Разделы

ПО Цифровизация

Безопасность самого ценного: как действительно защитить ваши документы

Станислав Фесенко, руководитель Центра компетенций Crosstech Solutions Group и автор этой статьи, уверен: в наше время невозможно себе представить сколько-либо значимую организацию, функционирующую без информатизации внутренних процессов. Бухгалтерия, контрактные обязательства, кадровое делопроизводство, вопросы бизнес-развития и многое-многое другое — все это информация. Без выстроенных вокруг нее процессов, сформированных команд специалистов, оптимизации и автоматизации невозможно говорить об эффективности работы предприятия, что в конкурентной среде ставит вопрос о рентабельности бизнеса и выживании компании как организма. Поэтому информация для организации — крайне ценный ресурс, наряду с финансовым обеспечением и временем. А значит, жизненно важно обеспечить безопасность принимаемых, передаваемых, хранимых и обрабатываемых данных.

Стройными колоннами и кучей на кучу

Когда говорят об информационной безопасности, почему-то все сразу думают о защищенности сетевой инфраструктуры, межсетевом экранировании, вредоносном ПО и детектировании его активности на ПК, но забывают о главном объекте защиты об информации.

Всю информацию можно разделить на структурированную и неструктурированную. Первая хранится в жестко фиксированных в момент времени структурах баз данных, как правило, в табличной форме. Эти данные формализованы, доступ к ним разграничен средствами СУБД (систем управления базами данных), они имеют предопределенный формат и внятную структуру хранения, отработанные зависимости. В табличном хранении информации, как в концепции, хватает недостатков, а в реализации добавляются еще и разного рода ограничения и сложности. Тем не менее, менеджмент таких систем задача понятная, у рынка есть экспертиза для повышения эффективности использования структурированной информации и повышения её защищенности там, где это важно.

Однако, как показывает практика, в среднем структурированные данные составляют не более 30% от общего объема значимой для организации информации. Остальное данные без структуры. Конечно, это тоже некоторая абстракция. Любой файл сам по себе уже структура, а данные так или иначе хранятся именно в нем. Однако структура файла это не совокупность важных данных внутри него. Это контент, который разрабатывается, содержится и обрабатывается в офисных приложениях и сохраняется в формате .docx, .xlsx, .pdf и др.

Получается, что подавляющая часть важных для компаний внутренних данных хранится в офисных документах, сохраненных на компьютерах сотрудников, в общих файловых хранилищах, на почтовых серверах, во внутренних системах документооборота. И выстроенные вокруг документов бизнес-процессы чаще всего не позволяют закрепить за ними жесткую неизменную структуру это будет больше вредить бизнесу и развитию компании, чем помогать. Однако безопасность неструктурированных данных не менее критична, чем безопасность информации в базах данных.

Что же с этим делать?

На рынке существует немало решений по защите информации различных классов, которые в той или иной степени позволяют реализовать разграничение доступа к документации в периметре организации. Это продукты классов DLP, DAG, IRM и др.

Возьмем для примера типичную организацию, в которой за ПК работает, скажем, 100 человек. Их рабочие станции функционируют на базе ОС семейства Windows, они включены в домен и управляются централизованно средствами Active Directory. В принципе, уже с этим набором можно управлять доступом к отдельным директориям в общих файловых хранилищах и тем самым добиться определенного уровня защищенности документов. Это сработает при условии, что все сотрудники четко знают и понимают, что куда выкладывать и как сохранять, с кем можно делиться тем или иным контентом, а с кем нет. К сожалению, эта идеальная картина скорее утопия. Она разбивается о действительность, в которой случаются: текучка кадров, недостаточная осведомленность или ответственность сотрудников, сложность менеджмента такой безопасности, желание добиться результата как можно быстрее, минуя процессы, банальный «авось» или халатность.

В целом с помощью озвученных выше классов решений ИБ можно «закрутить гайки» и «загнать» пользователей в регламенты и процессы принудительно. Однако это тоже не решает, а, пожалуй, даже усугубляет сложность управления защищенностью документов и правами доступа.

А есть ли более элегантное решение?

