Когда в компании вводят DLP-систему, часто создают универсальные правила для всех и следят за всеми одинаково строго. Но бухгалтер, разработчик и директор по-разному работают с информацией. Одинаковые правила или создают дыры в безопасности, или мешают работе. Рассказываем, как настраивать политики мониторинга так, чтобы они учитывали реальные задачи сотрудников — от стажера до топ-менеджера.
В этой статье:
- Почему универсальные правила мониторинга не работают
- Какие инструменты помогают настроить адаптивный мониторинг
- Как настраивать политики под отделы: от общих правил к конкретным сценариям
- Как внедрить адаптивный мониторинг: пошаговый план
- Как измерить, что политики работают
- Главное об адаптивном мониторинге
Почему универсальные правила мониторинга не работают
Любая защита от утечек работает по заданным правилам. Но чем больше компания, тем сложнее подобрать единые настройки, которые устроят всех. То, что сработает для бухгалтерии, помешает продажам — и наоборот. А то, что нужно разработчикам, создает дыры в безопасности.
Возьмем типичное правило: «запрещено отправлять файлы с номерами телефонов клиентов на личную почту».
Для отдела продаж, которые каждый день отправляют клиентам коммерческие предложения и договоры, это означает остановку работы. В этих документах всегда есть контакты — номера телефонов, персональные данные. Если запретить отправлять такие файлы на личную почту, менеджеры просто не смогут согласовывать сделки.
Для бухгалтера, который раз в год отправляет годовую отчетность главбуху на домашний компьютер в выходные, это правило становится проблемой. Действие само по себе редкое и для него нетипичное — в обычные дни он так не делает. Но именно в этот момент жесткий запрет помешает работе.
Задача политики — не блокировать такие исключения, а распознать их: понять, что отправка отчета главбуху в нерабочее время — это не утечка, а часть закрытия отчетного периода. Для этого нужно изучать реальные процессы, а не просто ставить галочки в настройках.
Как это реализовать на практике: RBAC и ABAC
Первый шаг к порядку — разделить правила хотя бы по отделам. Потому что риски у всех свои:
- финансисты могут подделать платежку или отправить ее не туда;
- продавцы способны унести с собой всю базу клиентов при увольнении;
- разработчики — случайно выложить код в открытый репозиторий.
Но внутри одного отдела люди тоже разные. Младший специалист и руководитель направления имеют разные права доступа и несут разную ответственность. Менеджеру по продажам нужна только его часть клиентской базы, а руководителю отдела — вся. Поэтому просто привязать правила к названию отдела недостаточно. Нужна градация по должностям и по ситуациям.
Современные системы безопасности используют две модели, которые в связке дают нужную гибкость:
Ролевое управление доступом (RBAC). Права привязаны к должности. Есть роль «бухгалтер» — у нее доступ к 1С и запрет на мессенджеры. Все четко, без вариантов.
Управление на основе атрибутов (ABAC). Права зависят от контекста: времени суток, геолокации, типа устройства. Система сама решает, дать доступ или нет, анализируя ситуацию.
На практике эти подходы работают в паре. Ролевая модель задает базовые настройки для каждой должности, а контекстные правила позволяют оценивать не только сам факт действия, но и обстоятельства.
Например, доступ к финансовым документам в выходной день сам по себе может быть поводом для алерта. Но если при этом сотрудник заходит с обычного рабочего ноутбука и из дома, где он часто работает, система просто фиксирует событие с низким приоритетом. А если доступ в выходные происходит с незнакомого устройства и из страны, где сотрудник никогда не был, — это уже инцидент высокого уровня критичности, доступ блокируется до подтверждения.
Мониторинг действий сотрудников со Staffcop
Настройте адаптивные политики мониторинга вместе со Staffcop
Какие инструменты помогают настроить адаптивный мониторинг
Чтобы настраивать разные правила для разных отделов и должностей, нужны не только регламенты, но и подходящие технические средства. Три класса инструментов в связке дают ту самую гибкость, о которой мы говорим.
