Области видимости объектов
Узнать большеКогда речь заходит о защите информации, на ум приходят решения DLP (Data Leak Prevention), контролирующие каналы передачи сведений и призванные предотвращать утечки данных в движении. Но данные в состоянии покоя, о которых пойдет речь в этой статье, также подвержены угрозам. Рассказываем, почему компании уделяют им так мало внимания, как они хранятся, какие риски с ними связаны, что предпринять для обеспечения безопасности.
Что такое данные в покое
Существует три состояния данных: покоя, использования и движения. Состояние покоя означает физическое хранение информации в любой цифровой форме. Использование подразумевает, что данные здесь и сейчас обрабатываются людьми и программами. Движение предполагает передачу информации от устройства к устройству, например пересылку по электронной почте или через мессенджер.
Делаем вывод, что данные в покое — это структурированные сведения, которые организованно хранятся в базах данных, и неструктурированная информация, находящаяся в архивах, корпоративной почте, облачных хранилищах, файлообменниках, используемых компанией. Примеры неструктурированных данных: сканы документов, скриншоты, аудиозаписи переговоров, электронные письма и т. д.
Где хранятся данные в покое
Какие способы хранения данных бывают:
- Базы данных — средства, позволяющие хранить информацию, приведенную к единому формату. Преимущественно используются табличные реляционные базы, которые представляют собой строки с записями и столбцы с атрибутами этих записей. Такой формат позволяет быстро находить нужную информацию и легко устанавливать взаимосвязи данных.
- Файловые системы — инструменты, которые кодируют данные, организованно хранят информацию в упорядоченном виде и обеспечивают доступ к ней прикладным программам.
- Облачные системы — онлайн-платформы, позволяющие хранить и оперативно передавать данные. Такие сервисы предоставляются и обслуживаются поставщиками облачных решений, которые должны отвечать в том числе и за безопасность данных в покое.
- Архивы — системы хранения информации в цифровом формате. Они могут быть локальными, электронными или облачными. Локальные представляют собой съемные носители: USB-накопители, жесткие диски и т. д. Электронные архивы — платформы электронного документооборота, контролируемые операторами. Облачные — архивные базы данных, которые размещаются на удаленных серверах.
Многие компании, располагающие большими объемами информации, не ограничиваются одним хранилищем. Несколько способов хранения тяжелее контролировать, поскольку используются разные средства управления, создаются сложные матрицы доступов. В связи с этим растут риски безопасности данных.
Какие опасности связаны с неконтролируемыми файловыми хранилищами
С неконтролируемыми файловыми хранилищами, где находятся данные в покое, напрямую связаны угрозы безопасности. Почему это так?
- Информация в файловых хранилищах может храниться беспорядочно, с дублями и неактуальными файлами. Такие данные не структурированы и не контролируются.
- Происходят ошибки под влиянием человеческого фактора, из-за чего нарушаются правила хранения данных. Например, сотрудники компании могут без злого умысла помещать конфиденциальные файлы в хранилища, которые для них не предназначены. Пока это не выявится, информация, содержащаяся в этих документах, будет в опасности.
Чтобы выстраивать защиту данных в состоянии покоя, нужно понять, что и где хранится, кто имеет доступ к информации и какого уровня этот доступ. На эти вопросы можно получить ответы с помощью технологий DAG (Data Access Governance). Система сканирует файловые ресурсы и классифицирует их согласно преднастроенным правилам, регистрирует все события, связанные с этими ресурсами. Она позволяет понять, кто и когда поместил файлы в то или иное хранилище, какие операции с ними выполнял.
Защита данных в покое
Защита информации строится в рамках комплексного подхода, который подразумевает одновременное использование нескольких методов обеспечения безопасности данных в состоянии покоя. Разберем ключевые направления.
Физическая безопасность
Под физической защитой подразумевают совокупность методов ограничения физического доступа к данным и помещениям, где сведения хранятся на серверах и обрабатываются. Цель — предотвратить утечку и потерю информации, избежать несанкционированного воздействия на компьютерные системы.
Меры физической защиты данных в покое:
- Охрана при входе на предприятия и в офисы.
- Установка надежных замков на двери помещений, где хранится критически важная информация.
- Использование передовых биометрических методов для идентификации сотрудников.
- Установка камер видеонаблюдения в помещениях, где располагаются серверы и хранилища данных.
- Внедрение систем контроля доступа (СКУД) — решений, позволяющих управлять правами доступа сотрудников и препятствующих проникновению посторонних в помещения компании.
Не стоит забывать, что данным в покое угрожают не только люди. Компания может потерять критически важную информацию в результате наводнения, пожара и других чрезвычайных ситуаций. Для таких случаев должны быть предусмотрены средства защиты (например, системы пожарной безопасности) и выверенные сценарии действий.
