Защита от утечек: DLP, контроль периметра, физическая защита¶

• Содержание
• Защита от утечек: DLP, контроль периметра, физическая защита
  • Введение
  • Каналы утечки информации
    • Сетевые каналы
    • Локальные каналы
    • Физические и технические каналы (ПЭМИН)
  • Что такое DLP-система
    • Архитектура DLP-системы
    • Методы идентификации защищаемой информации
  • Российские DLP-решения
  • Поведенческий анализ пользователей (UBA/UEBA)
  • Контроль съёмных носителей
  • Физическая защита объекта информатизации
    • Контроль и управление доступом (СКУД)
    • Видеонаблюдение
    • Защита серверной комнаты
    • Уничтожение информации на носителях
  • Комплексный подход: DLP + физическая защита + UEBA
  • Сквозной пример: защита от утечек в ИСПДн кадровой службы
  • Что дальше
  • Список литературы и нормативных актов

Введение¶

Предыдущие три лекции выстраивали защиту от внешних угроз: разграничение доступа, криптография, сетевой периметр. Но модель нарушителя из Лекции 4 показывает, что значительная часть угроз исходит изнутри — от авторизованных пользователей, которые уже прошли все рубежи контроля.

Представьте: HR-специалист с легитимным доступом к базе данных сотрудников копирует её на флешку перед увольнением. Системный администратор пересылает конфигурации серверов на личную почту «для удобства работы дома». Сотрудник фотографирует экран с персональными данными на смартфон. Ни межсетевой экран, ни IPS, ни даже шифрование диска не остановят эти действия — данные доступны легитимно, канал разрешён, устройство авторизовано.

Ответ на эту категорию угроз — системы предотвращения утечек данных (DLP, Data Loss Prevention) и комплекс мер по контролю физического периметра.

Утечка информации — неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к ней или получения информации иностранными спецслужбами, конкурентами или иными лицами.
(ГОСТ Р 50922-2006)

Каналы утечки информации¶

Прежде чем выбирать средства защиты, необходимо понять, через какие каналы защищаемая информация может покинуть объект. Методика ФСТЭК выделяет несколько групп каналов.

Сетевые каналы¶

• Электронная почта — пересылка документов на личные адреса или адреса третьих лиц.
• Мессенджеры и социальные сети — передача файлов через Telegram, WhatsApp, ВКонтакте.
• Облачные хранилища — загрузка данных в Яндекс.Диск, Google Drive, Dropbox.
• Веб-формы и FTP — передача через браузер или файловые протоколы.
• Печать на сетевые принтеры — особенно актуально для общих принтеров вне контролируемой зоны.

Локальные каналы¶

• Съёмные носители — копирование на USB-накопители, внешние диски, CD/DVD.
• Мобильные устройства — синхронизация с личными смартфонами через USB или Bluetooth.
• Локальная печать — вынос бумажных документов с защищаемой информацией.
• Скриншоты и фотографирование экрана.

Физические и технические каналы (ПЭМИН)¶

• Побочные электромагнитные излучения и наводки (ПЭМИН) — перехват информации по электромагнитному излучению от технических средств обработки информации.
• Виброакустические каналы — перехват речевой информации через вибрации стен, стёкол.
• Оптические каналы — наблюдение за экраном с помощью оптических средств.

Защита от технических каналов утечки (ПЭМИН) — отдельная специализированная область, регулируемая ФСТЭК через специальные исследования и аттестацию объектов. Для большинства коммерческих ИС угрозы ПЭМИН неактуальны (нарушитель Н3–Н4). Для объектов, обрабатывающих гостайну, защита от ПЭМИН обязательна.

Что такое DLP-система¶

DLP (Data Loss / Leak Prevention) — программный или программно-аппаратный комплекс, осуществляющий мониторинг и контроль передачи данных по всем каналам коммуникации с целью предотвращения несанкционированного выхода защищаемой информации за пределы информационной системы.

DLP-система решает три задачи:

1. Обнаружение — идентификация защищаемой информации в потоке данных.
2. Мониторинг — фиксация всех операций с защищаемой информацией в журнале.
3. Блокировка — предотвращение несанкционированной передачи.

Архитектура DLP-системы¶

Типовая DLP-система состоит из нескольких компонентов:

Компонент	Расположение	Функция
Сетевой шлюз (Network DLP)	В разрыве сетевого трафика	Анализ и блокировка передачи данных через веб, почту, FTP
Агент на рабочей станции (Endpoint DLP)	На каждом АРМ	Контроль локальных операций: USB, печать, скриншоты, буфер обмена
Агент на почтовом сервере	На почтовом сервере	Анализ исходящей и входящей почты
Консоль управления	Центральный сервер	Настройка политик, просмотр инцидентов, отчётность
Хранилище событий	Центральный сервер	Долгосрочное хранение журналов для расследований

Методы идентификации защищаемой информации¶

Контентный анализ — поиск ключевых слов, регулярных выражений, паттернов (номера паспортов, СНИЛС, банковских карт). Прост в настройке; высокий процент ложных срабатываний при неточных паттернах.

