Журнал "Information Security/ Информационная безопасность" #3, 2025

DCAP "СёрчИнформ FileAuditor" опирается на контентную классификацию файлов. Поэтому блокирует доступ не к конкретным объ- ектам в директориях, а ко всем документам с выбран- ным содержимым. Распределить доступы пользователей так, чтобы они раз и навсегда соответ- ствовали идеальной матри- це – идея утопическая. Однако с комбинацией инструментов – от классиче- ских средств до DLP и DCAP – можно добиться оптималь- ного результата и соблюсти баланс между безопас- ностью и удобством для биз- неса. Попробуйте связку продуктов "СёрчИнформ" – это бесплатно на 30 дней. Шаг 2. Навести порядок По результатам аудита ИБ- специалисту нужно: l Исключить избыточные досту- пы к данным. Например, если сотрудник не обращался к открытой для него папке боль- ше года или папка "Для руко- водства" по ошибке открыта стажерам кол-центра. l Устранить мертвые души. Например, активные учетки уво- ленных сотрудников. l Оптимизировать дисковое пространство: архивировать или удалить ползучие бэкапы и ненужные тяжелые файлы. Например, мультимедиа и игры, которые сотрудники хранят на рабочих ПК. Выявленные проблемы хра- нения и распределения прав можно точечно исправить прямо в интерфейсе программы. Например, переназначить права на папку или файл. Но если требуется большая работа, лучше вести ее в контроллере домена. В этом случае DCAP подстрахует от злоупотребле- ний суперпользователей. FileAuditor интегрирован с Active Directory и контролирует дей- ствия администраторов по соз- данию учеток, выдаче прав и т.д. Можно настроить уведом- ления на критичные действия, чтобы ИБ-специалист вовремя узнал об ошибке и успел ее исправить. Шаг 3. Исключить риски Даже когда права в домене распределены должным обра- зом, остаются уязвимости. Вот с чем это связано. 1. Стандартные средства управления правами позволяют открыть пользователю разные виды доступа. Например, раз- решить запуск и чтение файла, но запретить запись и сохране- ние. Но даже если доступ к файлу закрыт, оказавшись в папке, пользователь может просто перенести его в другое место – там запреты действо- вать не будут. Другой пример: открыв файл, который ему запрещено редактировать, пользователь спокойно скопи- рует его содержимое. 2. Пользователи с легитим- ным доступом могут распоря- диться им неправильно. Стан- дартные средства не предусмат- ривают сценариев, когда сотруднику можно работать с файлом, но нельзя его "рас- шаривать" коллегам или отправ- лять за пределы компании. Поэтому для подстраховки нужны жесткие и контролируе- мые сценарии работы с данны- ми. Отладить их помогают бло- кировки в DCAP и DLP. DCAP "СёрчИнформ FileAudi- tor" опирается на контентную классификацию файлов. Поэто- му блокирует доступ не к кон- кретным объектам в директо- риях, а ко всем документам с выбранным содержимым. Кроме того, система опреде- ляет, в каких приложениях поль- зователи могут работать с таки- ми файлами. Благодаря этому, например, работа с данными клиентов вне зависимости от их расположения будет доступ- на только пользователям из группы "Сейл-менеджеры". У всех остальных они просто не откроются. А сами "сейлы" не смогут прикрепить клиент- скую базу в почте, мессенджере или отправить в облако, чтобы снизить риск утечки. DLP и вовсе минимизирует риски. Такие системы контро- лируют каналы передачи информации, в том числе внут- ри компании. Это исключает и сливы конкурентам, и пере- сылку данных из "закрытой" папки коллегам без доступа. Кроме того, DLP работают там, где управление доменными правами бессильно. Например, DLP "СёрчИнформ КИБ" 2 запре- тит распечатку документов, их запись на флешки и в буфер обмена. Заодно система поз- воляет подстраховаться от зло- употреблений внутри корпора- тивных хранилищ. Например, запретить запись в общие папки файлов с конфиденци- альным контентом. Защитить папку на локальном ПК ото всех пользователей, кроме выбранного, – даже от админи- страторов с неограниченными правами. Или вовсе отключить кому-либо доступ к сетевым папкам как к внешнему устрой- ству. Шаг 4. Учесть потребности Чтобы налаженная система доступов оставалась гибкой, ИБ-специалисту нужно опера- тивно подстраиваться под изме- нения в компании. Невозможно заранее предусмотреть все варианты, когда понадобится расширить права кому-либо из пользователей. Но можно облегчить работу с этими исключениями. Например, поз- волив сотрудникам прямо запрашивать их у ИБ, как толь- ко возникнет необходимость. В системах "СёрчИнформ" есть интерфейс пользователя, с помощью которого сотрудники получают уведомления о дей- ствующих запретах и сработав- ших блокировках. Если кому- либо понадобился доступ к "закрытому" файлу, папке или устройству, он может сформи- ровать запрос и обосновать свою потребность – например, задачей от руководства. ИБ-специалист получает запрос сразу и принимает решение: какие операции с объектом разрешить сотруд- нику и на какое время. Работу пользователя с предоставлен- ными разрешениями можно проконтролировать – КИБ поз- воляет в реальном времени просматривать происходящее на его экране. Это удобно, чтобы не разби- раться с бесконечными исклю- чениями в AD, а по истечении заданного периода все запреты восстановятся. При этом сотруд- ники смогут беспрепятственно выполнять свою работу. А если что-то пойдет не так, пока доступ предоставлен, его можно тут же отозвать. Что в итоге? Распределить доступы поль- зователей так, чтобы они раз и навсегда соответствовали идеальной матрице – идея уто- пическая. Однако с комбинаци- ей инструментов – от классиче- ских средств до DLP и DCAP – можно добиться оптимального результата и соблюсти баланс между безопасностью и удоб- ством для бизнеса. DCAP-система поможет навести порядок в корпора- тивных хранилищах, обнару- жить и устранить огрехи в рас- пределении прав. DLP про- контролирует, как это работа- ет, и застрахует от нарушений. Вместе системы сформируют сценарии безопасной работы с данными для всех сотрудни- ков с учетом их реальных потребностей и полномочий в компании. l • 25 DLP + DCAP www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ СЁРЧИНФОРМ см. стр. 76 NM Реклама 2 https://searchinform.ru/products/kib/ SearchInform КИБ