Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Фишки SOISO: DLP или не DLP?

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(4)
()
Опубликовано в:

В проекте приказа ФСТЭКа о ЗПДн, который так активно обсуждается в течение этой и прошлой недели, много интересных моментов. Среди них  упоминание о виртуализации,  облаках, уточнение про сертификацию, отсутствие в базовых мерах защиты от утечки по техканалам, а также описание новых СЗИ: siem, honeypot, DLP и др.

Прямой ссылки на DLP в  документе нет. Однако есть ссылки, которые прямо или косвенно указывают на предотвращение утечек данных.

Например:

  • ОЦЛ.12 Контроль ошибочных действий пользователей по вводу и (или) передаче информации конфиденциального характера
  • ОЦЛ.9 Обнаружения и реагирование на факты передачи в информационную систему информации (сообщений), не относящиеся к функционированию информационной системы (незапрашиваемых сообщений)
  • ЗИС.6 Обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации  и управление потоками информации

Несмотря на то, что наш ресурс посвящен защите информации в целом, нам как сообществу, выросшему из обсуждения проблематики DLP, стало интересно мнение специалистов, насчёт того, что имели в виду законодатели при формировании этих базовых мер, DLP или что-то другое?

Андрей Прозоров

Андрей Прозоров , эксперт департамента комплексных решений IBS Platformix

Тут 3 варианта: или писали, не думая  (копипаст и некомпетентность), или специально, чтобы было много требований, которые сложно выполнить и надо закладывает большие бюджеты (может и лобируют интересы производителей). Возможно, это место "для маневра": после получения замечаний и предложений показательно откажутся от незначительных, но основные (сертификация, аттестация, привлечение сторонних консультантов) оставят.

Михаил Хромов

Михаил Хромов , независимый эксперт и блоггер

Осуществлять контроль/фильтрацию можно на разных уровнях представления данных, а документ умалчивает, какой он имеет в виду. Предполагаю (!), что ЗИС.6 это уровень межсетевых экранов, а не DLP, но можно истолковать и так. А как истолкуют «программисты» в гаражном кооперативе или магазине постельного белья – это тем более вопрос. В общем, будет интересно!

Алексей Волков , независимый эксперт и блоггер

«Базовый состав», судя по всему, «списан» с соответствующих «Специальных контролей безопасности», приведенных в Приложении F к специальной публикации NIST Special Publication 800-53 Revision 3 (обновление от 01.05.2010). Один этот факт является знаковым событием: российский регулятор предлагает защищать ПДн, используя идеи документа, разработанного в США – стране, по методике Роскомнадзора, наименее «адекватной» с точки зрения соответствия требованиям Евроконвенции. Однако если в NIST «контроли» описаны детально, просто и понятно – то в документе ФСТЭК ввиду сокращения описания «контроля» до одного, переведенного и не самого подходящего, предложения, этого не наблюдается.

Например, постоянные читатели «DLP-Эксперт», ознакомившись с  описаниями «базовых мер» за номерами ОЦЛ.9 и ЗИС.6 могут подумать, что речь идет как раз о DLP. Однако, сопоставляя «меры» с «контролями», читатели поймут, что речь идет совсем о другом: «мера» ОЦЛ.9 соответствует «контролю» SI-8 (антиспам), а ЗИС.6 – это ACL и политики прокси-сервера («контроль» AC-4 по NIST). Вообще, это очень увлекательное занятие – сопоставлять «меры» и «контроли» – я уверен, экспертное сообщество скоро составит такую таблицу соответствий.

Сергей Борисов

Сергей Борисов , ведущий специалист ИБ в Микротест

В документы перечислены и современные меры, но это скорее заслуга не ФСТЭК, а NIST у которых позаимствованы меры.

В частности, к DLP можно отнести следующие меры:

  • управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
  • ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации);
  • контроль использования интерфейсов ввода (вывода);
  • контроль ввода (вывода) персональных данных на машинные носители информации;
  • контроль подключения машинных носителей информации;
  • все Меры по регистрации событий безопасности
  • обнаружения и реагирование на факты передачи в информационную систему информации (сообщений), не относящиеся к функционированию информационной системы (незапрашиваемых сообщений);
  • контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных;
  • контроль использования и исключение несанкционированного использования технологий передачи речи, регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи;
  • выявление, анализ и блокирование при создании информационной системы скрытых каналов передачи информации в обход реализованных мер по обеспечению безопасности персональных данных или внутри разрешенных сетевых протоколов;

 

Если у вас есть мнение на этот счёт, поделитесь им в комментариях к этому посту

Оцените материал:
Total votes: 245
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

Если забыть на время о режущем слух построении фраз (вроде "контроля действий пользователей по передаче"), игнорировать изначально заложенный в NIST смысл и читать только то, что написано, то я вообще затруднился бы понять о чем, собственно, речь. Три сущности (конф.информация, сообщения, поток информации) в трех контролях - где именно могло бы говориться о DLP? Очевидно, ближе всего ОЦЛ.12, но "контроль" автоматически означает ознакомление с содержанием (в то время как ЗИС.6 такого ознакомления, очевидно, не предполагает), то есть перлюстрацию, которая нелигитимна. Поэтому, на мой взгляд, прямо DLP в документе не подразумевается нигде, но прочитана может быть во многих местах, по усмотрению читающего. Наверное, стоит относиться к СОИСО больше как к неофициальному переводу NIST и в случае сомнений лезть за смыслом именно туда.

up
20 users have voted.
Аватар пользователя Атаманов Геннадий

Проблема в том, что перевод этот неофициальный только пока. Директор подпишет и он сразу станет официальным.

А искать смысл в проектах, по-моему, то же, что искать черную кошку в тёмноё комнате, когда её там нет.

up
20 users have voted.
Аватар пользователя Lindt

У меня есть подозрения, что переводили гугл-переводчиком, и теперь туда можно подтянуть любые смыслы.

up
39 users have voted.
Аватар пользователя GeorgeG

ОФФ Вообще, отважные они там ребята, в ФСТЭК, ничем их не проймешь. Знать, что твой документ сейчас подвергнут осмеянию сотни жаждущих справедливости профессионалов, знать, что ты сам изрядно "плаваешь" в массе вопросов, выходящих за рамки старых добрых технических мер, понимать, что заимстование будет замечено - и все равно выложить документ! Понятно, что 7 декабря не отменить и не отодвинуть, позиция ведомства тоже практически незыблема. Но самолюбие-то куда денешь? Что думают автор/авторы документа? Понимают ли, что выпустили полуфабрикат под видом документа - лишь бы поспеть к сроку? Или, может, они вовсе не интересуются его судьбой? 7 декабря прошло и ладно. ЗЫ Я не знаком близко ни с кем из работающих в ведомстве, может они на самом деле прекрасные вдумчивые профессионалы, изо всех сил старающиеся устаканить ситуацию в отрасли, расскажите, кто знает - как они пишутся, такие документы...

up
27 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.