Контекстный анализ — учёт контекста передачи: кто, куда, когда, с какого устройства. Правило «сотрудник HR-отдела не должен отправлять файлы .xlsx на личную почту» — контекстное.

Цифровые отпечатки (fingerprinting) — вычисление хэшей эталонных документов; сравнение с хэшами фрагментов передаваемых данных. Эффективен для защиты конкретных документов; не работает с переработанным содержимым.

Машинное обучение — классификация документов по обученным моделям. Эффективен для неструктурированных данных; требует обучения на корпусе документов организации.

Российские DLP-решения¶

После 2022 года западные DLP-решения (Symantec DLP, Forcepoint) недоступны. Российский рынок представлен зрелыми решениями:

Продукт	Производитель	Особенности
Solar Dozor	ГК «Солар»	Полнофункциональный DLP + UBA; интеграция с ГосСОПКА
InfoWatch Traffic Monitor	InfoWatch	Широкий охват каналов; лингвистический анализ
Staffcop Enterprise	Атом Безопасность	Акцент на мониторинге действий сотрудников (UBA)
Zecurion DLP	Zecurion	Контроль устройств + сетевые каналы
Кибер Протего	«Киберпротект»	Замена Symantec DLP; совместимость с Astra Linux

Связь с нормативной базой: Приказы ФСТЭК №21 (мера ПУИ — Предотвращение утечки информации) и №117 (мера ЗИС.23) требуют контроля передачи информации по каналам связи. DLP является основным инструментом реализации этих мер для ГИС и ИСПДн.

Поведенческий анализ пользователей (UBA/UEBA)¶

Классический DLP реагирует на конкретные события: «файл скопирован на USB». User and Entity Behavior Analytics (UEBA) идёт дальше — строит профиль нормального поведения каждого пользователя и оповещает об аномалиях.

Примеры срабатываний UEBA:

• Сотрудник скачал в 10 раз больше документов, чем обычно — за три дня до увольнения.
• Пользователь впервые за год открыл доступ к базе данных в 2:00 ночи.
• Администратор выполнил запрос к таблице с ПДн — чего не делал за последние 6 месяцев.

UEBA особенно эффективен против угрозы злонамеренного инсайдера и скомпрометированной учётной записи — случаев, когда действия формально выглядят легитимными, но статистически аномальны.

Контроль съёмных носителей¶

Съёмные носители — один из наиболее распространённых каналов утечки. Меры контроля:

Запрет использования — полный запрет подключения USB-накопителей на защищаемых рабочих станциях. Реализуется через политики ОС, групповые политики AD или агент DLP/СЗИ. Наиболее радикальная и надёжная мера.

Авторизация носителей — разрешено использование только зарегистрированных носителей с известными серийными номерами. Реализуется через DeviceLock или Secret Net Studio.

Принудительное шифрование — данные, записываемые на съёмный носитель, автоматически шифруются. При утере носителя информация недоступна без ключа.

Теневое копирование — копия всех данных, записанных на съёмный носитель, сохраняется в защищённом журнале для последующего расследования.

Приказ ФСТЭК №21 (мера ЗНИ.2) требует исключить возможность несанкционированного копирования информации на съёмные носители. Для ГИС К1 и ИСПДн УЗ1 рекомендуется полный запрет использования съёмных носителей на защищаемых АРМ.

Физическая защита объекта информатизации¶

Технические средства защиты бессильны, если нарушитель имеет физический доступ к носителям информации или техническим средствам. Физическая защита — обязательный элемент комплексной системы защиты объекта информатизации.

Контроль и управление доступом (СКУД)¶

Системы контроля и управления доступом (СКУД) обеспечивают разграничение физического доступа в помещения объекта информатизации.

Компоненты СКУД:

• Считыватели карт доступа (proximity, смарт-карты) или биометрические считыватели.
• Электромеханические замки и турникеты.
• Контроллеры — управляют замками на основании баз данных прав доступа.
• Программное обеспечение — ведёт журнал проходов, управляет правами, генерирует отчёты.

Зонирование доступа соответствует структуре контролируемых зон из Лекции 1: разные сотрудники имеют доступ в разные зоны; серверная комната (КЗ-3) — только для администраторов.

Видеонаблюдение¶

Система видеонаблюдения выполняет две функции: сдерживание (осознание факта наблюдения снижает вероятность нарушений) и документирование (запись для последующего расследования инцидентов).

Требования к размещению камер для защищаемых объектов:

• Входы и выходы из контролируемых зон всех уровней.
• Серверная комната — полное покрытие, с захватом лиц входящих.
• Рабочие места сотрудников с доступом к защищаемой информации.
• Периметр здания.

