Журнал "Information Security/ Информационная безопасность" #3, 2024

В России традиционно системы использовали в "закрытом" режиме, ограничиваясь документаль- ным уведомлением коллек- тива о применении средств защиты. Осведомленность пер- сонала об угрозах и пра- вилах ИБ снижает коли- чество случайных инци- дентов, а тренинги и уче- ния – это хорошая мера ИБ-ликбеза, хотя и ресурсозатратная. Повы- шать киберграмотность можно и в "фоновом" режиме, и эту задачу решают привычные автомати- зированные средства защиты данных, такие как DLP-система. Какие инструменты для этого пригодятся? Почему DLP Основная задача DLP- систем – предотвращать утечки информации. С этой целью они мониторят каналы передачи информации и все действия сотрудников за ПК. Собирают много разнообразных данных: фиксируют все передаваемые сообщения, отправляемые пись- ма, запускаемые программы и сайты и пр., данные о нажатиях клавиатуры, фото экрана или с веб-камеры и т.д. Часть дей- ствий сотрудников система может блокировать. Информа- ция о реакциях DLP может быть полезна сотрудникам, чтобы на реальных примерах обучить их правилам ИБ. За уведомления о работе DLP отвечает пользовательский интерфейс системы на ПК сотрудников, или, как его назы- вают разработчики, GUI – Grap- hic User Interface. Это не самый распространенный в DLP инстру- мент: в России традиционно системы использовали в "закры- том" режиме, ограничиваясь документальным уведомлением коллектива о применении средств защиты. Использование же GUI в рамках "открытого контроля" означает, что сотруд- ники воочию увидят, что о них знает отдел ИБ, какие процессы под контролем, а главное – что можно и нельзя. Таким образом, "открытый" подход решает сразу несколько задач для укрепления ИБ в ком- пании. Во-первых, это постоянно напоминает пользователям, что контроль есть. Во-вторых, пред- упреждает об опасностях и потенциальных нарушениях. В-третьих, позволяет вовлекать их в процесс защиты информа- ции: например, самостоятельно оценивать, насколько оправдан риск отправки конфиденциаль- ного документа за пределы ком- пании, правда ли для выполне- ния задачи нужно подключить сомнительную флешку и т.д. На примере DLP "СёрчИнформ КИБ" покажу, как это работает. Что видит сотрудник "СёрчИнформ КИБ" в откры- том режиме выводит на ПК пользователя окно, в котором отображается список доступ- ных устройств и сетевых папок с документами, а также уве- домления о блокировках досту- па. Эти уведомления можно кастомизировать, от стандарт- ного "доступ запрещен" до под- робного объяснения, почему. Например, стандартную "ошиб- ку" при невозможности открыть документ можно заменить поп- апом с пояснением, что дей- ствия пользователя нарушают корпоративные политики без- опасности. Это понятное и регу- лярное напоминание о прави- 32 • СПЕЦПРОЕКТ "Открытый контроль" как профилактика утечек информации. Что предлагают DLP? сследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший. И Алексей Дрозд, начальник отдела ИБ “СёрчИнформ” Рис. 1. Пример уведомления о блокировке доступа к файлу Изображение: СёрчИнформ