Борьба с утечками корпоративной информации. Подходы к внедрению и настройке

В современном мире одним из ключевых экономических ресурсов является информация. Кто ей владеет, тот будет иметь успех, в то же время утечка данных практически всегда означает потерю клиентов, а то и крах компании. Именно поэтому сегодня так велик интерес к DLP-решениям, позволяющим выявить и предотвратить передачу конфиденциальной информации. Выбор большой, лидеры еще четко не определены, а предложения часто схожи по функциям, но отличаются логикой работы и заложенными принципами, поэтому определиться не так просто.

Как выбрать DLP?

Информационная безопасность стала одной из составляющих деятельности любой компании, а соответствующие риски влияют на ее рейтинг и привлекательность для инвесторов. По статистике, вероятность утечки конфиденциальной информации из-за действий сотрудника организации (инсайдера) превышает вероятность утечки в результате взлома, причем это не обязательно умышленные действия, пользователь может случайно отправить файл не тому адресату. До появления интернета контролировать деятельность сотрудников было практически невозможно. Нет, установить контроль, конечно, было реально, но технических средств для автоматизации процесса не существовало. Сейчас всё изменилось. Деловая переписка ведется по электронной почте, пользователи общаются посредством IM и VoIP, обмениваются файлами, ведут блоги, публикуют сообщения в соцсетях и т. д. Все эти каналы легко контролировать автоматически, мощность современных серверов и емкость носителей позволяют собирать и обрабатывать данные в реальном времени. Чтобы обнаружить и предотвратить передачу конфиденциальных данных на разных этапах (при перемещении, использовании и хранении), применяется целый класс систем защиты - DLP (Data Leak Prevention). На сегодня существует еще с десяток терминов-синонимов для таких систем: ILDP (Information Leak Detection & Prevention), IPC (Information Protection and Control), ILP (Information Leak Prevention) и др. Задача у них, в общем-то, простая - мониторинг, идентификация и защита. Официальных стандартов, определяющих, какой должна быть DLP, пока не существует, поэтому разработчики по-разному смотрят на функции DLP. Часто можно встретить самые разные реализации, не всегда включающие действительно необходимое или, наоборот, напичканные ненужным функционалом, добавленным по заказу компании. Однако со временем определились некоторые требования, которыми должно обладать полнофункциональное DLP-решение. В первую очередь они касаются диапазона возможных каналов утечки:

• электронная почта (SMTP, POP3, IMAP);
• программы обмена IM/VoIP-сообщениями и P2P-клиенты;
• веб-ресурсы (социальные сети, форумы, блоги), а также передача файлов по протоколам HTTP, HTTPS и FTP;
• сетевая печать (SMB Printing, NCP Printing, LPD, и т. д.);
• внешние устройства (USB, CD/DVD, принтеры, Bluetooth, модемы и т. п.), сетевые папки.

Характер передаваемых данных определяется путем обнаружения специфических признаков (метки, хеш-функции, грифы) и анализа контента (статистический анализ, регулярные выражения и т. п.). Хорошие системы, как правило, используют все доступные технологии, а администратор может легко создавать правила самостоятельно на основе подготовленных шаблонов. Кроме того, DLP-система должна обеспечивать службу безопасности инструментом для анализа всех событий и архивом переданной информации. Еще одним критерием, определяющим выбор DLP, является возможность блокировать утечку данных в реальном времени. Однако специалисты по-разному относятся к этой функции, ведь ошибка в работе DLP (а ложные срабатывания случаются, особенно на этапе ввода в эксплуатацию) может привести к блокировке вполне легального трафика, а значит, помешать работе сотрудников. Поэтому многие администраторы предпочитают анализ по факту, а не блокировку.

INFO

Важный этап в развертывании DLP - внедрение, когда необходимо четко сформулировать требования и ожидания и «обеспечить» DLP всеми данными для контроля.

Websense Data Security Suite

• Сайт проекта: websense.com .
• Лицензия: проприетарная.
• ОС сервер: Windows Server 2003 R2.
• ОС клиенты: Windows Vista, 7, 2003, 2008/R2.
• Русификация: отсутствует.

