Привет, Хабр!
В рамках нашего исследования мы выяснили, что мнения ИБ-специалистов по поводу эффективности средств защиты от случайных утечек отличаются. 38% опрошенных считают, что эффективнее использовать средства контроля содержимого файлов и сообщений и выборочной блокировки их передачи. Четверть назвали криптозащиту самой эффективной мерой защиты от неумышленных инцидентов.
С борьбой против умышленных «сливов» ситуация похожая. Решения для контроля файлов и коммуникаций считают самыми эффективными 36% ИБ-специалистов, криптографию – 31%.
Однако, несмотря на почти равную популярность, эти классы не взаимозаменяемы: один не может решать задачи, характерные для другого. Разберемся, для каких задач использовать криптографию, а для каких – НКСЗИ (некриптографические средства защиты информации).
КОГДА ПРИМЕНЯЕТСЯ КРИПТОГРАФИЯ?
В органах власти и госучреждениях использование криптосредств для определенных задач обязательно. 18 марта 2025 ФСБ выпустила Приказ № 117, который устанавливает основания для применения криптографии:
прямое нормативное указание;
передача данных по каналам связи, выходящим за пределы контролируемой зоны (здания, помещения, территории) организации;
признание документов с ЭЦП равнозначными подписанным от руки;
выгрузка конфиденциальных данных на съемные носители, если несанкционированный доступ к данным невозможно полностью исключить другими способами.
С нормативным регулированием все понятно: если нормативный акт прямо указывает на необходимость применения криптографии, то без использования СКЗИ не обойтись. Например, статья 19 федерального закона 572-ФЗ устанавливает обязательное применение СЗКИ при передаче биометрии в целях идентификации и аутентификации.
С ЭЦП тоже все понятно: сам этот механизм – один из видов криптографической защиты.
Другие условия подразумевают, что если данные «выносятся» за пределы организации по каналам связи или на съемных устройствах, то они должны быть зашифрованы. Это необходимо, если, например, учреждение пользуется сторонним облаком или сервисом для хранения и обработки данных. То же самое требуется, если организация передает защищаемые данные между своими территориально распределенными офисами, либо контрагенту, расположенному в другом месте.
КАКИЕ ЗАДАЧИ НЕ ЗАКРЫВАЕТ КРИПТОГРАФИЯ?
Криптозащите подлежат документы, предназначенные для передачи за пределы организации. Но что, если утекут внутренние документы, которые вообще не должны попасть вовне? Это проблема серьезней, чем отправка письма контрагенту в незашифрованном виде. Чтобы снизить такой риск, необходимо блокировать доступ к критичным документам для сотрудников, которые не имеют к ним допуска по служебным обязанностям.
Так что работу с конфиденциальной информацией нужно контролировать на всех этапах. Но, если информация не покидает контур организации, защищать ее от утечки и несанкционированного доступа следует с помощью некриптографических СЗИ.
А ЧТО ИХ ЗАКРЫВАЕТ?
Вопросы внутреннего распределения доступов, контроля работы сотрудников с данными криптография не решает. Зато справляются DLP- и DCAP-системы.
Задача DCAP – найти данные, подлежащие защите, и разграничить доступ к ним. В итоге пользователи, работающие в инфраструктуре организации, не могут обойти запрет на открытие того или иного файла.
DLP помогают контролировать действия с файлами в системах организации. С их помощью можно предотвратить утечки информации, которые могут произойти в процессах, где криптографические средства не применяются. Например, DLP остановит «вынос» данных на личные устройства и ресурсы или в облака. Более того, некоторые системы позволяют запретить запись на USB-носители незашифрованных версий файлов.
Дополнительного контроля требует и то, как сотрудники используют криптосредства. Здесь тоже полезны DLP. С ними ИБ-служба увидит все действия пользователя, например, попытки отправить документы в почте или мессенджере в открытом виде без использования средств криптозащиты. Кроме того, в DLP можно вести аудит операций, например, с носителями электронной подписи (USB-токенами), и видеть данные о находящихся на них сертификатах безопасности. При необходимости доступ к токенам можно ограничить. Например, для каждого токена задать владельца и запретить всем остальным его использовать. Это исключит ситуации, когда сотрудники попытаются воспользоваться «заимствованным» у коллеги или руководителя носителем ЭЦП в своих целях. Можно и проконтролировать, чьи именно подписи хранятся на токене сотрудника.
НЕ ВМЕСТО, А ВМЕСТЕ
Криптографические и некриптографические СЗИ не исключают, а взаимно дополняют друг друга в разных ИБ-задачах. Криптография необходима, если защищаемые данные нужно безопасно и правомерно «вывести» за пределы контура организации и, соответственно, из-под контроля средств внутренней ИБ. Некриптографические средства нужны для защиты информации при работе с ней внутри организации. Некоторые из них, например, DLP, помогут справиться и с попытками «обхода» криптографии или ошибками при ее использовании. Таким образом достигается максимальный уровень защиты информации от утечки и несанкционированного доступа на всех этапах ее жизненного цикла.
А вы используете криптосредства? Поделитесь опытом в комментариях: где их вам хватает, а для каких задач нужно «подкрепление»?
