Журнал "Information Security/ Информационная безопасность" #2, 2026

Шаг 5. Отчет администратору. Ска- нер формирует классифицированные перечни: файлы, которые стоит защи- тить, удалить или переместить в конт- ролируемое хранилище. Для самых важ- ных документов администратор уста- навливает метки – после этого DLP- модуль контролирует и блокирует все операции с ними (копирование, пере- дача, изменение). Чтобы не нагружать основную инфра- структуру, анализ лучше вынести на отдельный сервер. Он работает в авто- матическом режиме, сканируя указан- ные директории и форматы, а резуль- таты отображаются в общей консоли вместе с событиями DLP. Такой подход позволяет совмещать контроль движе- ния файлов и контроль информации в покое без потери производительности. Глубина анализа: форматы, содержание, категории Как уже сказано выше, файловый сканер анализирует не только имя и рас- ширение, но и содержимое – поиск важных файлов ведется по трем направ- лениям. Такой подход называется углуб- ленным анализом (в отличие от поверх- ностной проверки по имени или типу файла). В таблице мы собрали шпар- галку для настройки самых простых правил. В процессе аудита самой информации можно настроить более эффективные инструменты. Что делать с результатами сканирования? Отчет сканера – не просто список плохо лежащих файлов. Это дорожная карта для точечных или глобальных улучшений инфобезопасности. Вот несколько примеров, что на практике можно сделать с полученной информа- цией. 1. Выявить неправомерный доступ. Сканер показывает документы, которые хранятся не на своем месте и доступны не тем пользователям. Например, файл с персональными данными на локаль- ном диске бухгалтера с открытыми пра- вами на чтение для всех. Возможное решение: переместить файл на защи- щенный сервер, настроить доступ по принципу минимальных привилегий или удалить копию. 2. Обнаружить небезопасное хра- нение. Открытые сетевые папки, локальные диски без шифрования, забытые расшаренные ресурсы – все это попадает в отчет с конкретными адресами (папка X на компьютере Y). Возможное решение: закрыть общий доступ, включить шифрование диска или перенести данные в контролируе- мое хранилище. 3. Пересмотреть политики безопас- ности. Теоретические правила часто расходятся с реальностью: например, чертежи положено хранить только в защищенном хранилище, а инженеры годами держат их на рабочих столах. Возможное решение: скорректировать политику (если хранение на рабочих сто- лах допустимо с дополнительными мера- ми) или изменить поведение сотрудников через контроль и обучение. 4. Изменить внутренние процессы. Массовое хранение паролей в тексто- вых файлах – сигнал к изменению рабо- чих практик. Финансовые отчеты на общем файловом ресурсе – повод пере- смотреть регламенты. Возможное реше- ние: внедрить корпоративный менеджер паролей, ввести обязательное шифро- вание для финансовых документов, настроить автоматическую очистку загрузок. 5. Взять под контроль критически важные файлы. Самые ценные доку- менты (чертежи, исходные коды, базы персональных данных) администратор помечает метками. Возможное решение: после установки меток DLP-модуль начинает отслеживать каждое движение файла: кто открыл, скопировал, отпра- вил по почте или на флешку. Заключение Информация в состоянии покоя оста- ется за пределами внимания большин- ства DLP-систем: они следят за движе- нием файлов, но не проверяют то, что годами хранится на дисках. Между тем именно такие забытые файлы нередко становятся источником серьезных инци- дентов – от утечки персональных дан- ных до компрометации учетных записей и обхода механизмов защиты. Файло- вый сканер как раз закрывает этот пробел: он позволяет обнаружить доку- менты, о которых служба ИБ могла даже не догадываться, выявить небез- опасные практики хранения данных и взять под контроль критически важную информацию еще до ее выхода за пре- делы компании. Файловый сканер – это новый компо- нент Staffcop 1 , ориентированный на контроль информации в режиме покоя. Он устанавливается отдельно, но рабо- тает в единой веб-консоли со Staffcop и использует общую систему управления и анализа событий. Такой подход поз- воляет объединить два сценария защи- ты: контроль того, какие данные уже находятся внутри инфраструктуры, и контроль их дальнейшего перемещения. В результате служба ИБ получает более полную картину обращения с инфор- мацией: где хранятся чувствительные файлы, кто с ними работает, как они перемещаются и какие действия тре- буют дополнительного контроля или ограничений. l • 65 ТЕХНОЛОГИИ www.itsec.ru Реклама. 16+. АО "ПФ "СКБ Контур". ОГРН 1026605606620, 620144, Екатеринбург, ул. Народной Воли, 19А Что ищем Признаки и шаблоны Назначение Паспорт- ные дан- ные (РФ) Шаблон: \b\d{4}\s?\d{6}\b (серия и номер), ключевые слова: "паспорт выдан", "код подразделения" Обнаружить незаконное хране- ние ПДн на локальных дисках СНИЛС Шаблон: \b\d{3}-?\d{3}-?\d{3}\s?\d{2}\b (гиб- кий – с дефисами и без) Идентифицировать страховые номера в любых документах Банков- ские карты Маски: \b4\d{15}\b (Visa), \b5[1-5]\d{14}\b (MasterCard) с границами слова Найти платежные данные в текстовых файлах и логах Пароли Ключевые слова: "пароль", "password", "passw", "login", "pwd", "secret" + морфоло- гия ("пароли", "паролем", "пароля") Для поиска паролей также используются регулярные выражения или просто списки популярных паролей Обнаружить текстовые файлы с учетными данными на рабо- чих столах Финансо- вые доку- менты Слова: "счет-фактура", "ИНН", "КПП", "ОГРН", "сумма НДС", "акт сверки", "пла- тежное поручение" Найти бухгалтерские отчеты в общих папках Исходный код Ключевые слова языков: function, class, def, SELECT, <?php, #include, import Распознать код, даже пере- именованный в .txt или .doc Вредонос- ные скрип- ты Вызовы: cmd.exe, powershell -enc, wget, Invoke-WebRequest, base64, eval Найти скрипты, замаскирован- ные под документы Чертежи / CAD Расширения: .dwg, .stp, .step, .sldprt. Ключевые слова в сопровождающей документации: "спецификация", "позиция", "деталь", "сборочный чертеж" Контроль инженерной доку- ментации на локальных дисках Табл. Шпаргалка для настройки простых правил анализа файлов 1 https://www.staffcop.ru/