Калифорнийская корпорация Websense хорошо известна как производитель систем фильтрации веб-трафика, в частности, в Facebook вскоре будет внедрена ее разработка для защиты при переходе по внешним ссылкам. Решения ориентированы в первую очередь на средние и крупные компании со штатом свыше 500 сотрудников и государственные учреждения. Комплекс Websense DSS за счет контроля основных каналов обмена данными позволяет в реальном времени остановить утечку конфиденциальной информации. Он работает на основе технологии цифровых отпечатков PreciseID, разработанной компанией PortAuthority Technologies, которую Websense купила в 2006 году. PreciseID обеспечивает высокую точность обнаружения конфиденциальных данных и не имеет некоторых недостатков лингвистических методов. Данные описываются при помощи «цифрового отпечатка», представляющего собой набор символов или слов документа или содержимого полей БД. Такой подход обеспечивает точную классификацию контента более чем для 400 форматов документов (включая таблицы СУБД и сжатые файлы), даже если данные перенесены или конвертированы в другой формат. Кроме PreciseID, используются другие алгоритмы: словари, точное и частичное совпадение, статистический анализ и т. д. Вместе с тем для анализа информации в продуктах Websense применяется несколько технологий «Deep Content Control» и ThreatSeeker (сканирование веб-сайтов и обнаружение новых угроз).

Производится мониторинг основных каналов передачи: электронной почты (SMTP), сообщений MS Exchange, HTTP/HTTPS, FTP, IM/MSN. Предусмотрена интеграция по ICAP с любым интернет-шлюзом, поддерживающим этот протокол. Для мониторинга сервер Websense может устанавливаться в разрыв или использовать зеркалирование трафика (SPAN).

Websense DSS автоматически определяет реакцию на инцидент либо требует подтверждения ответственного сотрудника. Система умеет блокировать передачу конфиденциальных данных, отправлять уведомление (специалисту службы безопасности, начальнику или владельцу контента), запускать внешнюю программу, отправлять запрос на подтверждение отправки и др. Система присваивает инциденту уникальный номер и прикрепляет к сообщению файл. Администратор задает гибкие политики с учетом бизнес-процессов компании, а в комплекте поставки уже имеется несколько десятков шаблонов и настроенных отчетов по инцидентам и активности пользователей. Продукты Websense позволяют ограничить доступ к определенным сведениям для отдельных сотрудников или групп, защищают корпоративную документацию от внесения несанкционированных изменений. Остальные возможности включают принудительное шифрование электронной почты (через шлюз) и совместную работу с другими продуктами Websense (например, со шлюзом безопасности Websense Web Security Gateway). Поддерживается интеграция с Active Directory, Novell eDirectory и Lotus Domino. Совместно с Websense DSS используется ряд других приложений, расширяющих возможности комплекса DLP:

• Data Endpoint - устанавливается на конечные ПК, где контролирует данные, передаваемые через USB и при печати, попытки сделать скриншоты экрана, сообщения IM и т. д.;
• Data Monitor - осуществляет мониторинг каналов передачи, чтобы определить, кто, куда, как и что отправляет, и сопоставить с политиками и бизнес-процессами, снижая риски;
• Data Protect - включает Data Monitor, автоматически блокирует утечку данных на основе политик;
• Data Discover - программа для поиска и классификации конфиденциальных данных, которую можно использовать как в составе DSS, так и отдельно, не требует установки агентов.

Для управления всеми решениями Websense используется единая консоль Websense TRITON Console (Java и Apache Tomcat). Websense DSS очень просто установить. В архив уже входит MS SQL Server Express 2008 R2, но для больших сред лучше использовать полную версию. Первоначальная настройка политик производится при помощи простого мастера, создающего шаблоны с учетом страны и характера деятельности организации, в том числе имеются и региональные настройки для России.

Falcongaze SecureTower

• Сайт проекта: falcongaze.ru .
• Лицензия: проприетарная.
• ОС сервер: Windows 2003/2008 (x86/x64).
• ОС клиенты: Windows XP/Vista/7/2003/2008 (x86/x64).
• Русификация: есть.

