Управление и ответственность в системах защиты информации от утечки

По статистике в трех из пяти случаев ответственность за утечку информации лежит на сотруднике компании. Причем, он может даже и не подозревать об этом, т.к. часто инциденты происходят в результате неумышленных действий. Но есть в компании и сотрудники, на которых зачастую возлагают ответственность за утечку информации, независимо от того, по его вине это произошло, или нет. Это — специалисты (офицеры) по информационной безопасности (далее — ИБ), отвечающие за работу систем, обеспечивающих защиту информации компании (в том числе и DLP-систем). Правильно ли это? За что отвечает офицер информационной безопасности при наличии системы DLP в компании? Какие меры ответственности могут применяться к сотрудникам, допустившим утечки конфиденциальных данных? С этими вопросами разбираются эксперты компании Solar Dozor, разработавшей DLP-систему, занимающую одну из лидирующих позиций по уровню продаж на российском рынке.

Управление событиями и инцидентами в системах защиты от утечки информации

В современных DLP все это максимально автоматизировано. При внедрении решения в нем задаются правила и политики, по которым фильтруется контент, и обрабатываются события, происходящие в защищаемой системе. DLP следит за 3 видами сущностей: люди, информация и нарушения. Все, что происходит в защищаемом периметре, — это события (отправка файлов, переписка, копирование каких-то файлов на внешние носители и так далее). Каждое событие анализируется по установленным правилам и политикам. В случае обнаружения отклонений возникает инцидент информационной безопасности. На этом этапе управление переходит к специалисту по ИБ (офицеру ИБ). Инцидент обрабатывается, и на основе полученных результатов принимается решение (назначение расследования, блокировка определенных действий для пользователя, усиление контроля и так далее).

Конечно, офицер по ИБ вмешивается в процесс не только при возникновении инцидента. Все события, происходящие в защищаемом периметре, отображаются у него на консоли DLP-решения. Если специалист видит, какие-то отклонения, он может принимать меры, не дожидаясь сигнала от системы защиты от утечек.

Зона ответственности специалиста по ИБ при использовании DLP-решения в компании

Обеспечение информационной безопасности и защиты от утечек, в частности, — вопрос серьезный. При внедрении DLP-системы и других решений в области ИБ эксперты рекомендуют придерживаться следующих советов:

  • ответственность за защиту от утечек конфиденциальных данных не должна быть дополнительной нагрузкой для IT-специалистов в добавок к их основному профилю. Эксперты не рекомендуют в целях экономии «навешивать» такие функции, например, на системных администраторов или сотрудников службы технической поддержки. За работу DLP-системы и других решений должен отвечать отдельный специалист (группа сотрудников);

  • у специалистов по информационной безопасности должны быть соответствующие полномочия для полноценного проведения расследований инцидентов и достаточные «рычаги влияния» на процессы внутри компании. Но все делается в меру. Слишком много полномочий — тоже не всегда хорошо. Чтобы найти баланс между возможностями, предоставляемыми офицерам ИБ, и их ответственностью, стоит проанализировать опыт других компаний и проконсультироваться с экспертами;

  • в сфере ИБ, как и в других, желательно организовать разделение функций сотрудников. Целесообразно сделать так, чтобы, например, администрированием средств защиты и методологическим управлением процессами занимались разные специалисты. В случае с DLP это реализуется путем внедрения двух «линий» безопасности. При обнаружении у события признаков инцидента ИБ оно поступает на обработку офицеру первой линии. Он принимает решение — «пропустить» событие, как безопасное, или классифицировать его как инцидент. Во втором случае событие поступает на обработку специалистам второго уровня, которые проводят расследования. В некоторых компаниях, использующих DLP, эти функции и ответственность за расследование утечек информации совмещаются. Но все зависит от размера организации, характера данных, с которыми она работает, и ряда других факторов.

Конечно же, не стоит забывать о регулярном обучении и повышения квалификации специалистов, работающих с DLP, а также иными средствами обеспечения ИБ. Угрозы постоянно эволюционируют, появляются новые средства и способы несанкционированного сбора конфиденциальной информации. А значит, сотрудники, на которых ложится ответственность за предотвращение и обнаружение утечек информации, должны иметь соответствующий уровень подготовки.

Также эксперты отмечают важность развитого «эмоционального интеллекта» специалистов по информационной безопасности. Важны не только прикладные навыки. Такой специалист должен уметь грамотно коммуницировать с сотрудниками компании, независимо от должности, находить подход к каждому собеседнику, уметь анализировать поведение, настроение и так далее.

Ответственность рядовых сотрудников за утечки

Одна из составляющих успешного внедрения системы защиты от утечек информации — понимание сотрудниками о том, что они несут ответственность за подобные действия. Не стоит надеяться на эффективность скрытого контроля. Сотрудник, знающий о том, что в компании налажен контроль за его действиями, и ответственность за утечку информации неотвратима, будет принимать необходимые меры для предотвращения инцидентов.

Еще один аргумент в пользу необходимости оповещения работников об использовании средств обеспечения ИБ, и DLP, в частности, — требования законодательства. Работодатель обязан оповещать сотрудников об использование средств контроля. А системы защиты от утечек как раз относятся к ним, т.к. могут контролировать рабочее время, действия сотрудников с файлами, переписку и другие параметры.