Обзор Спектра | Маркера, системы маркирования данных

1. Введение
2. Функциональные возможности «Спектра | Маркера»
   1. 2.1. Шифрование файлов
3. Архитектура «Спектра | Маркера»
4. Системные требования «Спектра | Маркера»
   1. 4.1. Установка серверного ПО «Спектра | Маркера»
   2. 4.2. ПО для работы администратора системы
   3. 4.3. Работа с клиентским приложением
5. Работа с системой «Спектр | Маркер»
   1. 5.1. Авторизация администратора системы
   2. 5.2. Интерфейс системы
   3. 5.3. Сводная информация
   4. 5.4. Метки
   5. 5.5. Политики
   6. 5.6. Аудит
   7. 5.7. Настройки
   8. 5.8. Журналы
   9. 5.9. Диагностика
6. Выводы

Введение

Российская компания CyberPeak («СайберПик») делает упор на комплексный подход к защите данных и уже хорошо известна своими решениями в области ИБ. В конце 2023 года вендор расширил платформу защиты данных «Спектр», выпустив два новых продукта, одним из которых стала система «Спектр | Маркер». 

«Спектр | Маркер» предназначен для маркировки документов конечными пользователями (сотрудниками) и отображения этих меток при работе с корпоративными файлами, что помогает соблюдать политики компании относительно их пересылки, а также полезно для аудита и контроля иных операций над промаркированными документами. Визуальные метки и метаданные, добавляемые в документы, почтовые сообщения и графические файлы, позволяют легко определять уровень критической значимости такой информации и применять соответствующие политики защиты.

Одна из главных задач системы «Спектр | Маркер» — повышение осведомлённости и вовлечённости сотрудников при работе с конфиденциальными сведениями. Это достигается, в частности, путём показа пользователю соответствующих уведомлений / предупреждений, а также запрета на совершение отдельных действий.

В то же время встроенная возможность шифрования и назначения явных прав доступа к файлу ставит «Спектр | Маркер» в один ряд с системами класса IRM (Information Rights Management) и DRM (Digital Rights Management), т. е. его можно рассматривать и как средство управления разрешениями на доступ к корпоративным файлам поверх привычных механизмов, которые есть в хранилищах данных. Используя это решение в совокупности с другими продуктами платформы «Спектр», можно выстроить комплексную и эффективную защиту данных в организации.

Функциональные возможности «Спектра | Маркера»

Создавая систему маркировки, разработчик стремился к тому, чтобы она позволяла решить следующие основные задачи:

1. Обезопасить важные данные, защитив их с помощью инструментов по анализу содержимого и наложенных политик взаимодействия с информацией в зависимости от присвоенной пользователем или системой метки конфиденциальности.
2. Повысить эффективность DCAP- и DLP-решений путём предотвращения нелегитимного доступа сотрудников к информации, с интеграцией через REST API или метаданные файлов.
3. Соответствовать требованиям Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» в части обеспечения мер по охране конфиденциальной информации (ст. 10, ч. 1).

У тех, кто внедрил систему «Спектр | Маркер» в своей организации, появляется возможность выполнять ряд полезных действий:

• Создавать и настраивать метки конфиденциальности для документов в зависимости от их содержимого и с учётом действующей в компании политики обработки данных, в т. ч. путём включения грифа «Коммерческая тайна» в реквизиты документа.
• Устанавливать правила работы с документами и письмами с целью ограничить доступ к конфиденциальной информации или запретить определённые действия с промаркированными документами для работников компании.
• Фиксировать все операции с метками данных (создание, изменение, удаление) и промаркированными документами (создание, чтение, изменение, удаление, шифрование, декодирование, печать, копирование данных из документа и т. д.).
• Фиксировать все действия с электронными письмами, содержащими метку конфиденциальности (создание, изменение, удаление метки, отправка письма, добавление неподтверждённых получателей, добавление вложения).
• Вести учёт сотрудников, которым предоставлен доступ к информации составляющей коммерческую тайну, с запретом доступа для неавторизованных лиц.
• Установить запрет или назначить предупреждение в ответ на выполнение определённых операций (например, на изменение метки файла или печать неклассифицированного документа).
• Контролировать обмен электронной почтой путём маркировки всех писем. Например, организация может установить запрет (или демонстрацию предупреждения) на отправку по электронной почте неклассифицированных документов или на добавление внешнего / недоверенного электронного адреса.