Относительно молодое решение, разрабатываемое российским OOO «Фальконгейз». Представляет собой программный продукт, использующий для поиска конфиденциальной информации технологии контентного, атрибутивного и статистического анализа (ключевые слова, регулярные выражения, отпечаток и т. д.). Обеспечивает контроль всех популярных каналов утечки данных, в том числе отслеживает зашифрованный трафик (HTTP/S, FTP/S, POP3/S, SMTP/S, IMAP, OSCAR, ММР, MSN, XMPP). Если в организации используется MS Exchange 2007/2010, то вся внутренняя и внешняя переписка также проверяется на соответствие политикам. Особо хочется выделить полную поддержку Skype, ведь SecureTower может перехватывать голосовой трафик, текстовые сообщения, файлы и отправляемые SMS. Не все DLP это умеют или обеспечивают в полном объеме (чаще установленный агент контролирует лишь текстовые сообщения). Перехват трафика может быть настроен выборочно: по IP-адресам или диапазонам, MAC-адресам, портам и протоколам, логинам, размеру файлов и т. д. Система распознает защищенные паролем документы MS Word/Excel, PDF и некоторые типы архивов. Когда пользователь отправляет документ или архив, защищенный паролем, она генерирует событие и предоставляет администратору полную информацию и копию файла. SecureTower контролирует данные, копируемые на внешние устройства, печать на локальных и сетевых принтерах. Чтобы избежать ошибки при определении отправителя, SecureTower, кроме общепринятой информации, полученной из домена, анализирует все контактные данные, IP-адрес и период его использования, логин в различных месседжерах и т. п. Далее система заводит персональные карточки, с помощью которых вся собранная информация привязывается к учетным записям (возможна интеграция с Active Directory).

Кроме того, SecureTower имеет функции, не специфичные для DLP, но весьма востребованные в большинстве организаций. Так, с ее помощью можно контролировать работу сотрудников - система периодически делает скрины экранов для последующего просмотра в хронологическом порядке, отслеживает внутренние и внешние контакты. При этом формируются наглядные интерактивные отчеты, позволяющие в динамике наблюдать за сетевыми событиями и активностью отдельных пользователей. На основе собранных данных очень легко выяснить, сколько времени сотрудник потратил на пустое общение, пренебрегая своими служебными обязанностями, и когда это имело место. Функционально SecureTower состоит из нескольких компонентов:

• cервер перехвата трафика - захватывает сетевой трафик и передает его в базу данных для хранения (наиболее требовательный к ресурсам компонент);
• сервер контроля рабочих станций - используется для развертывания агентов на рабочие станции, мониторинга их работы и сбора информации, перехваченной агентами (в том числе шифрованного трафика и данных о работе с внешними устройствами);
• cервер обработки информации - выполняет обработку, индексацию и анализ данных, поиск, отправку уведомлений, формирование отчетов и пр.

В качестве СУБД может быть использован MS SQL Server, Oracle, SQLite и PostgreSQL. Система легко масштабируется, при необходимости в сеть можно добавить новый сервер, отвечающий за перехват или обработку данных. Процесс развертывания очень прост, для управления, создания правил и анализа используется консоль администратора Falcongaze SecureTower Admin Console и консоль безопасности Falcongaze SecureTower Client. В установленной системе активно несколько общих правил, позволяющих выявить отправку ряда данных (номеров кредиток, ИНН), посещение соцсетей, отправку резюме для поиска новой работы и др.

Возможности OpenDLP

За плату предлагается Enterprise-версия, имеющая расширенные средства анализа, улучшенный интерфейс, карантин, функцию архивирования и обеспечиваемая поддержкой.

Заключение

Нужно помнить, что DLP - это прежде всего инструмент, позволяющий значительно снизить риски, наличие которого уже само по себе дисциплинирует сотрудников. Ожидать, что внедрение такой системы гарантированно защитит от утечек, возникающих в результате умышленных действий, тоже не стоит. Если инсайдер захочет передать или вынести ценную информацию, он наверняка найдет способ для этого, поэтому следует также использовать все традиционные методы защиты.