На проблему разграничения доступа к документам можно взглянуть под иным углом. Что, если распределять доступ к конкретным документам? И как управление такой безопасностью сделать удобным, простым и быстрым? Как добиться учета всех политик, выстроить защищенный документооборот, устойчивый к частым изменениям, так необходимым компании для развития?

Единицей защиты в такой модели может выступать документ. Ему необходимо присвоить атрибут метку. Такой подход позволяет управлять уже метками конфиденциальности и выстраивать правила и дополнительные атрибуты вокруг них. Важно, что ответственное лицо это первоначальный автор документа. Он, в зависимости от политик, в добровольном или принудительном порядке устанавливает метку документа, а остальные сотрудники, которые в процессной цепочке с этим документом могут работать, уже не смогут её снять или понизить уровень конфиденциальности.

Как показывает практика, в среднем структурированные данные составляют не более 30% от общего объема значимой для организации информации

Вокруг меток с помощью правил можно реализовать дополнительные уровни защищенности шифрование документов, их уникализацию на машине конкретного пользователя или при распечатывании, блокировать или запрещать копирование содержимого, пересохранение документа и так далее. Пользователей в этом случае можно добавлять в рабочие группы, в которых будут распределены доступы к меткам. Это существенно упрощает и удешевляет менеджмент безопасности документов, позволяет отслеживать действия по конкретному пользователю, группе, метке или документу, привносит возможность выявления каналов утечки информации, упрощает расследование. Классифицирование документов и установку меток имеет смысл автоматизировать, это еще больше снижает операционные затраты на поддержку безопасности. Именно этот подход компания Crosstech Solutions Group реализует в своем продукте Docs Security Suite (DSS).

Решение DSS можно классифицировать как NextGen IRM, однако этот класс не отражает суть в полной мере и не раскрывает все его функциональные возможности. Это полностью кроссплатформенный продукт, позволяющий управлять безопасностью документации как на рабочих станциях под управлением ОС семейства Windows, так и Linux. То же касается и развертывания серверной части решения. Помимо сервера инструмент включает в себя агенты для ПК пользователей, которые тесно интегрируются в работу офисных утилит из пакетов Microsoft Office, Libre Office и программных продуктов для работы с форматом PDF.

Интеграция с ActiveDirectory по LDAP упрощает администратору системы работу с пользователями и снижает затраты в части управления доступом при динамично изменяющихся составах команд, а интеграция с DLP позволяет расширить функциональное использование меток для реализации еще большего контроля за возможными каналами утечки информации. Вся опасная активность фиксируется, её можно отдавать для дальнейшего анализа в SIEM, а совместимость с почтовыми системами реализует эффективный механизм уведомления ответственных лиц о выявленных проблемах безопасности.

Продукт реализует функциональность, которая позволяет решать задачи:

  • Классифицирования документов, в том числе в автоматизированном режиме;
  • Маркирования документов с установкой меток конфиденциальности видимых и скрытых;
  • Шифрования документов с применением механизмов AES и шифрования по ГОСТ;
  • Уникализации отображения документов с применением стеганографии и афинных преобразований как в интерфейсе офисных утилит, так и при печати;
  • Фиксации действий пользователей с возможностью дальнейшего расследования, гибкой фильтрацией событий и удобным интерфейсом поиска.

Всё это очень гибко настраивается с возможностью создания правил для конкретных меток и групп пользователей. Таким образом, единожды реализованные политики безопасности не нужно постоянно править, не требуется выстраивать «каталожную» безопасность с разграничением доступа к папкам и постоянно управлять правами каждого отдельно взятого пользователя. Кроме того, правила могут носить временный характер и автоматически отключаться по истечении заданного времени. Это отдельный бонус при различных проверках и аудитах, ведь нередко выделенные доступы забывают отозвать.

В принципе, концепция и система нацелены на упрощение работы с безопасностью документов, минимизацию управленческих затрат при одновременном повышении эффективности защиты за счет расширения стека доступных технических возможностей.

Берегите свои документы, уверенно работайте с данными и развивайте свой бизнес в безопасности.

Станислав Фесенко