Користувацька класифікація даних: як співробітники допомагають забезпечити безпеку файлів

Користувацька класифікація даних: як співробітники допомагають забезпечити безпеку файлів

Витік даних є болючим для будь-якої компанії. Питання не лише у можливих фінансових втратах, а й у негативному впливі на репутацію, на відносини з контрагентами тощо. Тому одним із пріоритетних завдань інформаційної безпеки є мінімізація подібних ризиків.

Витік сам по собі можливий внаслідок низки причин: хакерської атаки, крадіжки або втрати пристрою з даними, навмисних шкідливих дій користувачів, а також безвідповідального відношення або помилок, вчинених тими самими користувачами.

І, як показує практика, близько 80% — це якраз два останні випадки: навмисне «зливання», випадкове відправлення на помилковий e-mail, інші інциденти, що випливають з незнання правил роботи з персональними даними та конфіденційною інформацією. Не можна недооцінювати і фактор хакерських атак — з кожним днем ​​їхня кількість і складність лише зростають.

Класичною помилкою є розрахунок на те що, лише впровадивши якусь певну технологію, можна зупинити витік даних. Або що назначений співробітник (або навіть відділ) інформаційної безпеки може впоратися із цим завданням.

Тож яким має бути сучасний підхід до захисту від витоку даних, чому важливо приділяти увагу інформаційній безпеці та як це працює на практиці? Давайте розбиратися.

Що таке інформаційна безпека і яка роль співробітників у ній

Інформаційна безпека (ІБ) — це процес, і без залучення співробітників, які безпосередньо виступають у ролі власників інформації, створення цілісної системи може перетворитися на нетривіальне завдання.

Спочатку бізнес повинен визначити, якими типами чутливих даних оперує у межах своєї діяльності (конфіденційні, службові, персональні тощо) і хто з персоналу компанії повинен мати доступ до них для виконання своїх службових завдань.

Наступним кроком потрібно регламентувати правила роботи з такими типами даних (призначення рівня конфіденційності, правил зберігання та передачі тощо). Після цього починається найскладніша частина: користувачів з доступом до перелічених типів даних необхідно проінформувати про правила роботи з ними, навчити обов’язкових процедур (класифікації даних, роботі з ними на кожному етапі життєвого циклу) та впровадити контроль виконання цих процедур з боку інформаційної безпеки.

Ключовий момент тут — якщо певний користувач створює файл і включає туди відому йому конфіденційну інформацію, тоді саме цей користувач, як власник файлу, зобов’язаний поставити відповідну позначку про рівень конфіденційності. Реалізувати такий підхід можливо за допомогою рішень для користувацької класифікації даних, наприклад Boldon James або Titus.

Інформаційна безпека повинна контролювати коректність класифікації даних, призначеної користувачами. І, залежно від вказаного рівня конфіденційності даних, забезпечувати сервіс їх захисту (в т.ч. за допомогою Data Loss Prevention-технологій, шифрування, розмежування доступів тощо).

Саме безпосередня участь авторів файлів у забезпеченні безпеки дозволяє зберегти конфіденційну інформацію та не поставити на паузу важливі процеси компанії. Наприклад, важливе креслення або звіт може вийти за межі компанії, оскільки ІБ-департамент був не в курсі його справжньої цінності. Користувацька класифікація даних дозволяє знизити ризик виникнення таких ситуацій практично до нуля.

Підходи до користувацької класифікації даних

Більшість компаній довіряють своїм співробітникам, а співробітники, своєю чергою, виправдовують цю довіру. Але іноді буває такий собі «ефект метелика», коли натискання на одну зайву кнопку може серйозно уповільнити весь бізнес-процес компанії. Найчастіше це відбувається через незнання — коли, наприклад, ІБ-фахівець не розцінив якийсь файл як важливий. Щоб запобігти таким ситуаціям, потрібне втручання автора файлу. І тут на допомогу приходить користувацька класифікація даних.

Нижче ми розберемо кілька принципів, за якими працює класифікація даних від Boldon James.

Принцип «світлофор» — зелений, жовтий, червоний

Зелений — публічна інформація. Залучаємо співробітника до процесу документообігу. Така мітка ні до чого не зобов’язує, але привчає співробітників дотримуватися корпоративних стандартів.