С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.

Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:

• определение критической информации, которая подлежит защите;
• разработку политики конфиденциальности;
• настройку бизнес-процессов для решения вопросов информационной безопасности.

Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.

Классификация систем защиты

Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).

Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP - удовлетворительная функциональность и невысокая стоимость. Среди минусов - низкие производительность, масштабируемость, устойчивость отказов.

У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.

При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.

Функции мониторинга и анализа - важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».

С технической точки зрения современные DLP-решения во многом совпадают. Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.

Подходы к внедрению и настройке

Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.

Классический подход означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.

Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков.

ЭТАПЫ ВНЕДРЕНИЯ DLP
по классической схеме:	по аналитической схеме:
анализ базовых бизнес-процессов и оформление перечня конфиденциальных данных;	создание проекта DLP-защиты;
«инвентаризация» носителей и маршрутов движения данных, которым угрожают несанкционированные действия;	установка минимальных разрешений конфиденциальной политики;
оформление процедуры работы с информационным сервисами, включая интернет-ресурсы, съемные устройства, ПК, ноутбуки, планшеты, принтеры, копировальную технику, печатные носители;	ознакомление ответственных за работу DLP специалистов с базовыми принципами функционирования системы;
ознакомление сотрудников с требованиями к обороту информации в компании;	запуск системы в опытном режиме;
создание проекта DLP с указанием способов реагирования системы на выявленные инциденты, а также способов внешнего управления;	анализ результатов опытного запуска;
запуск опытной системы в режиме наблюдения;	внесение изменений в настройки системы;
обучение специалистов, ответственных за работу DLP;
анализ опытного запуска DLP-системы, при необходимости - дополнительная настройка;
запуск системы в «промышленную» эксплуатацию;
регулярный анализ работы системы, корректировка параметров.

Проблемы в процессе эксплуатации DLP

Практика показывает: чаще всего проблемы функционирования DLP-систем кроются не в технических особенностях работы, а в завышенных ожиданиях пользователей. Поэтому гораздо лучше срабатывает аналитический подход к внедрению защиты, его еще называют консалтинговым. «Зрелые» в вопросах ИБ компании, которые уже сталкивались с внедрением инструментов защиты конфиденциальных сведений и знают, что и каким способом лучше защищать, повышают шансы построить отлаженную эффективную систему защиты на базе DLP.

Распространенные ошибки при наладке DLP

• Реализация шаблонных правил

Нередко ИБ-подразделению отводится роль сервисной службы для других подразделений компании, которая оказывает «клиентам» услуги по предотвращению утечек информации. Тогда как для результативной работы ИБ-специалистам требуются доскональные знания операционной деятельности компании, чтобы «заточить» DLP-систему с учетом индивидуальных бизнес-процессов.

• Охват не всех возможных каналов утечки конфиденциальных данных

Контроль электронной почты и HTTP-протоколов средствами DLP-системы при бесконтрольном использовании FTP или USB-портов едва ли обеспечит надежную защиту конфиденциальных данных. В подобной ситуации возможно установить сотрудников, пересылающих корпоративные документы на личную почту, чтобы поработать из дома, или бездельников, просиживающих рабочие часы на сайтах знакомств или в социальных сетях. Но против преднамеренного «слива» данных такой механизм бесполезен.

• Ложные инциденты, которые ИБ-администратор не успевает обработать вручную

Сохранение настроенных по умолчанию на практике оборачивается лавиной ложных оповещений. Например, по запросу «банковские реквизиты» на ИБ-специалиста обрушивается информация обо всех транзакциях в компании, включая оплату канцелярских принадлежностей и доставки воды. Адекватно обработать большое количество ложных тревог система не может, поэтому приходится отключать некоторые правила, что ослабляет защиту и увеличивает риск пропустить инцидент.

• Неспособность предупредить утечку данных

Стандартные настройки DLP позволяют выявить сотрудников, которые занимаются личными делами на рабочем месте. Чтобы система сопоставляла события в корпоративной сети и указывала на подозрительную активность, понадобится тонкая настройка.

