«Политика безопасности начинается там, где система не даёт скопировать файл на флешку, потому что понимает его ценность по машинно-читаемой метке. Всё остальное — лишь декларации, которые не работают.»
Типы активов и методы защиты
Защищать всё одинаково — это гарантированный перерасход ресурсов на несущественное и пробелы там, где действительно важно. Без чёткого понимания природы защищаемого объекта любые дальнейшие действия будут беспорядочными.
Всё многообразие защищаемых активов можно разделить на три ключевых типа, для которых принципы обеспечения безопасности кардинально различаются:
| Тип актива | Объект защиты | Ключевая уязвимость | Основной метод защиты |
|---|---|---|---|
| Информационные активы (данные) | Информация как таковая, её конфиденциальность и целостность. | Несанкционированный доступ и утечка в любой точке жизненного цикла. | Точечное управление доступом и криптография на уровне данных (field/column-level). Например, шифруется только столбец с паспортными данными, а не вся таблица. |
| Цифровые активы (инфраструктура) | Сервисы, приложения, виртуальные машины, контейнеры — платформа для обработки данных. | Ошибки конфигурации и уязвимости ПО. | Жёсткая сегментация, принцип минимальных привилегий, неизменяемая инфраструктура. Сбой сервера с персональными данными — это уже инцидент ИБ, а не поломка оборудования. |
| Физические активы | Оборудование: серверные стойки, аппаратные шифраторы, рабочие станции, смарт-карты. | Человеческий фактор: кража, утеря, социальная инженерия. | Контроль физического доступа и строгий учёт. Потеря носителя с биометрией — это уголовная статья, а не административный штраф. |
Уровни классификации и техническая реализация
Уровень защиты — это не метка в реестре, а конкретная директива для инфраструктуры. Его основа — оценка ущерба: от прямых финансовых потерь и штрафов до репутационного коллапса и остановки бизнес-процессов. Для специальных категорий персональных данных по 152-ФЗ этот уровень предопределён законом и является точкой отсчёта.
Четырехступенчатая модель классификации переводит уровень в набор обязательных технических мер:
| Уровень | Типичный пример | Обязательные технические меры |
|---|---|---|
| Критический | Биометрические данные, медицинская тайна, коммерческая тайна, гостайна. | Сквозное шифрование (at-rest, in-transit, in-use). MFA и строгий контроль доступа с записью сессий. Постоянный мониторинг с поведенческим анализом (UEBA). |
| Высокий | Обычные персональные данные (ФИО, паспорт), платежные реквизиты, исходный код. | Шифрование при хранении. Детальный ролевой доступ (RBAC). Ежедневный анализ логов безопасности, регулярный аудит привилегий. |
| Средний | Внутренняя переписка, конфигурационные файлы, непубличные коммерческие предложения. | Разграничение прав по принципу need-to-know. Шифрование при передаче за пределы периметра. Плановые проверки. |
| Низкий | Публичная информация, пресс-релизы, корпоративные новости. | Организационные меры. Реактивное логирование (для расследования инцидентов постфактум). |
Ключевое условие — метка уровня должна быть машиночитаемой и непосредственно влиять на поведение систем, а не просто существовать в документации. Это называется классификация с принудительным управлением доступом (Mandatory Access Control, MAC).
Технически она реализуется по-разному в зависимости от платформы:
- Файловые системы (NTFS, ZFS, APFS). Используются расширенные атрибуты (Extended Attributes, xattr), в которые записывается метка классификации. ОС или агенты DLP считывают этот атрибут и программно запрещают копирование на съёмный носитель или отправку по почте. .
- Системы управления базами данных (СУБД). Метка хранится в отдельном столбце или как часть политики row-level security (RLS). Триггер или сама политика может блокировать операцию. Например, INSERT данных с меткой «Критический» в таблицу, предназначенную для «Среднего» уровня, будет отклонён.
- Почтовые шлюзы и DLP. Анализируют как содержимое, так и специальные заголовки писем (X-Data-Classification). Письмо с критической меткой может быть автоматически заблокировано при попытке отправки на внешний домен или перенаправлено на обязательное согласование.
- Сетевая инфраструктура. Метки (например, DSCP в IP-заголовках или теги VLAN/MPLS) не только для QoS. Маршрутизатор может быть сконфигурирован так, чтобы трафик с определённым тегом шёл исключительно через защищённый туннель или инспекционный прокси, обходя обычные маршруты.
Пошаговый процесс идентификации
Идентификация — это не разовая инвентаризация, а непрерывный процесс, синхронизированный с жизненным циклом данных: создание, модификация, архивация, удаление.
- Инвентаризация активов. Нужен активный поиск, а не сбор шаблонных отчетов от отделов. Сетевые сканеры помогают найти «теневые» серверы, а сканеры баз данных — неучтённые хранилища. Главное — немедленно назначить владельца (data owner) из бизнес-подразделения для каждого найденного актива. Без владельца актив юридически не существует для системы защиты.
