Лаврик И.В.
Доцент, к.э.н. Палагута Е. А.
Донецкий национальный университет
экономики и торговли имени Михаила
Туган-Барановского, Украина
Интеграция IRM- и DLP-решений
Из-за уязвимостей систем информационной безопасности каждая организация
имеет риски, периодически превращающиеся в существенные финансовые
потери.
Основное затруднение,
связанное с обеспечением защиты от утечки информации, заключается в том, что по
одним и тем же каналам (электронная почта, VPN-каналы, web, IP-телефония, порты
ввода-вывода рабочих станций, WiFi) осуществляются и важнейшие коммуникации, и
приводящие к утечкам передачи этой информации. Первый приоритет –
неприкосновенность существующих бизнес-процессов, второй – защита от утечек.
На сегодняшний день наиболее перспективными решениями
по обеспечению эффективной защиты от утечек информации считаются DLP и IRM.
Основные
практические достоинства DLP заключаются в том, что эти решения: способны
классифицировать и выделять наиболее важные для защиты данные (развитые
механизмы анализа содержимого); приспособлены для тотального охвата
информационных потоков организации (множество отслеживаемых каналов, развитая
система обработки инцидентов, гибкое распределение ролей); подстраиваются под
существующие бизнес-процессы (эффект от использования DLP достижим без
организационных преобразований и увеличения штата).
Основные ограничения DLP
являются оборотной стороной их преимуществ: из-за своей приспособленности для
общекорпоративного охвата (множество документов, каналов передачи,
подразделений организации) решения DLP плохо подходят для гранулярной защиты
единичных документов и не содержат встроенных средств шифрования; методы
классификации данных, используемые в DLP и подходящие для глобального охвата
всех обрабатываемых ресурсов, могут пропустить те данные, которым система не
была обучена. Например, в системе не так легко прописать логику распределения
специальных ценовых предложений по различным клиентам.
Если основная задача по
обеспечению конфиденциальности организации заключается в том, чтобы не
допустить распространения только нескольких конкретных документов, либо
обезопаситься от попадания прайс-листа одного клиента другому клиенту (когда
типов прайс-листов – тысячи), то DLP – не лучший выход. В первом случае
необходимо шифровать документы, а во втором – наладить систему управления
правами доступа к информации.
Решения класса IRM
предназначены в первую очередь для обеспечения безопасного
документооборота, в который вовлечено ограниченное число ответственных
сотрудников организации и, возможно, внешних контрагентов.
В основе работы решения
лежит тот принцип, что все критические документы должны храниться в
зашифрованном виде, а права на определенные операции с этими документами
централизованно раздаются ассиметричными ключами шифрования.
Оговоримся, что
используемый в рамках этого обзора термин IRM (Information Rights Management) –
не самый распространенный для описания данного класса решений.
Основные преимущества
решений IRM: обеспечение гранулярной защиты определенного ограниченного набора
документов. Среди прочих решений по шифрованию IRM является наиболее
эффективным и удобным классом решений для такой задачи, обеспечивая надежную
криптографическую защиту и распределение ключей только выделенным ответственным
группам сотрудников; независимость от способа передачи/обмена документами. В
каком бы виде не передавался “запечатанный” при помощи IRM документ, прочесть
его сможет только наделенный соответствующими правами сотрудник; возможность
изъятия документов из обращения. В случае, если требуется заблокировать доступ
к определенным документам, централизованно раздается политика, по которой права
на чтение отключаются выбранным группам сотрудников; централизованная
регистрация использования защищаемых документов и попуток получения к ним
доступа.
Исходя из преимуществ
IRM, возникают и соответствующие ограничения: существует риск потери доступа ко
всем защищаемым документам в случае отказа сервера авторизации IRM; система
будет уязвима к утечкам, если требуется обмен конфиденциальной информацией с
внешними партнерами или клиентами, которые не могут использовать аналогичное
решение IRM. Придется снимать защиту с документов, а это – брешь защиты
всей системы; IRM не способна выполнять классификацию и не различает дубликаты
одного и того же документа. Если на один из документов не распространяется
политика, система не защитит его от утечки; организация должна доверять
сотрудникам вопросы назначения прав доступа к новым создаваемым документам,
подлежащим защите. Необходимо выстроить процесс назначения политик; трудоемок
процесс управления матрицей прав доступа к документам; западные решения IRM не
могут быть использованы в качестве средства криптографической защиты
персональных данных, так как не используют российский криптоалгоритм.
Как видно из
рассмотрения, решения DLP и IRM сочетают в себе, казалось бы, взаимодополняющие
достоинства: DLP со своим глобальным охватом каналов передачи информации и
качественной классификацией ресурсов, и IRM со своей гранулярной
криптографической защитой. Однако на сегодняшний день не создано решения,
сочетающего элементы и того, и другого класса решений.
Далее рассмотрены этапы
становления дружбы между производителями DLP и IRM и перспективы слияния двух
классов решений.
Совместное решение нового
класса, на основе DLP и IRM, предоставит заказчикам следующие преимущества: DLP
способствует наведению порядка с классификацией разнородной информации и тем
самым облегчит внедрение и использование систем IRM; IRM усилит DLP
возможностями гранулярной защиты наиболее ценных ресурсов криптографическими
методами; обеспечивается двойная защита коммуникаций при обмене
конфиденциальной информацией с партнерами или клиентами: DLP обнаруживает,
классифицирует информацию, а IRM выполняет точечную защиту определенных
коммуникаций; сохраняются наработки и осуществленные инвестиции в
информационную безопасность, если одна из систем уже была внедрена.
Итак, современные
технологии защиты информации от утечек успевают реагировать на возрастающие
уязвимости информационной безопасности. Два самых передовых класса решений,
приспособленных для защиты от утечки информации вне центров обработки данных
(DLP и IRM) объединяются в настоящее время, а в ближайшие годы будут
представлять собой единое интегрированное решение. Если приступать к обеспечению
защиты от утечек сейчас, стоит внедрить:
·
во-первых, решения по
шифрованию хранимых данных и архивов;
·
во-вторых, решения DLP с
налаженной классификацией данных – в рамках всей организации;
·
и, в-третьих,
интегрированное с DLP решение класса IRM на основе удостоверяющего центра, но
на ограниченном наборе документов и групп ответственных пользователей.
При дальнейшем развитии и
слиянии технологий, возможно расширенное довнедрение подсистемы, представлявшей
из себя IRM.
Литература:
1.
Зенин Николай, Защита информации от утечек: интеграция IRM- и DLP-решений / [Электронный ресурс] http://www.leta.ru/press-center/publications/
article_490.html