Записи видеонаблюдения должны храниться не менее 30 суток (рекомендация ФСТЭК для ГИС) и быть защищены от несанкционированного удаления.

Защита серверной комнаты¶

Серверная комната (КЗ-3) — наиболее критичная зона объекта информатизации. Требования:

• Усиленные двери и замки (механические + СКУД).
• Решётки на окнах или отсутствие окон.
• Двухфакторная аутентификация для входа: карта + PIN или карта + биометрия.
• Полное видеонаблюдение с записью.
• Сигнализация (датчики вскрытия, движения, задымления, затопления).
• Журнал посещений — фиксация каждого входа с указанием цели.
• Запрет использования личных мобильных устройств в серверной.

Уничтожение информации на носителях¶

При выводе из эксплуатации носителей информации (жёстких дисков, флешек, бумажных документов) необходимо гарантированно уничтожить защищаемую информацию.

Тип носителя	Метод уничтожения информации	Нормативная основа
HDD (магнитный)	Многократная перезапись (не менее 3 циклов по ГОСТ); физическое уничтожение (размагничивание, измельчение)	ГОСТ Р 56938-2016
SSD, Flash	Криптографическое стирание (уничтожение ключа шифрования) + физическое уничтожение	ГОСТ Р 56938-2016
Бумажные документы	Уничтожение в шредере класса P-4 и выше (частицы ≤ 2×15 мм)	DIN 66399
Оптические носители	Физическое измельчение; дробление	—

Физическое уничтожение носителей — единственный гарантированный метод для носителей с информацией высокого грифа. Программные методы перезаписи для SSD ненадёжны из-за особенностей wear-leveling: данные могут оставаться в резервных блоках памяти.

Комплексный подход: DLP + физическая защита + UEBA¶

Эффективная защита от утечек строится на трёх взаимодополняющих уровнях:

• DLP блокирует передачу данных через контролируемые каналы — сеть, почту, USB.
• UEBA обнаруживает аномальное поведение, предшествующее утечке, — накопление данных, нетипичный доступ.
• Физическая защита исключает каналы, которые DLP не контролирует, — фотографирование экрана, вынос носителей.

Ни один уровень не является достаточным сам по себе. Сотрудник, знающий о DLP, может сфотографировать экран на личный телефон. Видеонаблюдение это зафиксирует, но не предотвратит. UEBA выявит аномальную активность перед инцидентом — что позволит принять превентивные меры.

Сквозной пример: защита от утечек в ИСПДн кадровой службы¶

Канал утечки	Мера защиты	Реализация	НПА
Копирование БД на USB перед увольнением	Запрет USB + теневое копирование	DeviceLock DLP; агент на всех АРМ HR	Приказ №21, ЗНИ.2
Пересылка ПДн на личную почту	Сетевой DLP с контентным анализом	InfoWatch Traffic Monitor; паттерны СНИЛС, номеров паспортов	Приказ №21, ПУИ.1
Фотографирование экрана на смартфон	Запрет личных устройств в зоне работы с ПДн + видеонаблюдение	Организационная мера + камеры над рабочими местами HR	Организационные меры (Лекция 10)
Аномальный массовый доступ к БД администратором	UEBA — аномалия доступа к данным	Solar Dozor UBA; профиль поведения администратора СУБД	Приказ №21, РСБ.3
Вынос распечатанных документов	Шредер в помещении + контроль выноса документов через СКУД	Шредер P-4; журнал выдачи бумажных документов	Организационные меры

Что дальше¶

• Следующая тема: 10. Организационные меры и политики ИБ — технические меры работают только в связке с организационными
• Взаимосвязь: технические меры (Лекции 6–9) без организационных — как замок на двери без политики о том, кому выдавать ключи
• Связь с аудитом: 5. Технический аудит — проверка DLP-политик и контроля носителей входит в технический аудит
• Связь с менеджментом: 8. Организационные меры — политики обращения с информацией как основа для настройки DLP-правил

Список литературы и нормативных актов¶

• Приказ ФСТЭК России №21 — меры ЗНИ (защита носителей), ПУИ (предотвращение утечек), РСБ (регистрация событий)
• Приказ ФСТЭК России №117 — мера ЗИС.23: контроль передачи информации
• ГОСТ Р 56938-2016 — «Защита информации. Защита информации при использовании технологий виртуализации»
• ГОСТ Р 50922-2006 — термины и определения; понятие утечки информации
• Методика оценки угроз ФСТЭК 2021 — способы реализации угроз через каналы утечки (п. 5.2.3)
• DIN 66399 — классификация шредеров по уровням защиты (применяется в российской практике)
• 152-ФЗ «О персональных данных» — ст. 19: обязанность оператора принять меры по предотвращению несанкционированного доступа к ПДн