• Ухудшение эффективности DLP в связи с выстраиванием информационных потоков вокруг системы

Систему защиты информации следует «настраивать» поверх бизнес-процессов и принятых регламентов работы с конфиденциальной информации, а не наоборот - подгонять работу компании под возможности DLP.

Как решить проблемы?

Чтобы система защиты заработала как часы, нужно пройти все без исключения стадии внедрения и настройки DLP, а именно: планирование, реализация, проверка и корректировка.

• Планирование

Заключается в точном определении программы защиты данных. Ответ на простой, казалось бы, вопрос: «Что будем защищать?» - есть не у каждого заказчика. Разработать план поможет чек-лист, составленный из ответов на более детализированные вопросы:

→ Кто будет использовать DLP-систему?

→ Кто будет администрировать данные?

→ Какие перспективы применения программы в течение трех лет?

→ Какие цели преследует руководство, внедряя DLP-систему?

→ С чем связаны нетипичные требования к предотвращению утечек данных в компании?

Важная часть планирования - уточнить объект защиты, или другими словами, конкретизировать информационные активы, которые передаются конкретными сотрудниками. Конкретизация включает распределение по категориям и учет корпоративных данных. Выполнение задачи обычно выделяют в отдельный проект по защите данных.

Следующий шаг - определение реальных каналов утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не «закрывают» DLP-комплексом, следует принять дополнительные технические меры защиты или выбрать DLP-решение с более полным охватом. Важно понимать, что DLP - действенный способов предотвратить утечку с доказанной эффективностью, но не может заменить все современные инструменты защиты данных.

• Реализация

Отладка программы в соответствии с индивидуальными запросами конкретного предприятия базируется на контроле конфиденциальных сведений:

• в соответствии с признаками особенной документации, принятой в компании;
• в соответствии с признаками типовой документации, общей для всех организаций отрасли;
• с использованием правил, направленных на выявление инцидентов (нетипичных действий сотрудников).

Трехступенчатый контроль помогает выявить преднамеренную кражу и несанкционированную передачу информации.

• Проверка

DLP-комплекс входит в состав системы ИБ предприятия, а не заменяет ее. И эффективность работы DLP-решения напрямую связана с корректностью работы каждого элемента. Потому перед изменением «заводской» конфигурации под частные потребности компании проводят подробный мониторинг и анализ. На этом этапе удобно просчитать человеческий ресурс, необходимый для обеспечения стабильной работы DLP-программы.

• Корректировка

Проанализировав информацию, собранную на этапе тестовой эксплуатации DLP-решения, приступают к перенастройке ресурса. Этот шаг включает уточнение существующих и установление новых правил; изменение тактики обеспечения безопасности информационных процессов; комплектация штата для работы с DLP-системой, техническое усовершенствованию программы (нередко - с участием разработчика).

Современные DLP-комплексы решают большое количество задач. Однако потенциал DLP полностью реализуется только на основе циклического процесса, где анализ результатов работы системы сменяется уточнением настройки DLP.

Внедрять системы DLP довольно просто, однако настроить их так, чтобы они начали приносить ощутимые выгоды, не так легко. На данный момент при внедрении систем мониторинга и контроля информационных потоков (мой вариант описания термина DLP) чаще всего используют один из следующих подходов:

1. Классический . При таком подходе в компании уже определена критичная информация и требования по ее обработке, а система DLP только контролирует их выполнение.
2. Аналитический . При этом в компании есть общее представление о том, что необходимо контролировать распространение критичной инофрмации (обычно конфиденциальной информации), однако поимание потоков информации и необъодимых требований к ним еще не определены. Тогда система DLP выступает в роде инструментария, собирающего необходимые данные, анализ которых позволит четко сформулировать требования по обработке информации, а затем уже и дополнительно, более точно, настроить и саму систему.

Кратко приведу примеры шагов по внедрению DLP, характерных для каждого из подходов..