DLP-системы: база для настройки мониторинга
Основной инструмент — DLP-системы (Data Loss Prevention, предотвращение утечек данных). Они следят за тем, как сотрудники передают, получают и обрабатывают информацию: через почту, мессенджеры, внешние накопители, облачные хранилища. DLP умеют не только фиксировать, но и блокировать подозрительные действия, а также сообщать о них службе безопасности.
В DLP-системах задаются правила, которые регулируют действия с информацией: отправку по почте, копирование на флешку, передачу в мессенджеры. Сами правила привязываются к ролям сотрудников — например, «бухгалтерам нельзя отправлять файлы в мессенджеры» или «менеджерам по продажам нельзя копировать базу клиентов на флешку». Информацию о том, кто к какой роли относится, DLP обычно получает из корпоративного каталога Active Directory или учетных систем. Но чтобы правила стали по-настоящему адаптивными, одного DLP недостаточно — нужны более умные надстройки, которые учитывают контекст и поведение.
Анализ с помощью SIEM
Есть ситуации, когда нужен не просто мгновенный запрет на действие, а анализ контекста. Система смотрит не только на то, кто совершает действие, но и на то, где, когда, с какого устройства и с какой целью это происходит. Одно и то же действие может быть разрешено в одной ситуации и заблокировано в другой.
Примеры:
- Отправить файл с паролями на корпоративную почту техподдержки — ок. Отправить тот же файл на почту Gmail.com — инцидент.
- Выгрузить отчет за прошлый квартал на флешку в пятницу вечером (финдиректор готовит отчет для совета директоров в выходные) — ок. Сделать то же самое в понедельник утром — повод для проверки.
- Доступ к бухгалтерии ночью из офиса — менее подозрительно, чем из домашней сети в 3 часа ночи.
Такие правила позволяют не создавать сотни исключений для каждой роли, а задать общие принципы, которые система будет применять сама, анализируя ситуацию.
UEBA: обнаружение аномалий в поведении
Ручная настройка правил — процесс трудоемкий. К тому же вы можете просто не знать, что для конкретного отдела является нормой, пока не столкнетесь с инцидентом. Здесь помогает UEBA — аналитика поведения пользователей и сущностей.
Система не просто следит за нарушениями, а учится тому, что для конкретного сотрудника и отдела является обычным поведением, и бьет тревогу, когда видит отклонения.
Как это работает на практике:
- Период обучения (2-3 месяца). Система наблюдает за работой отделов и строит профили нормального поведения. Для продаж норма — активные звонки и письма во внешний мир. Для бухгалтерии — работа в 1С и минимум внешних контактов.
- Калибровка моделей. Аналитики смотрят, что система посчитала аномалией. Если ложных срабатываний много — модель донастраивают, расширяют рамки нормы.
- Включение реакций. Только после калибровки систему переводят в боевой режим, где на аномалии следует реакция: от уведомления до блокировки.
UEBA особенно полезна для выявления инсайдеров, которые действуют аккуратно, не нарушая явных запретов, но их поведение отклоняется от обычного паттерна. Например, сотрудник никогда не работал по ночам и вдруг начал регулярно засиживаться допоздна и скачивать необычно много данных. Даже если формально он ничего не нарушает, это повод присмотреться.
Как настраивать политики под отделы: от общих правил к конкретным сценариям
Когда мы уходим от универсальных правил, первый уровень детализации — это отделы. У каждого свои рабочие инструменты, свои риски и свое понимание нормы. То, что для продаж — рутина, для бухгалтерии — красный флаг, и наоборот.
Разберем пять ключевых подразделений и покажем, как для каждого работают разные инструменты: базовые DLP-правила, контекст (ABAC) и поведенческая аналитика (UEBA).
