Роман Гостевских, МСУ-1: Внедрение конфиденциального делопроизводства

«Монолитное строительное управление-1» (далее – МСУ-1) протестировало и внедрило DCAP-решение ведущего отечественного разработчика средств информационной безопасности «СёрчИнформ». Задача защиты и контроля файловых хранилищ остро встала после того, как в организации было введено конфиденциальное делопроизводство. Начальник отдела ИБ Роман Гостевских рассказал, по каким критериям выбирали систему, какой функционал оказался приоритетным и какие ИБ-инциденты удалось выявить.

– Роман, есть ли у вас критерии для оценки защищенности предприятия? Что они включают?

– Политика информационной безопасности компании включает стандартную для коммерческой организации проверку инфраструктуры предприятия на наличие возможных уязвимостей и поиск уязвимых мест в сети. Это анализ надежности паролей, настроек ПО, обновлений безопасности операционных систем, использование сканеров в процессе анализа защищенности и пр.

Но, так как мы являемся строительной компанией, под особую защиту попадают важная документация, связанная со строительством – проектные документы, архитектурные планы, чертежи, ноу-хау – все то, что потенциально может относиться к коммерческой тайне.

– Когда возникла необходимость во внедрении DCAP-системы?

– Задача контроля файлов, хранящихся и обрабатываемых на файловых серверах, на рабочих станциях пользователей и на прочих сетевых ресурсах компании – всегда стояла перед ИБ-отделом. Мы храним и обрабатываем большой объем данных. И некоторая их часть может содержать конфиденциальные сведения: ПДн, финансовые отчеты, чертежи и пр.

Необходимость в системе стала острой, когда в компании начали переход на конфиденциальный документооборот с грифами «Для служебного пользования» (ДСП) и «Государственная тайна». МСУ-1 управляет проектами разного типа, в том числе сотрудничает с государственными заказчиками и возводит государственные объекты. Часть документации, связанной с подобными проектами, может содержать критичные сведения, которые могут составлять как коммерческую, так и гостайну. Тогда перед службой безопасности были поставлены две задачи: реализовать закрытые контуры по передаче документов, содержащих государственную или коммерческую тайну, и отслеживать изменения в документах ДСП.

При внедрении конфиденциального документооборота недостаточно было настроить контроль только с помощью DLP-системы, чтобы защититься от утечек. Нам важно было получать всю актуальную информацию о «жизни» файлов (права доступа, редактирование, чтение, перемещение, удаление и пр.). В DCAP-системе от «СёрчИнформ» эту функцию выполняет специальный модуль, который позволяет присваивать файлам при работе с ними в различных офисных программах метки «Общедоступно» и «Для служебного пользования». Далее уже на основе этих меток, используя встроенные фильтры FileAuditor, мы ограничили доступ к документам и оставили его только привилегированным пользователям и группам и даже устройствам. Кроме того, в связи с требованиями по защите ПДн в 152-ФЗ возникла необходимость провести ревизию персональных данных в файловых серверах для отдела кадров.

– Как проходило внедрение DCAP в ИТ-инфраструктуру компании?

– Впервые «СёрчИнформ FileAuditor» мы протестировали в 2021 году, но тогда особой необходимости в его использовании не было, как сейчас после внедрения проекта конфиденциального документооборота.

Так как в компании МСУ-1 мы уже использовали DLP-систему «СёрчИнформ КИБ», то DCAP других вендоров не рассматривали. Для активации модуля FileAuditor нам не пришлось дополнительно устанавливать агентское и серверное ПО. По сути, мы просто обновили систему и подключили новую опцию.

Удобно, что DLP «СёрчИнформ КИБ» бесшовно интегрируется с «СёрчИнформ FileAuditor». Это упростило работу ИБ-специалистам. Далее, изучив весь функционал, мы расширили возможности в файловой системе конечным пользователям, которые присваивают файлам метки в зависимости от категории информации: «ПДн», «договоры», «государственная тайна» и т.п. Ранее файловый сервер, выделенный под эту задачу, был пустым. После небольшого обучения сотрудники соответствующего отдела сами стали заливать туда документы и ставить метки. С отделом кадров ситуация была сложнее из-за большого объема файлов, содержащих персональные данные: там мы настраивали автоматическую простановку меток.

DCAP вы используете в том числе для «обучения» сотрудников правилам ИБ и работы с конфиденциальной информацией. Но проводите ли вы какое-то обучение персонала по теме ИБ? Тестируете ли на знание правил инфобеза?

