DLP как СЗИ или причём здесь средства защиты информации

Добрый день, коллеги!

Недавно зацепило высказывание, что DLP – это не СЗИ, не средство защиты информации. Не стал спорить, чтоб не уходить с темы той встречи, но фразу не забыл, так как для меня всё очевидно. Решил, что даже если хоть для одного специалиста это не так, то тема стоит статьи. Здесь докажу, что DLP – это СЗИ и заодно начну тему про средства защиты информации (средства технической защиты информации). И сразу скажу, что речь идёт именно про «средство защиты информации», не «средство обеспечения информационной безопасности и защиты данных», как это, например, сказано в ПП-550/2019, или других, применяемых сейчас как в прессе, так и в ряде документов, но не имеющих определений.

Перебрав ряд национальных стандартов, нормативных и руководящих документов в сфере защиты информации, выпущенных Правительством РФ, ФСТЭК России, ФСБ России, даже РД Гостехкомиссии (действующий, хотя ему и 30 лет), сформировал перечень из 21 понятия в отношении средств защиты информации. Посмотрите их в приложении.

И не пугайтесь, мы не будем здесь обсуждать и сравнивать каждое из 21, тем более, что найти можно и поболее, а если перевести разговор в плоскость классификации видов СЗИ, то это заслуживает отдельной статьи или даже серии.

Но совсем без ссылок не обойдёмся, хотя приведу их минимально необходимое количество.

Я попробую доказать тезис «DLP – это СЗИ» двумя способами – коротким и длинным.

Способ первый.

  1. Под аббревиатурой DLP понимают Data Leak Protection, Data Leakage Prevention, Data Loss Prevention – средства защиты от утечек данных (информации), предотвращения утечек (потерь) данных.
  2. Эти средства – DLP - и созданные на их базе системы по своему функционалу предназначены для выявления фактов утечек защищаемой информации (данных) из АС (ИС, АСУ, ИТКС) или попыток совершить утечку - несанкционированное и (или) неправомерное копирование, умышленное или случайное. Некоторые из них могут предотвращать такие попытки.
  3. DLP не предотвращает (не запрещает) доступ к данным, как это делает СЗИ от НСД, но выявляет утечки путем анализа действий пользователя и состава защищаемой информации, в т.ч. её видов, меток, классов, категорий, содержания, форматов файлов и т.п. В ряде случаев DLP может заблокировать попытку отправки или копирования информации, не блокируя при этом сам канал или порт.
  4. Утечка защищаемой информации – это нарушение свойства конфиденциальности информации.
  5. Таким образом, средство, которое защищает свойство конфиденциальности – это средство защиты информации.
  6. Средства (решения) класса DLP разработаны с целью защиты данных от умышленных и неумышленных утечек, то есть являются одним из видов (типов, классов) средств защиты информации.

Достаточно?

Или надо немного помучиться? Тогда второй вариант.

Здесь будем оперировать в поле национальных стандартов. Считаю это наиболее правильным, так как это позволит более конкретно осветить данный вопрос, учитывая именно российскую специфику, и остановиться на конкретных определениях и тематике официальных документов.

Определения:

2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации [ГОСТ 50922-2006].

2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [ГОСТ 50922-2006].

Мы видим, что в этом определении не перечислены последствия несанкционированных и непреднамеренных воздействий на все три или одно из трёх свойств информации - конфиденциальность, целостность, доступность, за исключением утечки, а утечка информации – это нарушение свойства конфиденциальности. Надеюсь, не надо доказывать?

Но последствия есть в определениях того же стандарта - ГОСТ 50922-2006:

2.3.3 защита информации от несанкционированного воздействия;

2.3.4 защита информации от непреднамеренного воздействия;

посмотрите их сами, чтоб не перегружать статью

Приведу ещё три определения в рамках высказанного тезиса:

Утечка информации – неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками [ГОСТ Р 53114-2008, статья 3.3.10].

2.3.2 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами [ГОСТ 50922-2006].

2.3.5 защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации [ГОСТ 50922-2006].