Продажи и коммерческий блок: главный риск — база клиентов
Для отдела продаж основная ценность — это клиентская база и история коммуникаций. Риски здесь классические:
- сотрудник перед увольнением скачивает всю базу, чтобы унести конкурентам;
- менеджер отправляет коммерческие предложения на личную почту, чтобы работать с клиентами в нерабочее время;
- через мессенджеры утекают персональные данные клиентов.
|
DLP-правила на основе атрибутов и характеристик событий |
Отслеживать массовый экспорт данных из CRM. Если менеджер выгружает больше контактов, чем обычно, — система предупреждает. Блокировать отправку файлов с базами клиентов на личные ящики. Разрешить мессенджеры, но с запретом на пересылку файлов, содержащих коммерческую тайну. |
|
Правила на основе контекста (могут применяться в DLP и SIEM) |
Разрешать отправку коммерческих предложений на личную почту, только если она подтверждена в профиле сотрудника и используется не чаще определенного лимита в день. Если менеджер пытается скачать базу в нерабочее время или с необычного устройства — запрашивать дополнительное подтверждение. Отслеживание паттернов перед увольнением: резкий рост активности в CRM, скачивание непривычных отчетов, работа в выходные. Система запоминает обычный объем выгружаемых данных для каждого менеджера. Если сотрудник, который обычно работал с 50 контактами в день, вдруг скачивает 5000 — это аномалия, даже если формально лимиты не превышены. |
Разработка и IT: код и доступы
Здесь другая специфика. Разработчики работают с интеллектуальной собственностью — исходным кодом. А IT-администраторы имеют доступ вообще ко всему, что делает их отдельной группой риска.
Риски:
- выгрузка кода в публичные репозитории;
- отправка архивов с исходниками на сторону;
- использование нестандартных протоколов для передачи больших данных;
- злоупотребление административными правами.
|
DLP-правила на основе атрибутов и характеристик событий |
Не блокировать выгрузку кода полностью, а отслеживать объемы. Если разработчик начал выгружать в разы больше обычного — триггер для проверки. Использовать контент-анализ: искать в коде ключи шифрования, пароли, фрагменты, указывающие на коммерческую тайну. Для IT-персонала — тотальное протоколирование всех действий с правами администратора. |
|
Правила на основе контекста (могут применяться в DLP и SIEM) |
Выгрузка кода в публичный репозиторий разрешена только для определенных проектов и только в рабочее время. Подключение к серверам с незнакомых IP-адресов требует двухфакторной аутентификации, даже если пароль введен верно. Система строит профиль нормальной активности для каждого разработчика: с какими репозиториями он работает, в какое время, какие объемы кода выгружает. Отклонение от профиля — сигнал. Для администраторов: отслеживание нехарактерных действий — например, попытка создать нового пользователя с правами суперадминистратора в нерабочее время. |
Финансы и бухгалтерия: подделки и мошенничество
Финансовый блок работает с живыми деньгами. Здесь утечка данных — это не только штрафы, но и прямые финансовые потери.
Риски:
- подделка платежных поручений;
- изменение реквизитов контрагентов в базе;
- создание двойников поставщиков для вывода денег;
- доступ к платежным документам в нерабочее время.
|
DLP-правила на основе атрибутов и характеристик событий |
Отслеживать попытки отправить финансовые документы непроверенным контрагентам. Контролировать изменения в реквизитах уже согласованных договоров. Использовать правило двойного контроля: платеж сверх лимита требует подтверждения от руководителя. |
|
Правила на основе контекста (могут применяться в DLP и SIEM) |
Любое изменение реквизитов контрагента блокируется, если оно происходит не с рабочего места сотрудника или в нерабочее время. Доступ к платежным документам из внешних сетей разрешен только финдиректору и только при подключении через корпоративный VPN. Система замечает, если бухгалтер начинает работать с документами, которые обычно не входили в его зону ответственности. Выявление цепочек действий: например, сначала сотрудник меняет реквизиты поставщика, а через час пытается провести платеж в адрес этого поставщика — такая последовательность может указывать на мошенничество. |
HR: персональные данные под защитой закона
Отдел кадров работает с самой чувствительной категорией данных — персональными данными сотрудников. Утечка паспортных данных, зарплат, результатов тестирований грозит не только репутационными потерями, но и крупными штрафами.
