DCAP-системы

Хранение неструктурированных данных увеличивает риски утечек и намеренных сливов информации, затрудняет работу компании. Даже если критически важные сведения обрабатываются в информационных системах, в отношении которых действует ролевая модель доступа, часть данных иногда «уходит на сторону» в виде скриншотов, копий документов, сканов и т. д. К тому же не всегда четко разделен доступ сотрудников к информации того или иного характера. Исправить ситуацию и снизить риски инцидентов поможет модуль DCAP. В этой статье рассмотрим их назначение, основные функции, преимущества и примеры использования.

Что собой представляет модуль DCAP

Это программные продукты, обеспечивающие контроль доступа к полуструктурированным и неструктурированным сведениям. Они мониторят службы каталогов и файловые серверы, позволяют из общей массы информации выделить критически важную, которая нуждается в надежной защите от несанкционированного доступа и утечек.

Рассмотрим архитектуру модуля DCAP на примере продукта от ГК «Солар».

Для сбора данных о существующих учетных записях, ресурсах и событиях в информационных системах используются агенты на файловых хранилищах и каталогах пользователей. Собранная информация передается в модуль DCAP на обработку и хранение. В свою очередь администраторы, аналитики и офицеры информации настраивают систему, политики безопасности сообразно установленным в компании требованиям и формируют необходимые отчеты.

Решение состоит из нескольких сервисов, а именно:

• Сервиса администрирования. Он отвечает за внутренние настройки системы.
• Сервиса классификации. Его задача – разделить ресурсы на классы в зависимости от их содержимого.
• Сервиса отчетов. Он позволяет в структурированном виде преподносить информацию о собранных массивах данных.
• Сервиса политик. Он позволяет работать с политиками доступа.
• Сервиса хранения и обработки. Помогает интегрировать собранные из разных источников сведения в единую модель.
• Сервиса уведомлений. Этот компонент системы служит для оповещения ответственных лиц о событиях, связанных с данными.

Как работает модуль DCAP, его функции

Принцип работы решения – поиск критичных для организации данных на различных файловых ресурсах и их классификация согласно правилам, выставленным в настройках. Когда система запускается впервые, она сканирует информационную инфраструктуру, регистрирует иерархию объектов и прав доступа к ресурсам.

Схема работы модуля DCAP выглядит так:

• Система собирает сведения обо всех имеющихся у компании данных и учетных записях, формирует отчеты по накопленным массивам.
• Данные отправляются на классификацию по типу и характеру содержимого. В результате этой процедуры той или иной информации присваиваются служебные метки и степень критичности.
• Система контролирует операции с данными и отправляет ответственным лицам уведомления обо всех событиях доступа к тем или иным информационным активам.

Ключевые функции модуля DCAP:

• Аудит прав доступа. Решение позволяет получать расширенное представление о текущих полномочиях. Оно выдает список всех ресурсов и файлов, к которым имеет доступ конкретная учетная запись, и перечень всех учеток, контактирующих с конкретными файлами. В отчетах также указывается уровень доступа к информации.
• Мониторинг изменений прав доступа. Он реализуется посредством регистрации всех событий и формирования отчетов, связанных с полномочиями пользователей или учетных записей.
• Аудит событий. Модуль DCAP обеспечивает вывод данных журнала событий с операциями по конкретным учетным записям и файлам. Лицам, осуществляющим аудит, становится доступна следующая информация: типы и даты событий, инициаторы и другие параметры.

Также функцией модуля DCAP является своевременное оповещение офицеров службы информационной безопасности о новых событиях в отношении конфиденциальных сведений. Таким образом, ответственные лица смогут быстро обнаружить нарушения и принять меры для защиты данных.

Какие задачи решает модуль DCAP

Ключевые задачи: контроль прав доступа к данным и соблюдения политик хранения и использования конфиденциальных сведений, расследование внутренних инцидентов. Подробно рассмотрим все сценарии эксплуатации продукта.

Контроль прав доступа к неструктурированным сведениям

Модуль DCAP позволяет решить важнейшую задачу – реализовать принцип наименьших привилегий. Он заключается в том, что сотрудники должны иметь доступ только к тем к данным, которые нужны им для выполнения служебных обязанностей. В продукты данного класса включены специализированные модули-агенты, с помощью которых можно просканировать иерархию прав доступа к тем или иным сведениям. В результате удается установить, кто имеет доступ к конкретным файлам и какие у него права. А также можно проанализировать уровни доступа тех или иных учетных записей к определенным объектам информационной инфраструктуры.

Все события в информационных системах, выявленные модулем DCAP, регистрируются в специальных журналах и ложатся в основу настроек внутренних политик. В результате сотрудники службы информационной безопасности будут своевременно получать оповещения об изменении прав доступа к тому или иному ресурсу.