- Оценка ценности и ущерба. Проводится через моделирование инцидентов. Что будет, если эти данные: а) утекут в сеть, б) будут безвозвратно удалены, в) станут предметом шантажа? Прямые штрафы по 152-ФЗ — лишь видимая часть айсберга. Утечка внутренней переписки может уничтожить доверие клиентов, а ущерб от этого часто не поддаётся денежной оценке.
- Присвоение уровня защиты. Решение принимает владелец актива на основе оценки. Для регламентированных категорий уровень предопределён. Процесс нужно автоматизировать: системы Data Discovery сканируют хранилища по шаблонам (регулярные выражения для ИНН, номеров телефонов) и автоматически присваивают предустановленные метки, запрашивая подтверждение.
Типичные ошибки, которые обесценивают весь процесс:
- Классификация «оптом». Весь почтовый ящик руководителя помечается как «Критический». Системы SIEM тонут в ложных срабатываниях, а реальная угроза в потоке шума остаётся незамеченной.
- Статичность. Данные завершённого пятилетней давности проекта хранятся с меткой «Высокий», хотя их актуальность утрачена. Это ведёт к неоправданным затратам на шифрование, мониторинг и хранение в защищённых контурах.
- Разрыв между политикой и конфигурацией. Уровень прописан в документе, но не отражён в правилах межсетевого экрана, политиках доступа к файловому хранилищу или настройках DLP. При проверке ФСТЭК или реальной атаке такая документация бесполезна.
Матрица рисков: связь классификации и угроз
Матрица рисков — это рабочий инструмент, переводящий абстрактный уровень данных в конкретные сценарии реагирования для SOC. Она отвечает на вопрос: «Если данные класса X подвергаются угрозе Y, что делает оператор в первые 15 минут?»
| Угроза | Критический | Высокий | Средний | Низкий |
|---|---|---|---|---|
| Массовая утечка (уязвимость в веб-приложении) | 1. Немедленная изоляция сегмента сети. 2. Активация плана ВК из «холодных» резервных копий. 3. Уведомление регулятора в срок ≤72 ч. (152-ФЗ). |
1. Блокировка уязвимого сервиса. 2. Форензик-анализ логов. 3. Уведомление совета директоров. |
1. Устранение уязвимости. 2. Смена компрометированных учётных данных. 3. Усиление мониторинга. |
Стандартный процесс патчинга. |
| Фишинговая атака с компрометацией учётной записи | 1. Принудительный сброс паролей/отзыв токенов для всей роли. 2. Немедленный аудит действий учётки за 30 дней. 3. Оповещение SOC и руководства. |
1. Сброс пароля для скомпрометированной учётки. 2. Проверка логов активности. 3. Оценка потенциального ущерба. |
Требование смены пароля при следующем входе, уведомление пользователя. | Информирование пользователя о фишинговой попытке. |
| Ransomware в сегменте сети | 1. Полная физическая изоляция сегмента (отключение от коммутаторов). 2. Восстановление из изолированных недельных бэкапов. 3. Криминалистический анализ вектора проникновения. |
1. Изоляция инфицированных узлов. 2. Восстановление из дневных снапшотов. 3. Проверка смежных систем. |
1. Локализация, удаление вредоносного ПО. 2. Восстановление файлов из локальных копий. |
Стандартная процедура антивирусного реагирования. |
| Внутренняя угроза (попытка несанкционированного доступа/копирования) | 1. Мгновенное оповещение SOC. 2. Автоматическая блокировка учётной записи и рабочих станций. 3. Служебное расследование с привлечением службы экономической безопасности. |
1. Оповещение CISO. 2. Запрос объяснений у сотрудника. 3. Аудит его действий за неделю. |
Фиксация в логах для планового аудита, уведомление руководителя подразделения. | Минимальное логирование события. |
Эта матрица — основа для настройки правил корреляции в SIEM и автоматизированных сценариев (playbooks) в SOAR. Например, инцидент с меткой «Критический» может сразу запускать процедуру изоляции и оповещения руководства, в то время как для «Среднего» уровня сработает лишь тикет в систему техподдержки.
Матрица также служит техническим обоснованием для архитектурных решений. Требование жёсткой сетевой сегментации (например, с использованием технологий типа microsegmentation) между контурами с критическими и публичными данными физически исключает возможность lateral movement атакующего.
Заключение
Идентификация и классификация — это создание смыслового каркаса для всей системы защиты, её нервная система. Без неё средства защиты работают вслепую, не понимая, что именно они охраняют. Корректно реализованная, она делает безопасность проактивной и экономически эффективной: ресурсы концентрируются на главном, а реакция на инциденты становится быстрой, предсказуемой и юридически обоснованной. В конечном итоге, это вопрос не формального соответствия регуляторам, а построения осмысленной обороны в условиях, где данные — это и есть бизнес.