|
DLP-правила на основе атрибутов и характеристик событий |
Полный запрет на вынос любой персональной информации за пределы компании. Принудительное шифрование файлов с пометкой «конфиденциально». Блокировка отправки документов на личные почты и в мессенджеры. |
|
Правила на основе контекста (могут применяться в DLP и SIEM) |
Доступ к зарплатной ведомости разрешен только с компьютеров внутри офиса, удаленный доступ блокируется полностью. Печать документов с персональными данными требует обоснования и подтверждения от руководителя. Система отслеживает необычные запросы к базе данных сотрудников: например, если HR-специалист, который обычно работает с документами новых сотрудников, вдруг массово запрашивает данные уволенных. Выявление попыток собрать «досье» на конкретного человека: кто и как часто обращался к его личному делу. |
Топ-менеджмент: защита от компрометации
Руководители — особая категория. Прямые запреты на использование мессенджеров или личной почты здесь не работают. Но директоров атакуют чаще других: фишинг, социальная инженерия, компрометация учетных записей.
|
DLP-правила на основе атрибутов и характеристик событий |
Полное протоколирование всех действий без блокировок. Мониторинг корпоративной почты и мессенджеров на предмет фишинговых атак. |
|
Правила на основе контекста (могут применяться в DLP и SIEM) |
Любой вход в критичные системы (банк-клиент, ERP) с нового устройства или из новой локации блокируется до подтверждения по телефону. Доступ к системам управления финансами в нерабочее время требует дополнительной аутентификации. Система запоминает типичное поведение руководителя: с каких устройств он заходит, в какое время, из каких городов. Любое отклонение — сигнал для проверки. |
Как внедрить адаптивный мониторинг: пошаговый план
Теперь, когда понятна логика — зачем нужны разные правила для отделов и должностей, — перейдем к действиям. Вот план, который не парализует компанию в первый же день, а приведет к работающей системе защиты.
Этап 1. Анализ: изучить процессы и роли, понять, кто чем занимается
Прежде чем настраивать какие-либо правила, нужно разобраться в том, как реально работают люди. Составьте список всех бизнес-процессов, в которых участвует информация: продажи, закупки, разработка, финансовая отчетность, работа с персоналом.
Для каждого процесса определите:
- какие должности в нем участвуют;
- с какими данными они работают;
- какие действия совершают с этими данными (создают, редактируют, отправляют, копируют);
- в какое время и откуда обычно работают.
Важно опираться не на должностные инструкции, а на реальность. Часто люди выполняют задачи, которые формально не закреплены за их ролью, или используют инструменты, не предусмотренные регламентами.
Этап 2. Выявить риски: определить, где в процессах могут быть утечки или нарушения
Когда понятно, как устроены процессы, можно искать в них слабые места. Для каждой роли и каждого действия ответьте на вопрос: «Что здесь может пойти не так?».
Примеры:
- менеджер по продажам может перед увольнением скачать всю базу клиентов;
- бухгалтер может ошибиться в реквизитах и отправить платеж мошенникам;
- разработчик может случайно выложить код с ключами доступа в открытый репозиторий;
- IT-администратор может создать себе учетную запись с максимальными правами в обход процедур.
На этом этапе важно не пытаться закрыть все риски сразу, а просто составить их полный список. Позже вы расставите приоритеты.
Этап 3. Выбрать приоритеты: с чего начать, чтобы не распыляться
Не пытайтесь закрыть всё сразу. Выберите самое критичное: обычно это базы данных клиентов и финансовые документы. Настройте жесткие политики на этих контурах в первую очередь. Когда они заработают без сбоев, переходите к следующему по важности активу. Такой подход позволяет быстро получить результат и не утонуть в настройках.
Этап 4. Настроить паттерны поведения: что считать нормой для каждой роли
Прежде чем настраивать запреты, поймите, как люди реально работают. Для юриста норма — работа с большими текстовыми файлами и отправка их контрагентам по email. Для разработчика норма — выгрузка кода на внешний репозиторий. Для продажника — активная переписка в мессенджерах.
