От безопасности инфраструктуры к безопасности контента

Важность централизованной стратегии безопасности для сменных носителей

Случаи кражи данных и нарушения режима конфиденциальности продолжают учащаться. Убытки от каждого такого случая уже составляют в среднем 202 доллара США. Для борьбы с правонарушениями регулирующими государственными органами был принят ряд законов, имеющих ярко выраженный нормативный характер и ужесточающих санкции в отношении злоумышленников. Примером такого закона является закон штата Массачусетс о конфиденциальности данных (Massachusetts Data Privacy Law 201CMR 17.00). Он требует принятия мер безопасности и строгого контроля за юридическими и физическими лицами, а также организациями, работающими с информацией личного характера. В отличие от многих других норм, регулирующих работу с конфиденциальными данными, в законе предусмотрены конкретные меры, такие как, например, шифрование данных о клиенте при их передаче и хранении, использование и своевременное обновление брандмауэров и программ для обеспечения системной безопасности.

Почему компании инвестируют средства в безопасные сменные носители
Шифрование данных на ноутбуках и портативных запоминающих устройствах соответствует многим из существующих требований: при потере зашифрованного устройства данные остаются полностью заблокированными и недоступными, что исключает утечку конфиденциальных данных и отменяет необходимость публично разглашать факт потери.

Если один путь доступа к вашим данным оказывается заблокированным, то потенциальные нарушители, как правило, начинают искать другой путь доступа. Рассмотрим несколько способов защиты сменных носителей.

Пользователь может применять предварительно зашифрованные USB-накопители в качестве основных устройств для хранения данных, что позволяет легко соблюдать требования шифрования данных и иметь централизованный доступ к ключам и паролям. Но в случае использования такого устройства на личном компьютере сотрудника, например, у него дома, появляется риск кражи данных с помощью клавиатурных шпионов и других вредоносных программ, а также опасность того, что данные будут распечатаны или скопированы на личный компьютер с целью их неограниченного использования. Кроме того, устройство без встроенной системы защиты может оказаться зараженным вредоносными программами и, попав в офис, причинить вред компьютерным системам и сетям компании.

Другой распространенный подход: блокирование портов для предотвращения доступа. Однако сейчас уже используется большое количество незашифрованных устройств, а в некоторых отраслях необходимо использовать специальные устройства, которые не поставляются в предварительно зашифрованном виде. Блокирование всех без исключения неучтенных устройств раздражает пользователей, в результате чего они начинают обращаться с жалобами или обходить блокировку, например, путем пересылки файлов по веб-почте. А выборочное блокирование может оказаться нелегкой задачей, если конфигурация вашего средства контроля не позволяет добавлять новые устройства и правила. В результате многие компании до сих пор никак не ограничивают использование USB-устройств, открывая возможности для потери данных или кражи данных сотрудниками.

Точечный подход приводит к необходимости использовать дополнительные механизмы контроля для обеспечения шифрования файлов с конфиденциальными данными, ограничения использования веб-почты и проверки исходящих электронных сообщений, содержащих конфиденциальные данные. В принципе, для обеспечения эффективной защиты необходимо контролировать то, что пользователь делает с данными, а не просто то, как данные используются и шифруются на ноутбуке или USB-устройстве.

Масштабы использования сменных носителей увеличиваются, и в будущем будет невозможно контролировать все тактически важные точки. С точки зрения ИТ независимые друг от друга системы станут непрактичными вследствие того, что для соблюдения всех предписаний и внесения изменений в правила, отдельные устройства и системы ПК будет требоваться все больше усилий. По этой причине аналитики предсказывают переход от средств контроля над безопасностью, ориентированных на конкретные устройства, к модели, в которой используются централизованные наборы правил для отбора и применения средств контроля на основании анализа самих данных. Этот переход требует разработки стратегии обеспечения безопасности сменных носителей и построения системы технической реализации правил и управления безопасностью с помощью практических средств тактического контроля.

«Фокус информационной безопасности сместится с обеспечения безопасности устройств и инфраструктуры на обеспечение безопасности данных и контента. Поскольку фирмы развивают свои бизнес - модели в сторону эффективного использования партнеров, сторонних поставщиков и подрядчиков, защита данных становится более важной, чем защита инфраструктуры.»
— Алекс Каллен, Forrester,
«The Top IT Technology Trends EA Should Watch» (Основные направления развития ИТ-технологий, которые должны отслеживать EA),
№ 54322, стр. 20.

