Карантин почты в SecureTower Neon: контроль утечек без остановки бизнес-процессов

Электронная почта была и остается одним из основных каналов утечки данных. Причины просты: легитимность почты внутри информационной сети, высокая доля человеческого фактора и, конечно, специалисту по безопасности в моменте может быть очень сложно отличить, например, рабочую переписку бухгалтера от попытки передать конфиденциальную информацию третьему лицу.

Именно поэтому в новую версию DLP SecureTower Neon мы внедрили модуль Карантин почты.

Зачем мы внедрили Карантин почты?

Жесткая автоматическая блокировка, которая есть в большинстве DLP-систем, может нарушить рабочие процессы. Карантин позволяет временно задерживать потенциально опасные письма — до принятия взвешенного решения ИБ-специалистом.

Большая часть переписки проходит без препятствий, если не нарушает политик безопасности. Что касается потенциальных нарушений, Карантин почты группирует заблокированные письма и предоставляет удобные инструменты для работы с ними. ИБ-специалисты могут принимать решения по заблокированным письмам: подтверждать блокировку либо разрешать отправку.

Также мы предусмотрели возможность разграничения прав доступа при работе с Карантином почты, если с системой работают сразу несколько специалистов ИБ.

Приведу несколько возможных сценариев использования нового модуля

Сотрудник отправляет на личную почту документы внутреннего пользования — якобы чтобы поработать из дома. Система блокирует отправку письма и отправляет его в карантин. Специалист по ИБ анализирует информацию, консультируется с руководителем сотрудника и выясняет, действительно ли была попытка намеренного хищения конфиденциальной информации. По итогу ИБ-специалист подтверждает блокировку.

Бухгалтер по ошибке отправляет зарплатные ведомости и данные о премиях не руководителю, а внутреннему сотруднику. Система помещает письмо в карантин, ИБ-специалист подтверждает блокировку и регистрирует инцидент.

Юрист отправляет материалы судебного спора внешнему консультанту. Письмо помещается в карантин из-за наличия сканов доверенностей и паспортных данных. После проверки основания передачи ИБ разрешает отправку.

SecureTower тщательно журналирует все действия с письмами, попавшими в карантин

Для каждого письма, попавшего в карантин, система сохраняет исчерпывающую историю его обработки на всех этапах — от момента срабатывания правила блокировки до финального решения, которое принимает ИБ-специалист. Немаловажно, что история не может быть изменена или удалена, что позволяет осуществлять контроль на всех этапах.

Функция аудита упрощает выполнение требований нормативных документов и стандартов в области ИБ (152-ФЗ, GDPR, ISO/IEC 27001 и др.), где особое внимание уделяется:

• контролю доступа;
• фиксации действий операторов;
• возможности последующего аудита и подтверждения корректности процессов защиты данных.

История действий служит доказательной базой при проверках регуляторов.

В заключение

Модуль Карантин почты в DLP SecureTower Neon — это ответ на одну из самых непростых задач информационной безопасности: как снизить риск утечек по электронной почте, не нарушая при этом рабочие процессы. Он позволяет уйти от жесткой и зачастую избыточной блокировки писем в пользу более гибкого и управляемого подхода. В результате электронная почта остается удобным и привычным инструментом для сотрудников, а служба информационной безопасности получает дополнительный инструмент контроля без ущерба для непрерывности бизнес-процессов.