Руслан Рахметов, Security Vision
В предыдущей статье мы рассказали о решениях класса DCAP. Раскрывая тему защиты данных, сегодня расскажем про датацентричный подход к кибербезопасности, про процессы управления данными и методы их защиты.
В современных средних и крупных компаниях цифровизация бизнес-процессов достигла уровня, при котором кибербезопасность является одним из главных приоритетов и условием успешного развития бизнеса. В традиционной экономике, до четвертой промышленной революции, главными ценностями компании были физические активы - здания, техника, станки, материал, продукция. Сейчас всё чаще главными активами становятся цифровые объекты - данные, приложения, информационные системы, а также бизнес-процессы, которые тоже зачастую зависят от ИТ-инфраструктуры. Объекты кибернападения и киберзащиты - это люди, процессы, технологии и данные, которые связывают воедино первые три элемента. Всё более актуальными становятся задачи обеспечения информационной безопасности данных - их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, подлинности, достоверности.
В современной кибербезопасности можно условно выделить несколько подходов:
1. Активоцентричный - классический подход, в фокусе внимания которого находятся информационные системы, бизнес-процессы, приложения и сервисы, которые помогают бизнесу генерировать прибыль и выполнять миссию компании;
2. Инцидентоцентричный - более современный подход, в рамках которого процессы ИБ выстроены для недопущения критичных киберинцидентов (т.н. недопустимых событий);
3. Датацентричный - подход, при котором основное внимание уделяется защите данных при их обработке (включая создание, хранение, использование, передачу, изменение, удаление и т.д.).
В 2010-х годах ИБ-эксперты начали говорить про необходимость использования датацентричного подхода (data-centric security) вместо классической модели сетевой безопасности (network-centric security), обладающей определенными недостатками: распространение облачных инфраструктур и удаленной работы не позволяло эффективно защищать размытый сетевой периметр, а возможность несанкционированного доступа к данным со стороны сотрудников и ИТ-администраторов приводила к утечкам и никак не закрывалась классическими СЗИ. Датацентричный подход начал применяться в компаниях, основной ценностью которых являются именно данные - например, исходный код программных продуктов, чертежи, схемы, топологии микросхем, формулы (математические, физические, химические), персональные данные клиентов, платежная информация, объекты интеллектуальной собственности, Big Data. Кроме того, интерес к датацентричному подходу и спрос на соответствующие средства защиты подстегивают и строгие законодательные нормы в отношении обработки персональных данных (152-ФЗ, GDPR, HIPAA, CCPA), финансовой информации и данных платежных карт (ГОСТ Р 57580.1-2017, PCI DSS, Положения ЦБ РФ №672-П, №719-П), коммерческой тайны (98-ФЗ).
В зарубежной литературе часто встречается понятие управления данными (англ. Data Governance), которое означает набор процессов для управления данными и модель управления данными, включающую в себя полномочия, управление, параметры принятия решений в отношении данных, которые создаются или управляются компанией. В отношении управления данными приняты несколько уровней зрелости для компаний:
1. Data-informed (или Data-aware) - компания собирает данные, упорядочивает и документирует процессы их обработки, а сотрудники знают, где хранятся данными и как можно их использовать, при этом бизнес-решения не принимаются на основе имеющихся данных;
2. Data-driven - компания применяет Data Science (работает с Big Data), использует обрабатываемые данные для принятия решений и для планирования своего развития;
3. Data-centric - обработка Big Data является ядром бизнеса, результаты обработки непосредственно влияют на принимаемые бизнес-решения.
Для выстраивания процесса управления данными следует выполнить два блока задач:
1. Классификация данных, в рамках которой следует ответить на вопросы:
· Откуда появились данные?
· Кто является владельцем данных?
· Кто контролирует данные?
· Где и кого данных хранятся?
· Каков тип этих данных?
2. Формирование корпоративных требований по защите данных, в рамках которого для каждого из классов данных следует ответить на вопросы:
· Кто (что) может использовать данные, как именно, с какой целью, при каких условиях?
· Где и как долго будут храниться данные?
· Как нужно защищать данные (при передаче, использовании, хранении, резервном копировании)?
· Можно ли раскрывать данные, в каком объеме, с какими мерами предосторожности, нужно ли предварительно преобразовать данные или установить специальные метки?
После классификации данных и формирования требований по их защите, можно перейти к разработке корпоративных политик и правил управления данными, которые должны учитывать требования законодательства и бизнеса, а также должны содержать требования к аутентификации пользователей и ролей в бизнес-приложениях и правила доступа бизнес-приложений к данным.
Существует пять основных моделей управления данными, которые отличаются методами формирования политик и правил управления данными:
1. Top-down (сверху вниз) - руководители компании формируют политики управления данными и передают их в бизнес-подразделения для выполнения;
2. Bottom-up (снизу вверх) - сотрудники на местах формируют практику работы с данными и передают свои наработки руководству;
3. Center-out (центробежная) - выделенная группа экспертов формирует корпоративные стандарты для работы с данными;
4. Silo-in (центростремительная) - представители различных подразделений компании коллективно формируют правила работы с данными;
5. Hybrid (гибридная) - совместное использование перечисленных моделей сотрудниками на разных уровнях иерархии в компании.
Для реализации описанных моделей разработаны несколько фреймворков управления данными, например:
· DGI Data Governance Framework (фреймворк управления данными);
· Data Management Body of Knowledge (DAMA-DMBOK, база знаний по управлению данными);
· Data Management Capability Assessment Model (модель оценки уровня возможностей управления данными).