Практическое применение системы «Спектр | Маркер» помогает классифицировать корпоративные данные с помощью автоматизированных инструментов, действующих в виде надстроек для офисных программ и почтовых клиентов, а также в виде дополнительных пунктов в контекстном меню ОС.

Для удобства использования системы в 2024 году разработчики «Спектра | Маркера» добавили новую функциональность — автоматическую классификацию данных, реализованную в виде рекомендаций по установке метки. К примеру, если в документе присутствуют ПДн, то система, обнаружив такую информацию, предложит присвоить ему метку «Для внутреннего пользования». Конкретные рекомендации настраиваются администраторами системы путём создания определённых правил.

Шифрование файлов

Отдельно стоит отметить возможность шифрования файлов в системе «Спектр | Маркер» по стандарту AES. Криптозащита мешает знакомиться с их содержанием тем пользователям, у которых нет явного доступа. Благодаря этому можно обеспечить безопасный обмен данными даже в случае намеренной утечки, ошибочной адресации или перехвата сообщения.

При этом шифрование выполняется абсолютно прозрачно: пользователь может даже не подозревать, что работает с зашифрованным документом. При шифровании / декодировании формат файла не меняется, благодаря чему он ничем не выделяется среди других данных в дисковом пространстве.

Эта функциональность не исключает возможности утечки конфиденциальной информации, но позволяет существенно ограничить вероятность несанкционированного доступа к отдельным документам — как для сторонних лиц, так среди работников компании (включая сотрудников из служб ИБ, мониторинга и пр.).

Архитектура «Спектра | Маркера»

Система «Спектр | Маркер» состоит из двух функциональных частей: серверной и клиентской.

Серверная часть представляет собой набор модулей, обеспечивающих логику работы и управления, включая поддержку функционирования общей базы данных.

Клиентская часть реализована в виде приложения, устанавливаемого на рабочие станции сотрудников. Она обеспечивает возможность просмотра / установки меток при работе с офисными программами и клиентами электронной почты.

Для АРМ сотрудников службы ИБ отдельно предусмотрен интерфейс администратора системы. При помощи него можно обеспечивать контроль за маркированием данных, устанавливать правила по работе с конфиденциальными данными и соблюдению политик безопасности.

Системные требования «Спектра | Маркера»

Установка системы «Спектр | Маркер» подразумевает следующий порядок действий:

1. Установка ОС семейства Linux на сервер.
2. Настройка сетевого адреса и DNS.
3. Установка серверного ПО «Спектра».
4. Назначение администраторов системы.
5. Установка агентского ПО «Спектра» на АРМ сотрудников.

Несмотря на то что серверная часть «Спектра | Маркера» ориентирована на ОС GNU/Linux, система обеспечивает маркировку таких распространённых форматов документов, как DOC, DOCX, XLS, XLSX, PPT, PPTX, JPG, ZIP, Visio и др.

Установка серверного ПО «Спектра | Маркера»

Серверная часть «Спектра | Маркера» может функционировать в следующих операционных системах:

• Ubuntu Server 20.04, 22.04;
• CentOS 7.9 / Red Hat Enterprise Linux 7.x, 8.x / OracleLinux 7.x, 8.x;
• Astra Linux 1.7;
• РЕД ОС 7.х и 8.x.

Также система «Спектр | Маркер» может быть установлена на виртуальных машинах под управлением гипервизоров:

• VMware ESXi;
• Microsoft Hyper-V;
• KVM / QEMU.

