Зачем нужна пользовательская классификация данных

Помимо хакерских атак и кражи устройства, существует угроза со стороны сотрудников компании. Преднамеренный "слив", случайная отправка на ошибочный e-mail и другие инциденты, вытекающие из незнания правил работы с персональными данными и конфиденциальной информацией, могут нанести вашей организации серьезный ущерб.

Каким должен быть современный подход к защите от утечки данных и как на практике работает пользовательская классификация — разбираемся ниже.

Роль сотрудников в информационной безопасности

Без сотрудников, которые являются непосредственными владельцами информации, создание целостной системы безопасности превращается в настоящее испытание. Например, важный чертеж или отчет может выйти за пределы компании, так как ИБ-департамент был не в курсе его истинной ценности. Чтобы вовлечь сотрудников в обеспечение безопасности, бизнесу нужно предпринять несколько шагов:

  • определить, какими типами чувствительных данных он оперирует в рамках своей деятельности (конфиденциальные, служебные, персональные и т.д.);
  • кто из персонала компании должен иметь доступ к этим данным для выполнения своих служебных задач;
  • регламентировать правила работы с такими типами данных (назначение уровня конфиденциальности, правил хранения и передачи и т. д.);
  • проинформировать пользователей с доступом к перечисленным типам данных о правилах работы с ними;
  • обучить их обязательным процедурам (классификация данных, работа с ними на каждом этапе жизненного цикла);
  • внедрить контроль выполнения этих процедур со стороны информационной безопасности.

Если пользователь создает файл и включает туда известную ему конфиденциальную информацию, то именно этот пользователь, как владелец файла, обязан поставить соответствующую отметку об уровне конфиденциальности. Это и есть пользовательская классификация данных, реализовать которую можно с помощью решений вроде Boldon James или Titus.

Подходы к пользовательской классификации данных

Прежде чем внедрить пользовательскую классификацию, нужно понять принцип ее работы.‎ Разберем это на примере решения от Boldon James.

Принцип "светофор‎" — зеленый, желтый, красный

Зеленый — публичная информация. Сотрудник вовлечен в процесс документооборота. Цель метки — приучить сотрудников следовать корпоративным стандартам.

Желтый — служебная информация. Умеренный риск утечки таких данных. Позволяет разделять личные документы и служебные.

Красный — критическая информация. Метка позволяет фокусно защитить документ от утечки. Так, именно на сотруднике-авторе файла "закупка 200 тонн алюминия.docx" лежит ответственность за его сохранность.

Подход "Корпоративный шаблон"

  • Финансовая компания. Метки, разделенные по регуляциям GDPR, PCI\DSS, Постановление 95 Центробанка.
  • Фармацевтика. Метки — это номенклатура лекарств и персональные метки ответственных лиц за визирования отгрузок.
  • Производство. Метки — это интеллектуальная собственность, номенклатура документов по уровню значимости.

Технические нюансы

Пользовательская классификация данных поддерживается:

  • Офисным набором Microsoft: Word, Excel, PowerPoint, Visio — визуализация метки в открытом окне программы;
  • Офисным набором от Opensource community: Open office;
  • Почтовыми клиентами: Microsoft Outlook, Lotus Notes;
  • ОС Windows (нажатие правой кнопки мыши и установления метки на любой тип файла);
  • Web-версией офисного набора Microsoft.

Хоть сотрудник и выставляет метки самостоятельно, софт может корректировать его действия.

Например:

  • Классификация электронной почты, а также вложений в письма — автоповышение метки письма, если вложение критическое.
  • Классификатор поддерживает пакет Microsoft Office, включая Word, PowerPoint, Excel, Visio и Project, AutoCad. Визуализация в виде водяных знаков, логотипов на документах.
  • Классификатор поддерживает несколько языков. Автовыставление Красной метки (top secret), если в документе встречаются определенные слова на любых языках: секретно, таємниця, secret и т. д.
  • Классификатор предоставляет помощь для выбора правильного уровня классификации перед отправкой или сохранением. В случае срабатывания более двух шаблонов, выводит окно подсказки пользователю с кнопкой по уровню метки — на выбор
  • Актуальность информации. Понижение уровня метки с "критично" до "служебно" через определенный период времени
  • Принудительная классификация. Ограничить пользователя в возможности совершать документооборот файлами без меток или, как минимум, затребовать выставление метки публично

Решение такого класса можно интегрировать с DLP (например, Digital Guardian), SIEM-системами, Firewall L7 и DRM. Такой комплексный подход обеспечивает дополнительную защиту для конфиденциальной информации и существенно снижает false-positive срабатывания.

Выводы

Благодаря тому, что сами авторы файлов задействованы в поддержании безопасности, бизнесу удается сохранить конфиденциальную информацию и не поставить на паузу важные процессы. Сотрудники не могут переложить всю ответственность на ИБ-департамент, так как оказываются сами вовлечены в процесс защиты файлов.

Конечно, это не весь путь, который необходимо пройти бизнесу для эффективной защиты данных. Пользовательская классификация — это только его начало.