Функциональность DCAP-системы «Спектр» позволяет предотвращать утечки конфиденциальной информации и обеспечивать выполнение требований 152-ФЗ. Расскажем, как DCAP помогает избежать штрафов и позволяет контролировать данные компании и все действия с ними.
- Введение
- Обнаружение мест хранения критически важной информации
- Контроль прав доступа сотрудников и наведение порядка в них
- Аудит действий пользователей и расследование инцидентов
- Автоматизация управления местами хранения критически важных данных
- Комплексный контроль и защита данных, подпадающих под 152-ФЗ
- Выводы
Введение
В октябре 2022 года Минцифры России доработало законопроект об оборотных штрафах за утечки информации и предусмотрело в нём ответственность для должностных лиц. В новом варианте документа появились штрафы для руководителей. Так, главу компании оштрафуют на 200–400 тыс. рублей в том случае, если в широком доступе оказалось 10–100 тыс. строчек. Сейчас в КоАП прописаны штрафы за утечку данных только для юридических лиц, и они весьма скромны. 60–100 тыс. рублей компания должна уплатить при первой утечке, при повторной — до 500 тыс. Что касается более крупных инцидентов — например, если в сети оказалась выгрузка персональных данных (ПДн), содержащая больше 100 тыс. записей, — к компании применят жёсткие штрафы в размере 1 % годовой выручки (и до 3 %, если организация попыталась скрыть проблему от Роскомнадзора).
Такие изменения уже давно обсуждаются и являются весьма логичными, учитывая, например, уже давно введённые меры по стандарту GDPR, где оборотный штраф может доходить до 4 %. По мнению экспертов, изменённое законодательство должно способствовать трансформации подходов компаний в части защиты персональных данных.
Тема введения штрафов за утечку ПДн обсуждается на правительственном уровне. К 1 июля 2023 года Правительство РФ по поручению президента должно «рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных».
В свете роста внимания российских законодателей к информационным утечкам и увеличения числа утечек персональных данных появляется потребность укреплять и расширять внутренние комплексы безопасности.
Системы классов DCAP / DAG всегда являлись неотъемлемой составляющей ИБ-ландшафта, будучи способными не просто оперативно выявить факты утечек информации, а автоматизированно выстроить процессы, которые не будут этого допускать. Система «Спектр» от компании «СайберПик» применяет различные технологии и аналитику в части безопасности данных и действий по отношению к ним.
Рассмотрим, как данный процесс выстраивается в организациях и как на практике «Спектр» может снизить риски утечки данных и попадания под штрафные санкции со стороны регулятора.
Рисунок 1. Поиск критически важной информации в DCAP / DAG «Спектр»
Обнаружение мест хранения критически важной информации
Обнаружение и классификация данных, подпадающих под действие 152-ФЗ, могут быть затруднены, поэтому в системе «Спектр» есть предустановленные шаблоны для модуля классификации. «Спектр» анализирует файлы, папки и разрешения для всех областей, где могут находиться конфиденциальные данные, проводя анализ хранилищ под управлением OC Windows Server и Linux, а также порталов SharePoint, NAS-систем, репозиториев исходного кода, облачных хранилищ и ряда других систем, предназначенных или используемых для хранения различных корпоративных файлов.
Для оперативного определения всех мест хранения критически важной информации важны три фактора: полнота перечня анализируемых документов, скорость классификации, качество этих проверок.
Система «Спектр» способна анализировать более 100 различных форматов данных, включая вложенные друг в друга. Адаптированные категории классификации основаны на опыте внедрений и эксплуатации продукта в крупнейших организациях страны. Скорость обработки данных превышает схожие метрики ранее присутствовавших на рынке зарубежных решений; при этом, масштабируя виртуальные или аппаратные ресурсы, можно гибко адаптироваться под объёмы данных в сотни терабайт. Все эти факторы позволяют провести первичную инвентаризацию файловых хранилищ и определить все места хранения критически важной информации.
Рисунок 2. Профиль сотрудника
Контроль прав доступа сотрудников и наведение порядка в них
Выяснив, где расположены конфиденциальные данные, даже в случае их нахождения в легитимных каталогах важно определить актуальную матрицу доступа к ним для выполнения требований регулятора. Необходимо иметь ответы на следующие вопросы:
- Кто обладает правами доступа к ресурсам, какие именно это права и что это за ресурсы.
- Каким образом выданы эти права: через членство в группах безопасности или напрямую.
- Присутствуют ли в текущей картине прав глобальные, но не видимые при первом взгляде риски: выключенные наследования прав на каталогах, сломанные ACL, общедоступные папки, файлы.
Все эти моменты важно держать под контролем, ведь именно неоптимально настроенные права в большинстве случаев способствуют возникновению и развитию разного рода инцидентов по отношению к документам.