Выбор ОС, в которой будет функционировать серверное ПО «Спектра | Маркера», должен приниматься на основе принятых в организации стандартов безопасности и политик обработки данных. При установке любой из вышеперечисленных ОС рекомендуется следовать инструкциям, которыми она сопровождается.

ПО для работы администратора системы

Графический интерфейс администратора системы «Спектр | Маркер» выполнен в виде веб-приложения. Доступ к интерфейсу осуществляется с использованием одного из следующих веб-браузеров:

• Google Chrome версии 60.0.3112 и выше;
• «Яндекс.Браузер» версии 17.6.1 и выше;
• Mozilla Firefox версии 52 и выше;
• Microsoft Edge.

При этом ОС, на которой запускается веб-браузер, может быть любой (из поддерживаемых конкретной версией обозревателя).

Работа с клиентским приложением

Агентское ПО «Спектра | Маркера» для классификации данных может быть установлено на следующие операционные системы:

• Windows Server 2008 R2;
• Windows Server 2012 и новее;
• Windows 7 и новее;
• Astra Linux;
• РЕД ОС.

Приложение запускается автоматически при старте компьютера, работает в фоновом режиме и не создаёт ощутимой нагрузки на его ресурсы.

Требования к ресурсам пользовательского ПК для нагрузки менее 2 % вполне низки:

• частота ядра процессора — 2,2 ГГц;
• свободная оперативная память (RAM) — 50–80 МБ;
• свободное пространство на жёстком диске — до 100 МБ.

Для установки агентского ПО на рабочее место с ОС семейства Windows следует предварительно установить .NET Framework версии 4.7.2 или выше (если это не было сделано ранее).

Работа с системой «Спектр | Маркер»

Решение «Спектр | Маркер» можно использовать как в комплексе с другими составляющими системы «Спектр |  DCAP/DAG», так и отдельно. В рамках обзора мы рассматриваем возможности его локального применения.

Авторизация администратора системы

Для прохождения процедуры авторизации необходимо открыть веб-интерфейс системы, указав в адресной строке браузера IP-адрес, назначенный серверу «Спектра | Маркера» при установке. Далее следует заполнить авторизационную форму.

Рисунок 1. Форма авторизации в системе «Спектр | Маркер»

Выход из системы (logout) осуществляется через пользовательское меню либо автоматически, если оператор был неактивен в течение некоторого промежутка времени, заданного в настройках системы.

Интерфейс системы

Интерфейс «Спектра | Маркера» состоит из семи разделов, каждый из которых несёт определённый набор функций. Меню разделов находится в левой части стартового экрана.

В него включены следующие разделы:

• Сводная информация. Это стартовый экран; он содержит сведения о функционировании системы, а также блоки со статистикой и ссылки для быстрых переходов в другие разделы интерфейса.
• Метки. Этот раздел служит для маркировки данных, а именно — для настройки меток, которые затем будут отображаться в документах и письмах.
• Политики. Настроенная политика будет ограничивать / предупреждать действия пользователей с документами — например, запрещать отправку письма с конфиденциальным вложением.
• Аудит. Раздел, в котором отображаются зафиксированные события.
• Настройки. В нескольких подразделах здесь представлена функциональность создания и управления учётными записями пользователей системы, настройки взаимодействия с другими модулями.
• Журналы. Этот раздел служит для отображения системных событий и действий пользователей системы.
• Диагностика. Здесь отображаются данные о параметрах функционирования системы, внутренние метрики и другая информация.

По умолчанию перед администратором открывается тот раздел, который он просматривал последним во время предыдущего сеанса работы.

Сводная информация

Этот раздел представлен в виде блоков-виджетов. На экране отображаются:

• Общее количество компьютеров, зарегистрированных в корпоративной сети, а также их разбивка по группам.
• Количество рабочих станций (компьютеров), на которых установлено агентское ПО «Спектра | Маркера», с разбивкой: в сети / не в сети.
• Количество меток первого уровня, настроенных в системе.
• Число классифицированных пользователями документов, их процентное соотношение (за текущие сутки).