Построение управляемой системы безопасности сменных носителей на основе контента
В личных данных и другой охраняемой информации обычно используются структурированные регулярные выражения и форматы. Такая предсказуемость позволяет относительно легко создать единый набор правил на основе требований законодательства и прогнозируемых вами рисков. Многие программы имеют готовые шаблоны для создания правил. Некоторые программы могут обнаруживать данные и помогать вам самостоятельно правила, отражающие специфические потребности вашего предприятия или фирмы. Такая точность помогает вам защищать неструктурированные данные, такие как исходный код, чертежи и другие объекты интеллектуальной собственности.

Благодаря этим преимуществам у вас теперь есть возможность сделать так, чтобы один набор правил выполнялся несколькими разными средствами технического контроля. Например, поскольку адреса клиентов являются конфиденциальной информацией, вы можете задать правило, согласно которому эти данные должны шифроваться при сохранении их на ноутбук или сменный носитель или при пересылке их в любое место внутри организации или вне ее. Затем это правило должно быть технически реализовано на ПК, ноутбуках и портативных запоминающих устройствах всех типов, как предоставленных компанией, так и личных.

Одно правило, несколько средств контроля
Концепция кажется простой. Однако основная сложность — и путь к успеху — в ее реализации. Сначала вам понадобится единая централизованная система правил и технического обслуживания. Составление единого набора правил позволяет отслеживать изменения, вносимые подразделениями компании и нормативными требованиями, и избавляться от излишних процессов. Вы можете использовать один и тот же набор правил для процессов шифрования и для управления устройствами, чтобы обеспечить единообразность технической реализации и упростить порядок хранения учетных данных и инвентаризации.

Далее вам понадобится способ для строгой (но выборочной) реализации этих правил на всех типах сменных носителей и устройств. Это значит, что ваши правила должны быть напрямую связаны со средствами контроля, а эти средства контроля должны быть многофункциональными и хорошо конфигурируемыми для учета всех имеющихся пользовательских ситуаций, комбинаций устройств и прогнозируемых рисков — от шпионских программ до кражи данных сотрудниками. Легко понятный, фоновый режим работы должен давать пользователям возможность работать не отвлекаясь и сокращать риск появления ошибок и пропусков.

Вот где использование средств контроля, реагирующих на контекст и поведение, приносит ощутимые результаты. Некоторые действия допустимы в одном месте и рискованы в другом. Некоторые действия можно совершать с неохраняемыми данными, но нельзя с конфиденциальными. Например, если пользователь пытается скопировать файл на USB-накопитель, то вместо того, чтобы полностью запрещать или полностью разрешать использование портативных устройств, следует провести анализ и проверку файла. Если файл на самом деле окажется конфиденциальным, то нужно запретить его копирование. В таком случае можно проинформировать пользователя о необходимости воспользоваться разрешенным к использованию, предварительно зашифрованным и учтенным в центральной базе данных портативным запоминающим устройством. Что касается личных и неучтенных устройств, то в них шифрование может быть реализовано в виде временного решения на файловом уровне или с помощью временного контейнера, дающего возможность портативного шифрования данных на таких случайных устройствах.

Если же данные не связаны ни с каким риском, то меры безопасности будут только мешать пользователю. Такое осторожное балансирование позволяет сохранять мобильность и производительность без ущерба для безопасности.

И наконец, централизованная система управления должна обеспечивать эффективный мониторинг, оповещение и точную отчетность. Она должна минимизировать усилия, необходимые для демонстрации соответствия требованиям при аудиторской проверке, и помогать быстро обнаруживать проблемы и реагировать на них. Известно, что от скорости, с которой компании обнаруживают нарушения и реагируют на них, в значительной мере зависит величина расходов на устранение последствий таких нарушений.

Заключение
Ужесточение требований законодательства, кража данных сотрудниками, потеря устройств и киберпреступность заставляют компании принимать более серьезные меры, чем просто шифрование ноутбуков и запрет USB-носителей. Нужна стратегия работы со сменными носителями, позволяющая учесть все ситуации, охватить разные виды устройств и обеспечить гибкость и мобильность для пользователей. Централизованная система управления дает предприятиям и фирмам надежную платформу для реализации политики безопасности по разумной цене на любом устройстве и для любого нормативного требования, позволяя при этом сохранять столь важную для процветания бизнеса производительность.

Более подробно см. http://dataprotection.mcafee.com/content/VitalInformation/

Скачать документ От безопасности инфраструктуры к безопасности контента.pdf