Итак, по порядку:

1. К последствиям, от которых защищают информацию, согласно положений национальных стандартов относятся:

  • утечка информации (неконтролируемое распространение);
  • разглашение информации;
  • разрушение, уничтожение, искажение, сбой в работе, незаконный перехват и копирование, блокирование доступа к информации, а также утрата, уничтожение, сбой функционирования носителя информации в результате несанкционированных и непреднамеренных воздействий (пункты 2.3.3, 2.3.4 ГОСТ 50922-2006).

2. Если созданное средство защищает, как минимум, одно из этих свойств информации, то, исходя из определений, его возможно рассматривать как СЗИ.

Но это теоретически. Понятно, когда пытаются воздействовать на информацию умышленно в целях нанесения ущерба. Средство для защиты от такого воздействия вполне можно рассматривать как СЗИ, и обычно к ним их и относят.

Не всегда несанкционированное воздействие вызвано злым умыслом, то есть с целью нанести ущерб – мало ли энтузиастов – «улучшателей», готовых действовать без оглядки на инструкции. «Непреднамеренное воздействие» – здесь и пояснять ничего не надо.

3. Существует большое количество средств и систем, основной задачей которых является защита только целостности или только доступности, или обоих свойств, причём часто не важно от умышленных, несанкционированных действий или от непреднамеренных, от ошибок и т.п.

Например, источник бесперебойного питания – обеспечивает доступность и целостность автоматизированных систем и обрабатываемой в них информации за счёт бесперебойности электроснабжения оборудования, в т.ч. за счёт возможности при прерывании или скачке напряжения не сгореть, выйти штатно, всё сохранив.

Или средства резервного копирования и восстановления данных. Или средства, которые не дают ввести неверные данные (по контрольным суммам или формату, например). Да практически любое программное, программно-аппаратное, техническое средство из арсенала ИТ-отдела можно привести здесь.

Хотя если рассматривать с организационной точки зрения, то ряд ИТ-систем восстановления данных теперь можно будет формально отнести к СЗИ на основании приказов ФСБ в части обеспечения ликвидации компьютерных инцидентов на объектах КИИ. Во всяком случае, это дает возможность обосновать бюджеты на их закупку или модернизацию через требования безопасности КИИ.

4. Из вышесказанного следует, что под СЗИ формально возможно подвести, практически любое ИТ-средство или средство обеспечения работоспособности ИТ. Хотя специалисты в области защиты информации понимают, что СЗИ – это средства, созданные, в первую очередь, для противодействия несанкционированным (неправомерным), целенаправленным и умышленным действиям, даже злоумышленным – с целью нанесения ущерба.

Да, в понятие «Нарушитель безопасности информации» входят как умышленные (преднамеренные), так и случайные действия физического лица. Но вот потенциал нарушителя, то есть «мера усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе» во всех трёх случаях обусловлен использованием специальных средств эксплуатации уязвимостей. А это, всё-таки, умысел, пусть не всегда и для нанесения ущерба, вспомните, сколько бывало аварий и т.п. из-за сбоев систем защиты или их отключения на время эксперимента.

Но здесь мы уже залазим в дебри, а я обещал, что про классификацию СЗИ здесь не будет. Предлагаю посмотреть, что есть в регуляторике, а потом сфокусироваться на том, что относится к тезису статьи.

Обратимся к 99-ФЗ/2001 и увидим, что в нашей стране среди лицензируемых видов деятельности есть:

  • разработка, производство, распространение шифровальных (криптографических) средств … (и т.д.);
  • разработка и производство средств защиты конфиденциальной информации;
  • деятельность по технической защите конфиденциальной информации.

По каждому из перечисленных пунктов есть соответствующее постановление правительства.

В первом (ПП-313-/2012) перечислено, что относится шифровальным (криптографическим) средствам, которые также, исходя из пункта 2.7.5 ГОСТ 50922-2002 относятся к СЗИ.

Во втором (ПП-171/2012) также нет определения СЗИ, но есть перечень средств защиты конфиденциальной информации, на разработку и производство которых нужна лицензия:

  • технические средства защиты информации;
  • защищенные технические средства обработки информации;
  • технические средства контроля эффективности мер защиты информации;
  • программные (программно-технические) средства защиты информации;
  • защищенные программные (программно-технические) средства обработки информации;
  • программные (программно-технические) средства контроля защищенности информации.