Блок «Системные настройки» предназначен для быстрого перехода в соответствующий раздел системы. Ниже в виде диаграмм на экране представлены действия пользователей в течение недели.

Рисунок 2. Стартовый экран системы «Спектр | Маркер»

Метки

В этом разделе можно настраивать и сохранять метки. Слева располагается список всех созданных меток первого уровня, справа — окно с детальным описанием метки и возможностью её редактирования. Администратор может изменить название, описание метки, её приоритет и цветовую индикацию. Кроме того, к метке первого уровня можно добавлять метки второго уровня.

Рисунок 3. Настройка меток для классификации документов

Система позволяет быстро настраивать и устанавливать метки на документы и почтовые сообщения, а также применять различные правила и ограничения по использованию данных, фокусно применяя действующие в организации политики защиты.

Метка подразумевает уровень доступа к документу. Каждый клиент может настроить метки с учётом принятой у него классификации. Например, можно присвоить документам / письмам следующие метки:

• неклассифицированный;
• общедоступный;
• корпоративный;
• конфиденциальный;
• внутренний.

Маркировка документов и писем позволяет администраторам системы быстро считывать уровень критической значимости той или иной информации, отслеживать действия пользователей и принимать соответствующие меры.

В качестве одного из правил можно настроить сохранение неклассифицированных документов как общедоступных.

Рисунок 4. Классификация документа из Microsoft Word

Пользователь может классифицировать документ как из интерфейса соответствующей ему программы (например, из Microsoft Word), так и через контекстное меню проводника ОС.

Рисунок 5. Классификация документа через контекстное меню

Пользователь может классифицировать данные вручную либо воспользоваться автоматическим выбором метки. Рекомендации по классификации документов строятся на основе анализа их содержимого. Например, если в тексте обнаружены паспортные данные или другая относящаяся к ПДн информация, система может предложить присвоить файлу метку «для внутреннего пользования» (или иную, предусмотренную установленными администратором правилами).

Рисунок 6. Автоматическое назначение метки

Политики

Этот раздел содержит все настроенные политики. Слева располагается их список, справа — окно с детальной информацией о политике и возможностью её редактирования.

Есть следующие виды политик:

• Политика отправки электронных писем (реакция на отправку письма с заданной меткой).
• Политика неклассифицированных писем (реакция на отправку письма без метки).
• Политика классифицированных вложений (реакция на отправку письма с уровнем ниже, чем у вложения).
• Политика неклассифицированных вложений (реакция на отправку вложения без метки).
• Политика неклассифицированных документов (реакция на сохранение документа без метки в приложении).
• Политика ограничения действий с метками (реакция на попытку изменения заданной метки документа).

Рисунок 7. Пример политики относительно отправки писем без классификации

Для каждого из типов политик существуют определённые настройки. Можно задать текст уведомления, добавить исключения, разрешённые домены и т. д., а также указать действие политики: разрешить, показать предупреждение, запретить. Таким образом администратор может создавать индивидуализированные политики — например, задать реакцию на попытку печати неклассифицированного документа.

Рисунок 8. Пример уведомления от системы «Спектр | Маркер»

Аудит

Этот раздел содержит список всех операций с документами и письмами в табличном виде. 

По каждой из записей в таблице можно просмотреть следующую информацию:

• Дата и время регистрации события.
• Рабочая станция, с которой пришло оповещение.
• Путь к файлу / письму.
• Имя файла / тема письма.
• Тип операции с отображением реакции пользователя на предупреждение.
• Сотрудник, совершивший действие.
• Присвоенная метка.
• Название процесса.

Данные в журнале событий можно сортировать по столбцам или фильтровать по содержимому полей. Для сортировки достаточно щёлкнуть по шапке столбца, а формы фильтрации находятся в верхней части экрана. Можно отсортировать события по дате, типу операции, рабочей станции и другим критериям.

Рисунок 9. Аудит событий за прошедшую неделю

По каждому событию можно посмотреть его детализацию, щёлкнув по значку «>» слева.