Классический подход по внедрению DLP :

1. Определить основные бизнес процессы и проанализировать их . На выходе внеобходимо получить документ "" (иногда это может быть более расширенный перечень, что-то типа рабочего документа "Перечень контролируемой информации ", т.к. например вы хотите контролировать и пресекать в электронной переписке использование ненормативной лексики) и рабочий документ "Перечень владельцев информации". Понимание того, кто является владельцем той или иной информации, необходимо для того, чтобы в последствии определить требования по ее обработке.
2. Определить основные носители информации и способы передачи. Необходимо понять, на каких носителях может присутствовать контролируемая иноформация в рамках ИТ-инфраструктуры организации. При этом хорошей практикой является разработка таких рабочих докуменов как "Перечень носителей информации " и "Перечень возможных каналов утечки информации ".
3. Определить требования по использованию информации и сервисов . Часто бывает, что такие требования формулируются в отдельных политиках, например, в документах "Политка использования электронной почты", "Политика использования сети Интернет" и другие. Однако удобнее разработать единую "Политику допустимого использования ресурсов ". В ней имееь смысл указывать требования по следующим блокам: работа с электроной почтой и сетью Интернет, использование съемных носителей; использование рабочих станций и ноутбуков, обработка информации на персональных устройствах (кпк, смартфоны, планшеты и пр.), использование копировально-множительной техники и сетевых хранилищ данных, общение в социальных сетях и блогах, использование сервисов мгновенных сообщений, обработка информации, закрепленнной на твердых носителях (бумага).
4. Ознакомить сотрудников с требованиями по использованию информации и сервисов, определенными на предыдущем шаге .
5. Спроектировать систему DLP . С точки зрения технического проектирования, я рекомендую разрабатывать как минимум "Техническое задание " и "Программу и методику испытаний ". также дополнительно пригодятся и такие документы как "", в котором вы должны детально указать то, как система будет фильтравать информацию и реагировать на события и инциденты, и "", в котором Вы зафиксируете роли и границы ответственности за управление DLP.
6. Внедрить и настроить систему DLP, запустить в опытную эксплуатацию. Первоначально это лучше всего сделать в режиме мониторинга.
7. Провести обучение персонала, ответственного за управление и обслуживание DLP . На данном этапе Вам желатьльно разработать Комплект ролевых иснструкций по DLP (управление и обеспечение).
8. Проанализировать итоги и результаты опытной эксплуатации, внести правки (при необходимости), запустить в промышленную эксплуатацию.
10. Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP .

Аналитический подход по внедрению DLP :

Спроектировать систему DLP . На данном этапе будет достаточно простого "Технического задания " и "Программы и методики испытаний ".

Определить и настроить минимальные политики DLP. Нашей задачей является не мониторинг и блокирование любых активностей, а именно сбор аналитической информации о том, какими каналами и средствами пользуются для передачи той или иной корпоративной информации.

Провести обучение персонала, ответственного за управление и обслуживание DLP. Тут можно использовать стандартные "вендорские" инструкции.

Внедрить и настроить систему DLP, запустить в опытную эксплуатацию (в режиме мониторинга).

Проанализировать итоги и результаты опытной эксплуатации. Задача - выявить и проанализировать основные информационные потоки.

Внести правки (разработать) основные документы, регламентирующие мониторинг и контроль информации, ознакомить с ними сотрудников. Документы "Перечень конфиденциальной информации " и "Политика допустимого использования ".

Внести правки в настройки DLP, определить процедуру управления и обслуживания DLP, запустить в промышленную эксплуатацию . Разработать документы "Корпоративный стандарт по настройке политик DLP ", "Положение по распределению ролей по управлению и обслуживанию DLP ", "Комплект ролевых инструкций по DLP ".

Внести правки (при отсутствии, разработать) в процедуру управления инцидентами (или аналоги).

Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP.

Подходы отличаются, но и тот и другой вполне подходят для внедрения систем DLP. Надеюсь, что представленная выше информация сможет навести Вас на новые удачные мысли по защите информации от утечек.

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.

Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:

• 18,5 миллиона случаев утечки данных в сутки;

• 771,9 случаев утечки данных в час;

• 12,8 утечек данных в минуту;

• 214 случаев утечки данных каждую секунду.

Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?

