией. Это реализуется, если в DLP-системе реализована контентная фильтрация потоков данных, когда есть возможность задать политики для детектирования только тех данных, которые непосред- ственно являются корпоративной инфор- мацией, например содержат определен- ные признаки, теги, ключевые слова и выражения, совпадают с шаблонами (цифровыми отпечатками). При коррект- ной работе правил контентной фильтра- ции в реальном времени непосредствен- но на рабочих станциях пользователей (разумеется, при наличии такой функции в DLP-решении) служба ИБ получит воз- можность контролировать содержимое исходящих сообщений и передаваемых (печатаемых, сохраняемых) файлах, а также сохранять в централизованном архиве только значимую для задач без- опасности информацию, не затрагивая личные данные сотрудников. Дмитрий Кандыбович – Для того чтобы вы могли правомерно конт- ролировать сотрудника, вам нужно его деятель- ность, информацию, которую он обрабатыва- ет, технические каналы связи, которые он использует, перевести из разряда личных в служебные. Вы даете человеку бумагу, в которой напи- сано, что на предприятии внедрен режим коммерческой тайны, вы обязаны конт- ролировать документы и от вас этого требует закон. Следует перечислить средства, принадлежащие компании, которые человек использует (Интернет, телефон и пр.), и указать, что в случае попадания личной информации в слу- жебный периметр вы никакой ответ- ственности за это не несете. Эти доку- менты покрывают 99% случаев. Если вы предпринимаете ряд административ- ных мер, то пользоваться DLP или систе- мой мониторинга становится абсолютно правомочно и легально. Александр Ковалёв – Это сложный вопрос, и ответ на него лучше адресовать корпоратив- ным юристам до или во время внедрения DLP. Чисто технически можно ограничить сбор персо- нальных данных (не сохранять их в архив, маскировать, токенизировать или вырезать в автоматическом режиме), контроль потенциально только личных каналов передачи и т.п., но в таком слу- чае не будет доказательной базы. Алексей Кубарев – Решать эту проблему можно лишь путем леги- тимизации использова- ния DLP-систем в ком- пании. Если ввести режим коммерческой тайны, подписать с сотрудником соответствующее допол- 34 • СПЕЦПРОЕКТ Партнер "Круглого стола" www.rt-solar.ru