Журнал "Information Security/ Информационная безопасность" #3, 2023

В FileAuditor можно обя- зать пользователей само- стоятельно ставить на доку- менты метки конфиденци- альности: система не позво- лит сохранить документ или отправить письмо без метки. Системы постепенно при- учают сотрудников анализи- ровать контент и самостоя- тельно делать вывод, требу- ет ли он защиты. Автоматизированное обучение правилам ИБ делает его проще как для службы безопасности, так и для конечных пользовате- лей. чая подсказки, когда делают что-то потенциально опасное. Следующим шагом на пути к безопасности является активное обучение правильным с точки зрения ИБ действиям. Шаг 2. Обучаем Пользовательский интерфейс в КИБ не просто окошко уве- домлений. Его важная задача заключается в том, чтобы нала- дить диалог пользователя со службой ИБ. Если сотруднику требуется воспользоваться флешкой или открыть докумен- ты, к которым у него нет доступа, то он может отправить соответ- ствующий запрос службе без- опасности (также можно обязать сотрудников пояснять в коммен- тариях, зачем и на какое время требуется доступ), в свою оче- редь КИБ оповестит ИБ-специа- листа, который в один клик сообщит сотруднику о решении – примет или отклонит заявку. Как только заявка одобрена, сотруднику предоставлен доступ, за его действиями можно установить дополнитель- ный контроль, отозвав решение, если он совершит что-то неле- гитимное. В этих ситуациях требуется участие ИБ-специалиста, хотя связь с коллективом через КИБ гораздо удобнее, чем разбор личных обращений от сотруд- ников. С помощью таких запро- сов пользователи оценивают критичность своих действий, так как получают прямую обрат- ную связь – разрешение или запрет от службы ИБ. Для таких процессов есть и автоматические инструменты. Так, в FileAuditor можно обязать пользователей самостоятельно ставить на документы метки кон- фиденциальности: система не позволит сохранить документ или отправить письмо без метки. При попытке сохранить документ без метки сотрудник получит опове- щение следующего характера: "Сохранение документа не может быть выполнено. Установите метку классификации" – и не сможет продолжить работу с фай- лом, не выполнив требования. В FileAuditor предусмотрен режим автоматической провер- ки и исправления ошибок. Если метка стоит неправильно, например "общедоступно" на документе с персональными данными, то система автомати- чески заменит ее на нужную или поставит необходимую метку, если ее вообще нет. Шаг 3. Делегируем ответственность В идеале сотрудники не только соблюдают стандарт- ные правила ИБ, но и знают, как действовать в опасных ситуациях. Это так называе- мый продвинутый уровень диа- лога пользователей и службы ИБ. Например, служба без- опасности может доверить сотрудникам самостоятельную разблокировку автоматически заблокированных данных – такой подход снижает нагрузку на безопасников и риск оста- новки легитимных бизнес-про- цессов. В почтовом карантине "Сёрч- Информ КИБ" есть режим, когда сотрудник сам подтвер- ждает, что отправка письма необходима, и принимает все риски на себя. Если он полу- чит оповещение, что его дей- ствия похожи на утечку, то система предложит отказать- ся от идеи или разблокиро- вать письмо самостоятельно, что бывает необходимо и свя- зано с прямыми служебными обязанностями, например передачей финотчетности в бухгалтерию на аутсорсе. Для разблокировки писем сотруд- нику достаточно пройти по ссылке в уведомлении. Есть также вариант, когда пользо- вателю нужно ответить на автоматическое оповещение о блокировке, чтобы ее отме- нить, тогда доказательства его действий останутся на почтовом сервере. В FileAuditor тоже есть более "мягкий" режим работы. DCAP не будет строго требовать раз- мечать документы, но напомнит об этом следующим сообщени- ем: "Документ будет сохранен без метки классификации. Про- должить?" – оно привлечет вни- мание к тому, что метка реко- мендована, но окончательное решение должен принять поль- зователь. Системы постепенно при- учают сотрудников анализиро- вать контент и самостоятельно делать вывод, требует ли он защиты. В свою очередь, зна- ние, что за всеми действиями ведется постоянный контроль, сильно дисциплинирует. А все вместе это страхует от инци- дентов "по незнанию". Но если пользователь все же проигно- рировал предупреждения систе- мы, то сохраняется подтвер- ждение, что нарушение было намеренным. Автоматизированное обуче- ние правилам ИБ делает его проще как для службы безопас- ности, так и для конечных поль- зователей: соблюдение базовых требований становится еже- дневной полезной рутиной, закрепляет правильные привыч- ки, но при этом не делает дей- ствия пользователя машиналь- ными, ему приходится вникать в суть, потому что системы вовлекают в процесс принятия решений. DLP и DCAP не станут само- стоятельным тренажером по киберграмотности, но вкупе с другими видами обучения помо- гут держать коллектив в тонусе и развивать ИБ-культуру в ком- пании. Связка "СёрчИнформ КИБ" и "СёрчИнформ FileAuditor" защи- тит данные и облегчит работу ИБ-специалистов. Попробуйте – это бесплатно на 30 дней: QR-коды: • 17 DLP, DCAP, DAG www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ SearchInform см. стр. 68 NM Реклама