Поэтому, внедрение средств защиты информации преследует следующие цели:

• Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами;

• Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов;

• В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?

Проведите внутреннее исследование

Изучите имеющуюся организационно-распорядительную документацию;

Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;

Дайте оценку информационным ресурсам компании, распределите их по категориям:

1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.

2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.

Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.

Разработайте нормативную документацию

На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

1) произведения науки, литературы и искусства;

2) программы для ЭВМ;

3) базы данных;

7) изобретения;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау)

15) наименования мест происхождения товаров;

Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

Разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;

Ознакомление всех сотрудников компании с содержанием регламента под роспись.

Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.

Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

все средства коммуникации, переданные в пользование сотруднику, предназначены только для выполнения должностных обязанностей;

владельцем электронной почты и абонентом телефонной сети является организация , таким образом, они предоставляются работнику во временное пользование в период выполнения служебных обязанностей.

Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP -системам

Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.

Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:

Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).

Для выполнения требований, функционал современной DLP-системы должен предусматривать:

• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;

• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;

• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;

• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;

• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;

• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.

Для чего это нужно?

Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.

Не останавливайтесь на достигнутом

DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны быть также зафиксированы и отражены в DLP-системе.

Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.

Может показаться, что в 2017 году DLP-системы стали настолько привычным явлением в информационной безопасности, что вопросы перехвата трафика ушли на второй план.

Подходы различных производителей DLP к тому, какой трафик и где следует собирать, как правило, уходят корнями в их собственный опыт первых удачных проектов. Очевидно, что опыт этот варьировался от вендора к вендору, поскольку инфраструктура предприятия – вещь достаточно индивидуальная, да и личные предпочтения специалистов по информационной безопасности тоже оказывали свое влияние.

Тем не менее, в итоге сегодня практически любая DLP-система способна собирать трафик на почтовых серверах, сетевом шлюзе, прокси-сервере и конечных рабочих станциях. Однако этот последний пункт до сих пор вызывает много споров. Для одних агент DLP – панацея от всех угроз, для других – страдание. Об этом и хочется поговорить в данной статье.

Зачем вообще устанавливать агенты?

По классике DLP, агент требуется, чтобы обеспечивать на рабочих станциях контроль данных в покое (Data-at-rest) и данных в использовании (Data-in-use). Data-in-motion на 95% покрывается на уровне серверов, что не может не радовать.

В теории добавление агентского DLP позволяет не только осуществлять поиск конфиденциальной информации на ПК сотрудников, но и контролировать её обращение в ситуациях, когда машина находится не в сети, или когда информацией активно пользуются. Однако на практике вместе с широкими возможностями агенты несут с собой и массу трудностей.

Проблемы с установкой

Во-первых, агенты очень проблематично разворачивать. Ловушка здесь кроется на пилотных проектах: обычно агенты без проблем устанавливаются на несколько десятков или сотен машин, а вот когда наступает время промышленного внедрения, и тысячи машин должны обзавестись агентскими модулями, начинается самое интересное.

Когда у организации возникают проблемы с установкой DLP-агентов, первым свою дозу негатива, конечно, получает конкретный производитель. Но если пообщаться с опытными ИБ-специалистами, оказывается, что проблема глобальная. Попробуйте поискать что-то вроде «dlp agent not install» или «dlp agent problem». Вы обнаружите сотни страниц форумов, где пользователи жалуются на агентские модули мировых гигантов DLP.

Конфликты с имеющимся ПО

Было время, когда любой приличный антивирус моментально детектировал DLP-агента как вредоносное ПО. Со временем большинству производителей удалось решить эту проблему. Но важно помнить, что чем могущественнее агент и чем больше скрытых функций ОС он использует, тем выше вероятность конфликта.

По рынку некоторое время ходила история про некую организацию в Республике Беларусь, где был установлен антивирус ВирусБлокАда. Чтобы развернуть в организации агентскую часть DLP, вендору пришлось в срочном порядке разрабатывать «интеграционное решение» с данным антивирусным ПО. Поэтому когда вы слышите, что у решения есть интеграция с тем или иным антивирусом, в большинстве случаев имеется в виду не взаимный обмен событиями ИБ, а именно неконфликтность с DLP-агентом.