Шифрование данных в покое
Шифрование — дополнительная мера защиты данных в состоянии покоя, которые хранятся на физических носителях, например съемных накопителях или жестких дисках. Она подразумевает эксплуатацию комплекса программных и аппаратных методов, реализуемых на уровне устройств или файлов. Шифрование не позволяет использовать информацию без специальных средств — данными могут оперировать только доверенные лица, располагающие ключами для дешифрования.
Шифрование применимо к табличным базам данных или их отдельным столбцам. В первом случае чаще используется прозрачный (внешний) подход, не подразумевающий внесения изменений в базу. Этот метод считается надежным, поскольку функции шифрования и дешифрования возлагаются на выделенную внешнюю систему, где будут храниться ключи. Шифрование на уровне столбцов позволяет защитить только критически важные данные, сохраняя доступ к остальным.
Также методы шифрования данных в состоянии покоя можно классифицировать как симметричные и асимметричные. Симметричное шифрование подразумевает использование одного ключа для кодировки и дешифрования информации. Этот метод проще реализовать, поэтому он часто применяется для больших объемов данных. В асимметричном шифровании фигурирует два ключа: открытый для кодировки информации, секретный — для дешифрования. Этот метод обеспечивает высокий уровень безопасности, но он более ресурсоемкий, поэтому используется реже симметричного.
Управление доступом к данным в покое
По результатам исследования «Солара», более 70% сотрудников компаний в различных сферах деятельности наделены избыточными полномочиями, то есть могут иметь доступ к данным, которые не нужны им для выполнения рабочих обязанностей. Часто это происходит из-за отсутствия единой концепции управления доступом и необходимого контроля за действиями персонала. Избыточные права — это повышенные риски несанкционированных действий с данными, поэтому компании должны с ними бороться.
Какие меры для этого следует предпринять:
- Прописать регламенты предоставления доступа к тем или иным ресурсам.
- Разработать оптимальную для организации модель назначения полномочий. Например, ролевую, которая подразумевает выдачу прав согласно предопределенным ролям с наборами полномочий, привязанных к должностям, подразделениям, рабочим задачам.
- Регулярно проводить аудит прав доступа, который позволяет обнаружить накопление излишних полномочий, незаблокированные и неиспользуемые учетные записи, несовершенную парольную политику, выявить нарушения политик хранения данных в состоянии покоя, случаи несанкционированного доступа к информации и другие проблемы.
Централизованное управление правами доступа можно выстроить с помощью решений класса IdM (Identity Management). Такие системы позволяют получить детальную картину полномочий сотрудников, автоматизировать рутинные операции предоставления доступа, обеспечить соблюдение внутренних регламентов, касающихся использования корпоративных ресурсов.
Архивирование
Под архивированием понимают отправку данных в состоянии покоя на долгосрочное хранение в локальные, облачные или электронные архивы. Обычно такой прием применяется в отношении информации, которая сейчас не используется, но по разным причинам не удаляется (например, она может быть нужна в будущем или сохраняется с целью соблюдения нормативных требований).Также он позволяет существенно сократить объем данных в хранилищах.
Перед архивированием проводится процедура инвентаризации, которая помогает понять, какие именно данные целесообразно переместить в архив. Это мера важна как для информационной безопасности, так и с точки зрения оптимизации хранения, поскольку позволяет разгрузить основные хранилища.
Контроль данных в покое с помощью DAG-систем
Решения класса DAG ориентированы на работу с неструктурированными данными. По мнению аналитиков исследовательского центра Gartner, объем таких данных составляет примерно 80% от общего информационного массива компаний. Неструктурированная информация плохо поддается контролю, поскольку не приведена к однородному формату, не классифицирована и хранится в разных местах.
Решение DAG, в частности продукт от ГК «Солар», поможет обнаружить критически важные данные в неконтролируемых хранилищах и присвоить им служебные метки. Какие еще задачи решает система:
- Контролирует доступ к неструктурированным данным в состоянии покоя. С помощью модулей-агентов система сканирует иерархию прав и уровни доступа, то есть позволяет установить, кто из сотрудников может пользоваться с той или иной информацией и какие операции ему разрешены. Таким образом, удается выявлять накопление излишних прав и в дальнейшем реализовывать принцип наименьших привилегий.
- Контролирует политики хранения информации. Модули-агенты DAG-системы сканируют хранилища, обнаруживают новые файлы и отправляют их на классификацию, по итогам которой данным назначаются определенные категории. Также решение помогает выяснить, когда и кем были созданы или перемещены те или иные файлы.
- Контролирует использование данных в состоянии покоя. В системе есть журнал событий, где отображаются все операции: кто, когда, зачем и каким образом использовал информацию, были ли нарушения прав доступа. В случае отклонений от регламентов DAG-платформа своевременно отправляет уведомления офицерам службы безопасности.
Использование DAG-системы существенно облегчает проведение расследований инцидентов, связанных с данными в состоянии покоя. Из наглядных отчетов, сгенерированных платформой, офицеры службы безопасности видят, где и какая информация хранится, у кого есть доступ к ней и как менялся этот доступ за определенные периоды времени.