Если вы заранее не изучите эти паттерны, система будет выдавать тысячи ложных срабатываний, и безопасники просто перестанут на них реагировать. Проведите интервью с руководителями отделов, понаблюдайте за работой в течение недели-двух. Это окупится сторицей.
Этап 5. Провести пилот на одном отделе
Выберите отдел, который лоялен к нововведениям. Обычно это IT — они понимают, зачем это нужно, и могут дать толковую обратную связь. Внедрите на них первые настроенные политики (только в режиме аудита, без блокировок). Соберите обратную связь, посмотрите, что вызывает неудобства, где правила мешают работе. Исправьте ошибки.
Этап 6. Создать типовые шаблоны
На основе опыта с пилотным отделом создайте шаблоны политик для типовых ролей: «Менеджер по продажам», «Бухгалтер», «Разработчик», «HR-специалист». Это ускорит масштабирование на всю компанию. В хороших DLP-системах такие шаблоны уже есть — остается только подогнать под свою специфику.
Этап 7. Внедрять постепенно: от аудита к блокировкам
Не включайте блокировки сразу — лучше проведите внедрение в три шага:
- Режим аудита. Система только фиксирует действия, но ничего не блокирует. Вы собираете статистику, выявляете ложные срабатывания, донастраиваете правила.
- Режим предупреждений. Система показывает сотруднику, что его действие нарушает политику, но не блокирует его. Это нужно, чтобы люди могли скорректировать поведение, если нарушили случайно, а вы — собрать статистику и донастроить правила. Но важно не переборщить: частые предупреждения по надуманным поводам раздражают сотрудников, а недобросовестные могут использовать их как подсказки для обхода системы. Поэтому предупреждения стоит включать только для самых критичных действий и быстро исправлять ложные срабатывания.
- Режим блокировок. Только когда вы уверены, что правила работают верно, включайте блокировки для самых критичных действий. Для менее рискованных нужно оставить режим аудита или предупреждений.
Реакции должны быть адекватны риску. Где-то достаточно просто уведомить руководителя, например, сотрудник отправил рабочий файл на личную почту в нерабочее время. Где-то нужно блокировать сразу, например при попытке скопировать всю базу клиентов на флешку. Где-то — включить дополнительную запись экрана и нажатий клавиш, например, для увольняющегося администратора баз данных.
Этап 8. Проводить регулярный пересмотр
Сотрудники увольняются, переходят из отдела в отдел, получают повышения. Если не отзывать старые права, через год у половины компании будут доступы, которые им не нужны. Раз в полгода проводите ревизию: сверяйте матрицу доступа с реальностью, убирайте лишнее, обновляйте паттерны поведения, если бизнес-процессы изменились.
Как измерить, что политики работают
Внедрили — хорошо. Но как доказать, что это принесло пользу? Вот несколько метрик, на которые стоит смотреть:
Снижение количества ложных срабатываний. Показатель, который можно измерить в динамике: например, после настройки политик число ложных срабатываний сократилось в 10 раз. Это значит, что безопасники перестали тратить время на проверку несущественных событий и сосредоточились на реальных угрозах.
Скорость выявления угроз. Важно не только блокировать утечки, но и замечать подозрительное поведение на ранней стадии. Хороший результат — система начинает сигнализировать о необычных действиях сотрудника за несколько часов или дней до возможного инцидента, а не постфактум.
Время реакции на инцидент. Если раньше расследование занимало часы, а теперь на его уходит 10–15 минут — значит, ролевые политики и логи работают эффективно.
Главное об адаптивном мониторинге
Универсальных правил безопасности нет. То, что защищает бухгалтерию, мешает продажам. То, что останавливает стажера, не остановит топ-менеджера. Адаптивные политики мониторинга — это единственный способ совместить надежную защиту и эффективную работу. Настройка правил под конкретные роли, отделы и ситуации позволяет видеть реальные угрозы и не отвлекаться на пустяки.
Готовы настроить гибкую систему защиты, которая понимает разницу между бухгалтером и разработчиком? Контур.Эгида позволяет создавать детальные политики для любой должности и отдела. Попробуйте сами.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.