Рисунок 3. Сводная информация по инцидентам, рискам, аномалиям
Аудит действий пользователей и расследование инцидентов
Анализ того, кто и как взаимодействует с конфиденциальными данными, подпадающими под требования 152-ФЗ, является необходимым минимумом для выявления и расследования связанных с этими данными инцидентов на раннем этапе. Система «Спектр» ведёт полное журналирование всех операций с документами, а также с помощью модуля поведенческой аналитики и встроенной инцидентной модели позволяет выявить ряд важных последовательностей событий с точки зрения защиты данных. Назовём некоторые из них.
- Доступ к аномальному количеству файлов, к которым сотрудник ранее не обращался.
Как это работает: модуль поведенческой аналитики оповещает сотрудника службы безопасности, когда пользователь получает доступ ко статистически значимому количеству файлов, подпадающих под 152-ФЗ, которые ранее не создавал, не модифицировал и не совершал применительно к ним других операций.
Что это означает: учётная запись пользователя ищет документы с персональными данными, к которым она ранее не имела доступа. Это может свидетельствовать о попытке проникновения, компрометации учётной записи или другом нарушении политик безопасности.
- Большое количество удалённых или изменённых файлов с ПДн.
Как это работает: модуль поведенческой аналитики видит, что учётная запись удаляет или изменяет нетипичное (по сравнению с обычным поведением этого пользователя) количество файлов с персональными данными.
Что это означает: когда пользователи удаляют или изменяют множество файлов, это может быть попыткой «замести следы», украсть данные или изменить информацию. Такие события часто указывают на то, что злоумышленник пытается повредить или уничтожить важные данные в рамках атаки типа «отказ в обслуживании».
- Большое количество неуспешных операций с файлами, которые содержат персональные данные.
Как это работает: модуль инцидентов системы «Спектр» автоматически обнаруживает большое количество обращений к подпадающим под 152-ФЗ документам, недоступным для пользователя.
Что это означает: когда пользователь получает такое количество отказов в доступе за определённое время, это значит, что он ищет документы, действия с которыми для него ограничены, или пытается получить доступ к ним. Скорее всего, он не должен искать такого рода данные, т. е. кто-то пытается использовать эту учётную запись для доступа к документам с целью эксфильтрации ПДн.
Модуль поведенческой аналитики и инцидентов системы «Спектр» выявляет подозрительную активность и нетипичное поведение в отношении персональных данных, а также помогает оптимизировать расследование и проводить криминалистическую экспертизу потенциальных угроз. Также система предоставляет всю важную информацию, которая необходима для того, чтобы оперативно сообщить об обнаружении утечки данных. При внедрении «Спектра» инженеры дают рекомендации и помогают разработать план реагирования на оповещения, соответствующий практикам и политикам безопасности вашей организации, для наиболее оперативного и качественного реагирования на подобные инциденты.
Рисунок 4. Аудит хранилища
Автоматизация управления местами хранения критически важных данных
Для того чтобы постоянно соответствовать требованиям 152-ФЗ, необходимо сразу обнаруживать новые незащищённые документы с критически важными данными и в максимально короткие сроки обеспечивать их безопасность.
Поскольку пользователи создают новые файлы, существует вероятность того, что персональные данные останутся незащищёнными. Модуль классификации данных системы «Спектр» работает в автоматическом режиме и постоянно обнаруживает новые ПДн среди общих ресурсов. Также он может передавать эту информацию модулю автоматического переноса / удаления данных, который переместит недавно обнаруженные файлы с персональными данными в «карантинную» папку во время следующего запланированного запуска. Как только подпадающие под 152-ФЗ данные будут помещены в карантин и защищены, сотрудник службы безопасности получит соответствующее оповещение и сможет исследовать файл, определить, кто должен иметь к нему доступ и где он должен храниться, а также прибегнуть к любым дополнительным условиям для соблюдения требований 152-ФЗ.
Рисунок 5. Перечень отчётов
Комплексный контроль и защита данных, подпадающих под 152-ФЗ
Крайне важно иметь целостную картину состояния безопасности данных в соответствии с 152-ФЗ. «Спектр» предоставляет для отслеживания ПДн перечень отчётов, которые могут автоматически отправляться на адрес электронной почты ответственного сотрудника или сохраняться в общую архивную папку на файловом сервере. Например, отчёт «Общедоступные данные определённых категорий» покажет все совпадения по категориям классификации, описывающим персональные данные в защищаемых файловых хранилищах в широком доступе. В случае использования модуля переноса / удаления данных для помещения новых документов в карантин этот отчёт можно применять в качестве отправной точки для обнаружения файлов, которые нужно защитить. В остальных случаях необходимо оперативно обеспечить блокировку или ограничение прав доступа к этим данным, что также предоставляет система «Спектр».
Выводы
Федеральный закон «О персональных данных» описывает общий для всей страны подход к требованиям конфиденциальности и безопасности данных. Конечно, подобная информация может располагаться и в других местах хранения, но учитывая, что неструктурированные данные в среднем составляют около 80 % всех активов компании, можно сказать, что системы класса DCAP / DAG являются неотъемлемой частью инструментария отдела ИБ для соблюдения требований по безопасности данных.