Контроль политик хранения данных

В процессе рабочей деятельности постоянно генерируются новые файлы, содержащие конфиденциальную информацию различного характера. Модули-агенты DCAP сканируют хранилища, обнаруживают созданные документы и отправляют их на классификацию. Всем данным, которые содержатся в файлах, присваиваются внутренние метки, соответствующие правилам классификации.

Также модуль DCAP позволяет выявлять, каким образом хранятся уже классифицированные данные, было ли их перемещение. В журнале событий платформы будет зафиксировано, кто и куда поместил информацию. В случае нарушения политик хранения по записям можно установить, по чьей вине активы оказались в не предназначенных для них каталогах.

Контроль использования конфиденциальной информации

В журнале событий модуля DCAP отображается полная информация о том, кто, как и когда взаимодействовал с данными. Также решение позволяет своевременно отправлять офицерам службы безопасности уведомления обо всех случаях доступа к конкретным сведениям и ресурсам.

Расследование инцидентов, связанных с неструктурированными данными

Модуль DCAP позволяет сотрудникам службы безопасности получить подробную информацию обо всех действиях, совершенных в отношении конфиденциальных сведений. В результате в процессе расследований будет установлено, кто и зачем поместил данные в те или иные хранилища, у кого есть доступ к информации и как менялся этот доступ за определенный период времени, какие именно операции производились.

Преимущества Data Access Governance

Рассмотрим сильные стороны модуля DCAP:

• Высокая производительность, позволяющая модулю DCAP эффективно работать в любых, в том числе крупных, организациях сегмента Enterprise, так как решение может обрабатывать большие объемы данных.
• Достоверная аналитика и высокая скорость принятия решений. Данные из разных источников интегрируются в потоковом режиме, что позволяет сохранять актуальность модели и быстро получать доступ к необходимым для аналитики сведениям.
• Работа на базе передовых технологий, регулярные обновления. У Solar есть собственный центр экспертизы по управлению доступом, соответственно, и возможность вносить в продукт актуальные изменения и новую функциональность.
• Максимальная наглядность. Система дает возможность анализировать случаи предоставления прав доступа к конкретным информационным активам для конкретных учетных записей.
• Совместимость с операционными системами, сертифицированными ФСТЭК России. Модуль DCAP от Solar – отечественный продукт, разработанный с учетом требований законодательства и регуляторов отраслей.
• Работа в геораспределенном режиме. Каждому контролируемому модулю DCAP объекту можно присваивать область видимости, то есть принадлежность к тому или иному региону и филиалу.

Возможность интеграции модуля DCAP с другими инструментами защиты

Для обеспечения комплексного подхода в управлении доступом активно прорабатываются возможности интеграции модуля DCAP с другими продуктами компании.

В ближайших релизах модуль DCAP будет доступна интеграция с DLP (Data Leak Prevention) Solar Dozor – продуктом для предотвращения утечек данных и контроля коммуникаций персонала. Симбиоз этих решений позволит минимизировать риски внутренних инцидентов информационной безопасности.

Также продукт сможет работать в связке с IdM-системой (Identity Management) Solar inRights, предназначенной для управления учетными записями. Благодаря интеграции двух решений получается создавать более полные матрицы доступа к используемым компанией информационным системам.

Важность модуля DCAP для вашей организации

Продукт данного класса позволит обеспечить защиту данных ограниченного доступа и критически важных сведений. Также система необходима для контроля соблюдения внутренних политик безопасности, проведения аудитов и расследования инцидентов информационной безопасности.

Как выбрать свой модуль DCAP

При выборе следует учитывать несколько важных критериев:

• Архитектура продукта. Следует обращать внимание на количество и сложность компонентов решения, особенности встраиваемости в информационную инфраструктуру.
• Функциональность модуля DCAP. Обязательно следует оценить возможности продукта и сопоставить их с задачами компании. Причем очень важно, чтобы заявленные функции действительно реализовывались на практике. Это можно установить путем тестирования системы непосредственно в границах информационной инфраструктуры организации.
• Удобство эксплуатации модуля DCAP. Решение должно обладать наглядным продуманным интерфейсом, позволяющим оперативно настраивать необходимые опции и управлять работой платформы.

Также очень важно наличие технической поддержки вендора. Специалисты по продукту должны быть на связи, чтобы помочь разобраться с системой и произвести необходимые настройки. Компаниям, использующим модуль DCAP, предлагается три варианта технической поддержки: гарантийная (для всех клиентов), стандартная и расширенная. Последняя предполагает быстрое реагирование специалистов и максимально оперативное восстановление функций системы при критических обращениях.