Поделиться
Как защитить информацию: пошаговая стратегия
Любая современная компания подвержена рискам утечки конфиденциальной информации. Однако при этом далеко не каждый топ-менеджер уверен в том, что ее необходимо защищать. Люди убеждены, что уж с ними-то точно никаких неприятностей не случится и что традиционный фаервол вполне может справиться с обеспечением ИБ. Как же доказать, что внедрение DLP необходимо, и оценить реальные риски?Обоснование. Внешняя статистика
Если затронули о внутренней статистике, то стоит сказать и о внешней — данных об утечках из других организаций. Согласно статистике Open Security Foundation, с начала 2008 года в мире была обнародована информация о более чем 1700 утечках. И это только обнародованные данные, реальных утечек больше в тысячи раз. С Россией и СНГ ситуация сложнее: если на Западе большинство коммерческих компаний и государственных организаций обязаны извещать об известном им факте утечки, то у нас такие сообщения появляются исключительно с подачи сотрудников или журналистов. Несмотря на то, что проблема безопасности конфиденциальной информации, особенно персональных данных, часто поднимается в ведущих СМИ, пока еще крайне мало организаций внедрили системы защиты от утечек.
Статистику Open Security Foundation и других подобных организаций, несомненно, можно использовать как часть обоснования. Ведь если даже в крупных западных компаниях, в числе которых AIG, Citigroup, Kia Motors, McAfee, Shell, T-Mobile, Vodafone, Zurich, иногда происходят утечки даже с учетом более развитой корпоративной культуры и лучших условий труда, что уж говорить о России, где краденые базы данных некоторых операторов связи обновляются с завидным постоянством. Конечно, с подсчетом вероятности утечки из конкретной организации такие данные вряд ли помогут, однако прикладывание внешней статистики к основному обоснованию является хорошей практикой.
Обоснование. Экспертная оценка
В случае с DLP существует два эффективных метода подсчета примерной вероятности утечки, основанных на экспертных оценках. Первый способ — формирование небольшой экспертной группы из менеджеров среднего и высшего звена. Обычно те, кто каждый день работает с информацией, знают не только перечень данных, но и реальный ущерб от возможной утечки, и могут на своём уровне оценить вероятность кражи или потери, ведь для них очевидны настроения сотрудников и сценарии использования данных.
Итоговый список аудиторских документов:
- Перечень основных конфиденциальных данных;
- Примерная вероятность хотя бы одной утечки;
- Вероятные убытки от одной утечки (если подсчитывались);
- Общая оценка риска, равная произведению убытков и вероятности;
- Дополнительные обоснования (например, внутренняя статистика утечек);
- Примерная стоимость DLP-решения и сопутствующих работ.
Итогом работы экспертной группы должна стать суммарная оценка возможного ущерба и вероятность утечки. Кроме того, лояльность участвовавших в качестве экспертов менеджеров обычно повышается, а значит - дает дополнительные плюсы при итоговом обосновании.
Второй способ экспертной оценки — привлечение внешних специалистов, которые уже имели опыт обоснования и внедрения DLP. Они подойдут к вопросу комплексно: выделят существующие каналы утечки конфиденциальной информации, опишут реалистичные сценарии и вынесут свою оценку возможности реализации для каждого из этих сценариев. Несомненным плюсом привлечения внешнего аудита является опыт и "незамыленность взгляда" специалистов и подготовленные в результате документы, которые обычно содержат наглядную шкалу с оценкой вероятности и ущерба от утечки для каждого выделенного сценария.
Прогнозирование последствий утечки
Завершающим этапом оценки рисков, связанных с утечками информации, должно стать прогнозирование возможных последствий от кражи или потери для всех выявленных категорий конфиденциальных данных.
Стандартные варианты негативных событий, к которым могут привести утечки:
- Потеря выгодных контрактов и доверия клиентов и поставщиков;
- Падение привлекательности бренда и отток существующих заказчиков;
- Снижение капитализации и доверия со стороны инвесторов;
- Утрата конкурентных преимуществ и "ноу-хау";
- Падение лояльности сотрудников и увеличение текучки кадров;
- Санкции регулирующих органов и судебные иски;
- Повышенное внимание со стороны СМИ;
- Необходимость существенных затрат на погашение возможных конфликтов.
Под последствиями подразумевается любой прямой и косвенный экономический ущерб, хотя иногда для обоснования достаточно лишь расставленных приоритетов без точных цифр.
В итоге для каждой категории конфиденциальных данных, выявленной на этапе оценки рисков, прописываются негативные события, которые могут наступить в случае утечки информации. У каждого полученного соответствия (категории и последствий — прим. ред.) выставляется приоритет и, при необходимости, вероятный ущерб. Правильно расставленные приоритеты будут полезны и на этапе внедрения DLP, так как позволят планомерно подключать политики для каждой категории данных.
Дополнительные варианты обоснования
В большинстве организаций существуют требования к security baseline (базовому уровню безопасности), в том числе к антивирусной и сетевой защите. Затратам на соответствие security baseline почти всегда ставится высокий приоритет и выделяется больший бюджет, при этом DLP почти никогда не являются частью таких требований. Внесение в security baseline требований к защите от утечек является хорошей практикой, так как обычно переводит процесс обоснования в плоскость необходимости соответствовать собственным же стандартам безопасности, которые утверждались топ-менеджментом.
Во многих развитых странах уже довольно давно существуют законодательно закрепленные требования к защите от утечек информации. В России в свою очередь существует закон 152-ФЗ "О персональных данных", который при желании можно использовать для обоснования издержек на DLP. Если не углубляться в тонкости, то на этапе построения моделей угроз можно довольно легко включить туда требования к защите от утечек данных, а в рекомендованные решения – предварительно выбранную DLP. Единственный момент — систему, скорее всего, необходимо будет специально сертифицировать, хотя в разрезе всего проекта этот процесс займёт не так много времени — около двух месяцев.
Сегодня также существует множество отраслевых стандартов, из которых стоит в первую очередь отметить PCI DSS (стандарт защиты информации в индустрии платежных карт), Кодекс корпоративного поведения ФСФР и Стандарт Банка России. В каждом из них есть требования, соответствие которым можно функционально возложить на DLP. Для организаций, работающих на зарубежных рынках, необходимо обратить пристальное внимание на Basel II, FACTA, GBLA, HIPAA, NASD 3010/3110, SEC Rule 17a-4, SOX и локальные кодексы корпоративного управления. Часто в них фигурирует формулировка "необходимо обеспечить достаточный уровень защиты", которая на практике серьезно развязывает руки в процессе обоснования.
Несмотря на все приведенные причины внедрения DLP, при обсуждении необходимости реализации такого проекта нередко возникает опасение, что эффект будет отрицательный: бизнес-процессы замедлятся или вовсе нарушатся, сотрудники станут менее лояльными и в итоге уволятся. На самом деле при грамотном внедрении DLP ничего подобного не произойдёт, ведь в конце концов систему можно поставить в пассивный режим, который никак не скажется на существующих процессах. Тем не менее, необходимо заранее подготовиться к подобной реакции отторжения, ведь многие проекты, связанные с DLP, заканчивались крахом именно по причине невозможности ответа на такого рода возражения.
Однако на самом деле обычно хватает и части приведенных обоснований, ведь топ-менеджмент прекрасно понимает цену времени, и если служба безопасности потратила много времени и говорит языком бизнеса, то задача защиты от утечек действительно актуальна.
Поделиться
Короткая ссылка