Рисунок 10. Детализация события

Настройки

Этот раздел включает в себя следующие подразделы:

• Пользователи и роли.
• Интеграция.
• Категории.
• Системные настройки.

Система «Спектр | Маркер» предоставляет возможность создавать пользователей как со

внутренней авторизацией, так и с авторизацией через Active Directory (доменные учётные записи). В последнем случае нужно сначала настроить синхронизацию с AD или другим LDAP-сервером.

Созданного пользователя можно заблокировать, разблокировать, удалить (за исключением встроенного пользователя «admin»).

Кроме настроек синхронизации с контроллером домена к подразделу «Системные настройки» относятся следующие блоки: 

• Консоль управления.
• Модуль обработки и сохранения событий.
• Модуль управления агентами.
• Настройки SMTP.
• Настройки агента.
• Настройки локализации.

Например, в блоке «Настройки SMTP» задаются параметры отправки почтовых уведомлений. Убедиться в их корректности позволяет кнопка «Тестировать». Если все параметры указаны верно, то на указанный почтовый ящик придёт

тестовое письмо.

Рисунок 11. Настройка консоли управления

Журналы

Кроме операций с документами и письмами в системе «Спектр | Маркер» фиксируются и другие события. Для этого есть два журнала: пользовательских действий и системных событий. 

По каждой из записей в журнале действий пользователей можно просмотреть следующую информацию:

• Дата и время действия.
• Уровень важности («Info», «Warning», «Error», «Critical»).
• Краткое описание.
• Логин и имя пользователя.

Данные в журнале можно сортировать по столбцам или фильтровать по содержимому полей. Для сортировки достаточно щёлкнуть по шапке столбца, а формы фильтрации расположены в верхней части экрана.

Рисунок 12. Экспорт журнала действий пользователей в файл

Кроме того, данные из журнала можно выгрузить в виде файла.

Диагностика

Для проверки состояния системы нужно перейти в раздел «Диагностическая информация». Здесь отображаются статусы задач и сервисов. Кроме того, сбор диагностической информации можно запросить вручную, нажав на соответствующую кнопку.

Рисунок 13. Сбор диагностической информации

Выводы

Система «Спектр | Маркер» позволяет обеспечить безопасный обмен конфиденциальными данными — путём повышения вовлечённости и осведомлённости сотрудников при работе с файлами любых форматов и с электронной почтой, а также путём установки специальных правил и ограничений.

Уникальной особенностью системы является дополнительное шифрование промаркированных документов. В случае утечки зашифрованных файлов открыть их без использования специализированного дешифровального софта будет невозможно.

Достоинства: 

• Взаимодействие с DCAP, включая систему «Спектр | DCAP / DAG».
• Автоматическая классификация меток, подсказки при маркировании данных, предпросмотр создаваемой метки.
• Возможность создания исключений из правил для отдельных пользователей или их групп, отделов компании.
• Возможность классификации документов непосредственно при создании электронного сообщения, автоматическое увеличение метки письма в соответствии с маркировкой прилагаемого файла.
• Возможность автоматического добавления реквизитов организации к метке.
• Возможность бесшовного перехода с Boldon James. Система «Спектр | Маркер» автоматически считает проставленные ранее в файлах метки и метаданные.

Недостатки: 

• Несмотря на автоматизацию многих процессов с помощью системы «Спектр | Маркер», пользователю нужно самому быть внимательным, работая с документами. К примеру, если ошибочно завысить уровень доступа, то снизить метку файла система уже не даст (при наличии соответствующего правила). В этом случае пользователю придётся обратиться к администратору, установившему данное правило.
• Отсутствие поддержки macOS. К приоритетам вендора относится совместимость с отечественными ОС, поэтому вопрос о разработке версии под macOS только рассматривается.
• Интерфейс контекстного меню и всплывающих уведомлений выглядит несколько устаревшим и нуждается в дальнейшей доработке.
• Недостаточно данных относительно надёжности встроенного шифрования файлов. В настоящий момент разработчик находится на стадии сбора обратной связи от пользователей.