– Обучение и тестирование сотрудников основам киберграмотности в нашей компании уже давно стало системным процессом. Ежегодно мы проводим общее обучающее мероприятие по информационной безопасности для наших сотрудников. Рассматриваем с ними вопросы противодействия социальной инженерии, безопасной передаче конфиденциальной информации, защиты персональных данных и т.д. Также разбираем реальные кейсы противодействия инцидентам.

Поскольку персонал ежедневно работает с большим количеством чувствительных данных, важно, чтобы коллеги освоили базовые навыки защиты от киберугроз и сохраняли бдительность в процессе работы. Так, после обучения мы обязательно проводим онлайн-тестирование, чтобы закрепить и оценить полученные знания. Кроме того, в качестве профилактических мер отдел ИБ периодически делает тренировочные фишинговые рассылки. По их результатам смотрим, умеют ли сотрудники определять фишинг и переходят ли по ссылкам из мошеннических писем. Также обеспечиваем персонал соответствующими учебными материалами и проводим новостные рассылки с информацией о наиболее актуальных угрозах ИБ.

 Вы упомянули, что используете «СёрчИнформ КИБ». Как вы относитесь к режиму «открытого» контроля, который реализован в DLP?

– Отношусь положительно, так как это помогает снизить число инцидентов, предотвратить ошибки и привить в том числе пользователям базовую ИБ-грамотность. Удобно, что система позволяет оповещать сотрудников, если их письма не прошли проверку и попали в «карантин» из-за нарушения корпоративных правил. Мы видим, если сотрудник готов принять риски и нарушает нормы ИБ, в этом случае наши специалисты отдела ИБ сразу получают полный отчет о действиях работника и вмешиваются в ситуацию.

Так, открытые интерфейс агенты в МСУ-1 мы используем только на тех станциях, на которых сотрудники вручную ставят грифы. Например, если сотрудник пытается распечатать конфиденциальный документ – он тут же получит предупреждение о нарушении и блокировке доступа.  

– Вернемся к DCAP. Какие нарушения ИБ удалось выявить с помощью DCAP? Приведите примеры.

– Когда мы начали использовать DCAP, служба безопасности обнаружила стандартные нарушения. Сотрудники компании, которые работают с документами, содержащими персональные данные, уверяли, что хранят их в одной папке и следуют регламентированному процессу. Но, когда провели аудит с помощью FileAuditor, выяснили, что документы с ПДн хранились с нарушениями установленных правил – в общих сетевых папках, а также копировались на флешки, пересылались на внешнюю почту, через мессенджеры. Мы пресекли эти небезопасные действия, поскольку документы с ПДн покидали разрешенные места хранения.

Еще выявили три инцидента, связанные с конфиденциальной информацией. Мы обнаружили, что часть сотрудников компании отправляла документы с грифом для «Служебного пользования» на печать в принтер. Было проведено расследование. Документы за периметр не вышли, но сам факт распечатки – нарушение. Каждый случай, конечно, разобрали с участниками. После этого пользователи лучше понимают риски и те требования, что мы предъявляем для работы с данными. В целом, это формирует более ответственное отношение к правилам информационной безопасности.

– Какой функционал DCAP-системы оказался наиболее востребованным для вас и почему?

– Это ручные метки. Например, когда сотрудники из соответствующего отдела пересылают документы другим сотрудникам, и видят, что файл помечен грифом, они аккуратнее с ним работают. В части персональных данных это помогает должным образом их защищать и предотвращать утечки. Что крайне важно не только для бизнеса в целом, но и для соблюдения требований регуляторов.

– Роман, какие советы по личной эффективности можете дать коллегам? Что, на ваш взгляд, самое важное для ИБ-руководителя?

– Во-первых, постоянно читать актуальную информацию по рынку ИБ, причем стараться быть в курсе последних событий и на мировом рынке информационной безопасности. Изучать новейшие технологии, обновления существующих, новые уязвимости. Образование в этой сфере не прекращается. Это бесконечный процесс, требующий постоянного обновления знаний.

Во-вторых, «не зашиваться» только в системы, как это часто бывает у моих коллег. Важно уметь контактировать с людьми, взаимодействовать с конечными пользователями. Например, поступают обращения от пользователей, что ИБ-системы тормозят рабочие процессы. И, зачастую, мои коллеги оставляют эти запросы без внимания. По-хорошему нужно откликнуться на эту проблему, проанализировать причины, выявить возможные неисправности.

Важно стремиться к балансу, чтобы все информационные системы, обеспечивающие безопасность, были как можно более прозрачными и незаметными для пользователей, не мешали им в работе, но при этом оставались эффективными.

1216

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.