Жовтий — службова інформація. Витік цих документів — приземлений ризик. Дана опція дозволяє в майбутньому закручувати гайки та розділити особисті документи та службові.

Червоний — критична інформація. Ця позначка дозволяє фокусно захистити документ від витоку. Приклад із практики: саме співробітник-автор документа має поставити червону мітку на файл «закупівля 200 тонн алюмінію.docx» та нести за нього відповідальність, а не співробітник інформаційної безпеки.

Підхід «Корпоративний шаблон»

• Фінансова компанія. Мітки, розділені за регуляціями GDPR, PCI\DSS
• Фармацевтика. Мітки — це номенклатура ліків та персональні мітки відповідальних осіб за візування відвантажень
• Виробництво. Мітки — це інтелектуальна власність, номенклатура документів за рівнем значущості

Як працює рішення для користувацької класифікації даних

Програма, встановлена ​​на пристрій співробітника, дає можливість «бачити» рівень конфіденційності того чи іншого файлу — тобто, з’являється візуалізація мітки на документі.

Користувач може змінити мітку за рівнем конфіденційності — наприклад, з червоної на зелену, тим самим знизивши рівень ’Critical’ до рівня ’Public’.

Середовища, що підтримуються:

• Офісний набір Microsoft: Word, Excel, PowerPoint, Visio — візуалізація мітки у відкритому вікні програми
• Офісний набір від Opensource community: Open office
• Поштові клієнти: Microsoft Outlook, Lotus Notes
• Windows (натискання правої кнопки миші та встановлення мітки на будь-який тип файлу)
• Web-версія офісного набору Microsoft

Технічна сторона користувацької класифікації

За допомогою програми співробітнику можна делегувати право виставляти мітку і при цьому коригувати його дії.

Популярні Use Cases:

• Класифікація електронної пошти, а також вкладень у листи — автопідвищення мітки листа, якщо вкладення критичне

• Класифікатор підтримує пакет Microsoft Office, включаючи Word, PowerPoint, Excel, Visio та Project, AutoCad. Візуалізація у вигляді водяних знаків та логотипів на документах

• Класифікатор підтримує кілька мов. Автовиставлення Червоної мітки (top secret), якщо у документі зустрічаються певні слова будь-якими мовами: секретно, таємниця, secret тощо
• Класифікатор надає допомогу для вибору правильного рівня класифікації перед відправкою чи збереженням. У разі спрацювання понад двох шаблонів, виводить вікно підказки користувачеві з кнопкою за рівнем мітки — на вибір
• Актуальність інформації. Зниження рівня мітки з «критично» до «службово» через певний період
• Примусова класифікація. Обмежити користувача у можливості здійснювати документообіг файлами без міток або, як мінімум, вимагати виставлення мітки публічно

З чим можна інтегрувати рішення такого класу?

• DLP. Технічні засоби класу DLP добре інтегруються з користувацькою класифікацією, що дозволяє суттєво знизити false-positive спрацьовування. У рішень від Boldon James та Titus можлива нативна інтеграція з DLP, наприклад, Digital Guardian, Trellix (McAfee) та іншими
• SIEM-системами. Є можливість відстежити траєкторію зміни мітки на файлі шляхом інтеграції в центральний log management
• Firewall L7. Дозволяє відстежувати трафік, який містить конфіденційну інформацію на основі візуальних міток
• DRM. Клас програм, який забезпечує додатковий захист для конфіденційної інформації завдяки цифровому підпису

Висновки

Користувацька класифікація даних дозволяє якісно навчити співробітників процедур роботи з конфіденційними даними. Більш того, користувачі фактично становляться учасниками процесу захисту файлів. Завдяки цьому ймовірність помилки мінімізується, можливість зловживання стає складнішою та ризикованою, а ефективність роботи впроваджених технологій захисту даних різко збільшується.

Зрозуміло, це не весь шлях, який потрібно пройти бізнесу для ефективного захисту даних. Користувацька класифікація — це тільки його початок.

Про інші етапи захисту даних ми поговоримо у наступних статтях.