В третьем (ПП-79/2012) говорится, что «под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней» и приводится перечень таких работ и услуг.

Видим, что разработка и производство СЗИ попадается в сферу регулирования технической защиты информации.

В отношении СЗИ для защиты гостайны есть своя система лицензирования и сертификации, мы её касаться не будем, тем более, что нам не важно для защиты какого вида сведений разработано средство.

5. Утечка, разглашение, незаконный перехват и копирование, несанкционированное копирование информации являются нарушением свойства конфиденциальности информации.

6. Если созданное средство защищает конфиденциальность информации (данных), значит, оно является средством защиты информации. Если это не основное назначение созданного средства, но, тем не менее, оно реализует перечисленный функционал, то всё равно его возможно отнести к СЗИ или выделить из неё подсистему, относящуюся к СЗИ.

7. В зависимости от назначения, вида защищаемой системы и способов обработки информации, созданное средство может быть программным, программно-аппаратным, программно- техническим, техническим.

8. Исходный тезис в статье о том, что DLP является СЗИ, поэтому далее будем говорить об одном виде объектов информатизации - автоматизированных системах (информационных, компьютерных, кибер, ИТ и т.д.).

9. Утечка информации из автоматизированных (информационных) систем может быть:

- по техническим каналам, обычно такие СЗИ реализованы в виде технических средств, программно-аппаратных комплексов;

- путём несанкционированного (неправомерного) доступа, обычно такие СЗИ реализованы в виде программных, программно-аппаратных средств, к ним относятся, например, СЗИ от НСД, СКЗИ, и другие, в том числе DLP;

- путём разглашения – то есть когда лицо, имеющее санкционированный (правомерный) доступ к данным, передаёт их лицам, не имеющим прав на доступ к ним, на ознакомление, каким путём он это делает – устно или копирует на машинный носитель – не столь важно, СЗИ здесь может только сформировать доказательства и (или) информировать сотрудника безопасности о таком факте.

10. Функционал DLP не нацелен на выявление и предотвращение утечки компьютерной информации из АС по техническим каналам.

11. DLP работает с со смысловой компьютерной информацией, обрабатываемой в АС (файлы, высокоуровневые протоколы обработки данных).

Функционал разрабатывается для выявления попыток и фактов утечек защищаемой информации, их документирования, в ряде случаев – для предотвращения.

Примечание: к каналам НСД относят доступ к ресурсам АС, осуществляемый через штатные программный функционал и (или) специализированное ПО., так сказать, «компьютерные каналы».

В итоге видим, что как в существующем правовом поле, так и в терминологическом (стандарты), ПО DLP – это программное средство защиты информации, защищающее свойство конфиденциальности информации и попадающее под действие правовых и организационных документов регуляторов в сфере технической защиты информации.

Просто и очевидно? Или всё не так? Обсудим?

   Оставайтесь на связи, Михаил Смирнов

Приложение 1

Перечень понятий в отношении средств защиты информации

1. Средство защиты от несанкционированного доступа.
2. Техника защиты информации.
3. Средство защиты информации.
4. Средство физической защиты информации.
5. Криптографическое средство защиты информации.
6. Средство криптографической защиты информации.
7. Средство технической защиты информации.
8. Средство технической защиты конфиденциальной информации.
9. Техническое средство защиты информации.
10. Программное средство защиты информации.
11. Программное (программно-техническое) средство защиты информации.
12. Защищенное техническое средство обработки информации.
13. Защищенное программное (программно-техническое) средство обработки информации.
14. Средство контроля эффективности защиты информации.
15. Программное (программно-техническое) средство контроля защищенности информации.
16. Техническое средство контроля эффективности мер защиты информации.
17. Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.
18. Технические, программные, программно-аппаратные и иные средства для обнаружения, предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией.
19. Средство обеспечения информационной безопасности.
20. Средство обеспечения безопасности информации.
21. Средство обеспечения ИБ и защиты данных.

Читать свежее