Журнал "Information Security/ Информационная безопасность" #5, 2018

После идентификации информационных активов и классификации данных ста- новится возможным опреде- ление бизнес-ориентирован- ных правил управления этими данными для каждой категории информации. Каждый проект внедре- ния PSS предполагает не только развертывание само- го ПО, но и существенную часть работ, направленных на обследование бизнес- процессов, в рамках кото- рых ведется обработка цен- ной информации в элек- тронном виде и последую- щее построение модели ее защиты. Реализация режи- ма конфиденциальности в отношении информации в электронной форме должна основываться на методоло- гии управления рисками, учитывающей бизнес-требо- вания. l соответствие требованиям регуляторов; l усиление традиционных мер защиты информации. – Вы многократно упо- минали о Data-Centric Securiry. Не могли бы вы подробнее пояснить суть этого подхода и поделить- ся опытом его реализации на практике? – В основе нашего подхода к защите ценных данных лежит методология DCSM (Data Centric Security Model), или информа- ционноцентричная модель без- опасности, основной фокус которой нацелен на обеспече- ние данных соответствующим уровнем безопасности в зави- симости от их бизнес-ценности. Существует несколько класси- фикаций бизнес-информации в зависимости от ее ценности и вовлеченности в бизнес-про- цесс, где она обрабатывается. Такая классификация позво- ляет динамически управлять полномочиями как пользовате- лей, так и приложений (процес- сов). Внедрение подхода DCSM начинается с формирования набора руководящих принципов корпоративной обработки дан- ных, которые, в свою очередь, определяют политики безопас- ности и сервисы ИБ, необходи- мые для поддержки этих руко- водящих принципов. После идентификации инфор- мационных активов и классифи- кации данных становится воз- можным определение бизнес- ориентированных правил управ- ления этими данными для каждой категории информации. Допу- стимые действия с классифици- рованными данными суммируют- ся в политики, определяющие все аспекты использования защищаемых данных в процес- сах их создания, обработки, хра- нения и передачи, на всем про- тяжении их жизненного цикла, от создания до утраты полезно- сти. Эти политики транслируются в настройки ИБ-сервисов и при- кладные пользовательские системы, образуя прочную связь между бизнесом и ИТ-техноло- гиями, которые теперь могут быть сфокусированно применены в необходимом контексте. Реализуя ядро концепции DCSM, наш программный ком- плекс Perimetrix SafeSpace (PSS) обеспечивает классификацию ценных данных и соблюдение устанавливаемых правил работы с данными, динамически конт- ролируя и ограничивая отступ- ления от этих правил. Любые действия пользователей и про- цессов, так или иначе не уклады- вающиеся в рамки разрешений, блокируются, и, таким образом, защищаемые данные могут существовать и использоваться только в пределах четко опре- деленного периметра. Каждый проект внедрения PSS предполагает не только развертывание самого ПО, но и существенную часть работ, направленных на обследование бизнес-процессов, в рамках которых ведется обработка цен- ной информации в электронном виде и последующее построе- ние модели ее защиты. Реали- зация режима конфиденциаль- ности в отношении информации в электронной форме должна основываться на методологии управления рисками, учитываю- щей бизнес-требования, что предполагает приоритетное обеспечение конфиденциально- сти данных в тех рабочих про- цессах, где ее нарушение может нанести наибольший ущерб компании. Как правило, такими рабочими процессами являются конфиденциальный документо- оборот, внутрикорпоративная переписка по электронной почте, обработка данных в системе управления персона- лом, финансовых и конструк- торских данных разрабатывае- мых приборов и изделий, ноу- хау, схемы и методики про- изводственных технологических процессов и т.д. Порядок анализа рабочих процессов нами проработан достаточно подробно. Мы не только выделяем подпроцессы, происходящие непосредственно в электронной среде, но и при- нимаем во внимание требуемые ограничения по работе с кон- фиденциальной информацией до и после ее преобразования в электронный вид. Результатом консалтинговой части проекта является детальная модель защиты информации, в которой описывается планируемая клас- сификация защищаемых элек- тронных данных и порядок нане- сения на них неотрывных клас- сификационных меток, допусти- мые места и форматы хранения защищаемых данных, допусти- мые приложения для обработки, каналы их передачи и правила преобразования из электронной формы в иные физические. Кроме того, в модели защиты определяются полномочия поль- зователей по работе с элек- тронными конфиденциальными данными в тех или иных рабо- чих процессах. Модель защиты затем транс- лируется во внутренние настрой- ки программного комплекса. Так мы реализуем информационно- центричный подход к защите, в котором характер и ценность бизнес-данных определяют политики безопасности, реали- зуемые непосредственно в элек- тронной среде. – Насколько установка вашего ПО помешает рабо- те пользователей? Не помешают ли ограничения и блокировки привычной работе? – Во-первых, ограничитель- ные политики не являются искусственно надуманными, они лишь реализуют те требования безопасности, которые ответ- ственный пользователь и ранее должен был соблюдать. А во- вторых, появление небольшой оранжевой метки на электрон- ных конфиденциальных данных облегчит работу пользователей, избавив их от типовых страхов. Увидев на экране рабочего места файл с защищенной мет- кой, работник будет знать: файл лежит там, где ему разрешено быть, и ни в каких других местах корпоративной сети, его не откроет никто, кроме уполно- моченных лиц, имеющих необходимый допуск, его слу- чайно или злонамеренно не ско- пируют на флешку, не отправят по почте, не выложат в облако, не вытащат из него текст, чтобы переслать сообщением, все дей- ствия с ним учтены и известны. В этом вся разница между работой с конфиденциальными данными и с обычными. l • 47 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Системы EDRM (Enterprise Digital Rights Management) позволяют контролировать доступ к данным: все документы шифруются, при этом ключи для расшиф- ровки находятся на сервере и для получения доступа к ключам/серверу необходимо пройти аутентифика- цию. Что касается клиентских приложений (MS Word, Adobe Acrobat Reader и т.д.), то они работают под управлением агента EDRM, который гарантирует права использования документов. Классическим при- мером необходимости использования EDRM является защита конструкторской документации.