Контентный анализ на рабочей станции

Агентский модуль вынужден довольствоваться ограниченными ресурсами рабочей станции сотрудника, а она обычно представляет собой офисный десктоп или ноутбук, рассчитанный на работу с документами, почтовый клиентом и браузером. При всём при этом агент должен осуществлять контентный анализ прямо на рабочей станции. Это бьёт по производительности, и особенно сильно – если организация использует «развесистые» политики, нацеленные на защиту больших объёмов конфиденциальных данных, таких как выгрузки из баз данных или графических документов. Вы знаете, как работает OCR на рабочей станции или детектор печатей на большом объёме? Стоит один раз увидеть, чтобы навсегда запомнить.

Ложные срабатывания

В последнее время заметна тенденция к комбинированному использованию различных DLP-систем в одной инфраструктуре. Заказчики собирают лучшие функции от нескольких решений, и потом начинается творческий процесс настройки этого зоопарка. Проблема заключается в том, что разные решения начинают перехватывать один и тот же трафик и слать по 2-3 уведомления на одно и то же событие – конечно, в разные консоли. Разумеется, это приводит к тому, что место в архивах очень быстро заканчивается. И наконец, когда рабочая станция падает, начинается расследование, какой агент в этом виноват.

Агенты поддерживают не все платформы

Идеальная картинка инфраструктуры выглядит так: все пользователи используют одинаковые рабочие станции, например, на Windows 7 или даже на Windows 8, все проблемы совместимости с которой остались в прошлом. Этот идеал редко встречается в реальности, но даже если ваша компания – то самое редкое исключение, на повестке дня уже переход на Windows 10.

Проблема состоит в том, что далеко не все производители могут гарантировать стабильную работу агента с этой ОС. Например, если зайти на официальные ветки сообществ поддержки западных вендоров, можно увидеть большое число жалоб на несовместимость с новым творением Microsoft. Если вспомнить, как компания мастерски выкручивает руки антивирусным производителям, с продуктами которых ОС всё чаще конфликтует, то складывается впечатление, что Microsoft это на руку и скоро они доберутся до остальных endpoint-решений, чтобы навязать свои условия сотрудничества. Пользователям такая нестабильность с поддержкой грозит постоянными обновлениями и внезапными отказами DLP-агентов.

Мобильный агент – лучше убейте

Примерно в 2012 году компания Symantec ознаменовала новую эру развития DLP – предотвращение утечек на мобильных устройствах. Их решение заключалось в том, что iPhone или iPad настроен на работу через VPN-туннель, который направляет весь трафик устройства на сервер DLP, где происходит проверка политик. Что ж, технически все реализовано очень прозрачно. Только вы когда-нибудь пробовали проходить целый день с поднятым VPN? Остаётся только догадываться, как быстро разряжается батарея устройства. Тем более, в данном примере ни о каком агентском DLP на мобильном устройстве речи не идёт. Зная, как резко негативно Apple относится к любым фоновым приложениям, и, уж тем более, к тем, которые вмешиваются в процесс обработки данных, такому агенту не суждено появиться на свет. Неизвестно, почему Symantec не разработал DLP-решение под Android. Возможно, проблема в сегментации операционной системы, и разработчикам будет очень сложно поддерживать разные версии агентов для всех моделей телефонов. Да и для большинства процедур перехвата трафика потребуется рутовать устройство, а далеко не каждый опытный безопасник позволит делать это даже доверенному производителю.

Выводы

Полномасштабное внедрение DLP-системы сложно представить без мониторинга конечных точек. Ограничение на использование USB-носителей, контроль буфера обмена – эти каналы получается контролировать только на стороне агента.

Если же говорить про коммуникационный трафик, то современные технологии позволяют перехватывать почти всё на сетевом шлюзе и прокси-сервере. Даже анализировать SSL-трафик в прозрачном режиме без настроек в свойствах браузера. Поэтому мы рекомендуем всегда разумно подходить к выбору перехватчиков. Слишком часто решение «проще на агенте» оказывается глубоко ошибочным.