Для защиты данных применяются следующие меры:
1. Организационные:
· Классификация данных;
· Формирование корпоративных требований по защите данных;
· Разработка корпоративных политик и правил управления данными;
· Введение и поддержание режима коммерческой тайны (в соответствии с требованиями 98-ФЗ);
· Разработка пакета ОРД по защите ПДн (в соответствии с требованиями 152-ФЗ);
· Разработка пакета ОРД по защите финансовой информации и данных платежных карт (в соответствии с требованиями стандартов ГОСТ Р 57580.1-2017 и PCI DSS, Положений ЦБ РФ №672-П и №719-П).
2. Технические:
· Обнаружение (инвентаризация) данных;
· Классификация данных (на основе контентного и контекстного анализа, анализа метаданных);
· Разделение полномочий (separation of duties);
· Реализация принципа наименьших привилегий (principle of least privilege);
· Предоставление доступа к данным только при наличии обоснования и согласования на ознакомление с данными, использование и хранение данных, подключение к информационной системе (need to know, need to use, need to store, need to connect);
· Актуализация прав доступа к данным;
· Ограничение доступа к данным по времени;
· Сегментирование и контроль доступа к данным с использованием подхода "Zero Trust";
· Применение шифрования при хранении, передаче, использовании данных (data at rest, data in transit, data in use), в частности использование методов гомоморфного и прозрачного шифрования данных;
· Применение методов статического и динамического маскирования, токенизации, анонимизации данных (masking / obfuscation, tokenization, anonymization);
· Обеспечение мониторинга и аудита всех операций с данными;
· Создание резервных копий, шифрование носителей информации с резервными копиями;
· Надежное (гарантированное) удаление, стирание, уничтожение данных и носителей информации.
3. Физические:
· Обеспечение контроля и учета доступа в помещения, в которых производится обработка данных;
· Защита, учет, контроль перемещения носителей информации, включая съемные носители информации, мобильные устройства, рабочие станции, серверы, объекты ЦОД, кассеты ленточных накопителей с резервными копиями.
Для реализации технических мер защиты данных применяются следующие классы СЗИ:
· DCAP - Data-Centric Audit and Protection, системы датацентричного аудита и защиты;
· DAG - Data Access Governance, системы управления доступом к данным;
· DLP - Data Leak/Leakage/Loss Prevention, системы предотвращения утечек/потери данных;
· RMS - Rights Management Services, службы управления правами доступа;
· DSPM - Data Security Posture Management, системы управления состоянием безопасности данных;
· UDM - Unstructured Data Management, системы управления неструктурированными данными;
· DSG - Data Security Governance, системы управления безопасностью данных.
Одними из наиболее продвинутых систем для защиты и управления данными на сегодняшний день являются системы класса DCAP, которые обладают следующими характеристиками:
· Анализ содержимого файлов, контентное разграничение доступа;
· Аудит прав доступа (построение списка доступных объектов для каждого субъекта, построение списка субъектов доступа для каждого объекта);
· Аудит доступа к определенным типам данных (например, к персональным данным, коммерческой тайне);
· Контроль прав доступа, уменьшение количества избыточных прав;
· Выявление владельцев файлов (например, по частоте обращения);
· Ведение истории файлов (кем и когда был создан, как изменялся, кем и когда был удален);
· Поиск всех объектов (файлов), содержащих определенные данные (например, персональные данные конкретного клиента);
· Дедупликация данных (например, для экономии дискового пространства, для создания резервных копий меньшего объема);
· Контроль работы систем ИИ с данными (к каким данным ИИ получает доступ, какие данные загружаются в LLM, классификация генерируемых ИИ данных, контроль промптов на наличие конфиденциальной информации, выявление аккаунтов ИИ и copilot-пользователей с доступом к конфиденциальной информации, выявление аномалий в действиях ИИ по отношению к данным);
· Выявление аномалий и несанкционированных действий, блокирование вредоносных действий (например, блокирование учетной записи или перевод её в режим «только чтение» в случае подозрения на заражение вирусом-шифровальщиком).
Системы класса DCAP могут быть востребованы при решении, например, следующих практических кейсов:
· Наведение порядка в работе с данными - структурирование содержимого файловых хранилищ, выявление конфиденциальных данных, определение эффективных права доступа пользователей;
· Противодействие кибершпионажу - предотвращение, выявление и расследование инцидентов, связанных с действиями инсайдеров и вирусов-шпионов (spyware);
· Борьба с шифровальщиками - предотвращение, выявление и расследование кибератак с использованием вирусов-шифровальщиков (ransomware);
· Защита коммерческой тайны - выявление всех мест хранения сведений, составляющих коммерческую тайну, и определение пользователей, обращавшихся к определенным файлам в заданные временные промежутки;
· Выполнение требований законодательства - удаление всей информации, относящейся к определенному субъекту персональных данных, который подал соответствующий запрос.
Среди зарубежных систем класса DAG/DCAP можно отметить следующие продукты:
· IBM Guardium Data Protection
· Imperva Data Security Fabric
· Microsoft Purview
· Netwrix Enterprise Auditor
· SailPoint Data Access Security
· Varonis Data Security Platform
· Veritas Data Insight
Среди российских систем класса DAG/DCAP можно отметить следующие продукты:
· CTSG Docs Security Suite
· Cyberpeak Спектр
· InfoWatch Data Discovery
· Makves DCAP
· Solar DAG
· Zecurion DCAP
· Гарда DCAP
· Орлан.DCAP
· СёрчИнформ FileAuditor
