Файл: Системы предотвращения утечек конфиденциальной информации (DLP).pdf

Правила внутреннего трудового распорядка.

Должностная инструкция работника.

Положение о подразделении работника.

Дополнительные соглашения с работником.

Режим защиты информации:

Документы, содержащие положения и процедуры ИБ: общая политика ИБ, парольная защита, контроль доступа, защита от вредоносного ПО, допустимое использование ИС и сервисов (в т.ч. сеть Интернет и корпоративная почта), мониторинг и контроль, управление инцидентами, обучение и повышение осведомленности и пр.

Инструкции пользователям информационных систем, сервисов и средств защиты информации.

Далее, как мы понимаем, запрет ничего не стоит, если не прописана ответственность за его нарушение. Лица, разгласившие информацию ограниченного доступа, могут привлекаться к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в порядке, установленном законодательством Российской Федерации. И, в частности, напомню, что разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, является основанием для увольнения сотрудника по инициативе работодателя (ТК РФ, статья 81, пункт 6в).

2.3 Правила обработки/защиты информации и использование средств мониторинга

Следующим шагом необходимо составить локальные нормативные акты, определяющие правила обработки и защиты информации ограниченного доступа. Сотрудники должны быть ознакомлены с ними под роспись, и мы рекомендуем компаниям хранить копии журналов ознакомления. 

Сотрудники должны знать (т.е. опять-таки расписаться в ознакомлении), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга. 

Также не лишними будут следующие документы: 

Отчеты и планы по обучению/инструктажу работников.

Копия журналов по обучению и повышению осведомленности работников по вопросам обработки и защиты информации.

Личная информация на корпоративных ресурсах

Отдельно должны быть прописаны все правила, касающиеся личной информации сотрудников, ее хранения и передачи с использованием корпоративных ресурсов. 

Запрещено хранить личную информацию на корпоративных устройствах.

Корпоративные каналы связи и средства обработки информации должны использоваться работниками исключительно для служебных (производственных) целей.

Работникам запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (корпоративная электронная почта, сеть Интернет и другие).

2.4 Подразделение информационной безопасности

Обязанности безопасников тоже должны быть регламентированы и прописаны в положении о подразделении ИБ и должностных инструкциях его сотрудников. Как минимум, в список входят контроль соблюдения правил обработки и защиты информации ограниченного доступа и реагирование на инциденты информационной безопасности.

Система защиты информации должна соответствовать актуальным для компании угрозам, а также требованиям и рекомендациям регулирующих органов (Роскомнадзор, ФСБ России, ФСТЭК России). Что поможет офицеру безопасности подтвердить это:

Выписка из Модели угроз и Модели нарушителя.

Выписка из ТЗ и ТП на систему защиты.

Справка о DLP системе (функционал и сертификаты).

Отчеты об аудитах и проверках ИБ, копии аттестатов соответствия.

Глава 3. Сравнительная характеристика DLP-комплексов

Современные DLP-комплексы решают большое количество задач. Однако потенциал DLP полностью реализуется только на основе циклического процесса, где анализ результатов работы системы сменяется уточнением настройки DLP.

Мировой современный рынок DLP В данный момент главные места на мировом рынке DLP-систем занимают компании, широко известные в данной сфере. К ним можно отнести Symantec, TrendMicro, McAffee, WebSense. Symantec

Symantec сохраняет лидирующие позиции на рынке DLP, хотя этот факт и удивляет, так как многие другие компании могут заменить ее. Решение все так же состоит из модульных компонентов, которые позволяют обеспечивать новейшие возможности, рассчитанные на интеграцию систем DLP в наилучших технологиях. Дорожная технологическая карта на настоящий год составлялась с использованием сведений своих клиентов и является сегодня самой прогрессивной из имеющихся на рынке. Вместе с тем это далеко не самый лучший выбор DLP-системы. Сильные стороны: значительное улучшение технологии Content-Aware DLP для портативных устройств; усовершенствование возможностей извлечения контента, по причине чего поддерживается наиболее комплексный подход; доработка интеграции возможностей DLP с иными продуктами Symantec (наиболее ярким примером может выступить Data Insight). То, на что необходимо обратить внимание (немаловажные минусы в работе, над которыми стоит задуматься): несмотря на то что дорожная технологическая карта у Symantec считается прогрессивной, реализация ее зачастую происходит с заминками; даже при том, что консоль управления является в полной мере функциональной, ее конкурентоспособность не так высока, как заявляют специалисты Symantec; нередко клиенты этой системы жалуются на время реакции службы поддержки; цена на данное решение по-прежнему значительно выше, чем у разработок конкурентов, которые со временем могут занять лидирующее место благодаря малым изменениям в этой системе.

Рисунок 2. Продукт компании Symantec

Websense

Последние несколько лет разработчики регулярно улучшают DLP-предложение Websense. Его смело можно считать полнофункциональным решением. Websense обеспечил современного пользователя расширенными возможностями. Выигрышные стороны: Со стороны Websense выдвигается предложение, связанное с применением полнофункционального решения DLP-системами, поддерживающего конечные точки и обнаружение данных. Посредством функции drip DLP возможно обнаружение постепенных утечек информации, достаточно долго длящихся по времени. Что заслуживает особого внимания: Редактировать данные можно только в покое. Технологическая карта характеризуется слабой мощностью.

Рисунок 3. Продукт компании Websense

McAfee DLP

Успела подвергнуться множеству изменений положительного характера и DLP-система безопасности McAfee. Ей не свойственно наличие особых функций, однако реализация базовых возможностей организована на высоком уровне. Ключевое отличие, если не считать интеграцию с иными продуктами консоли McAfee ePolicy Orchestrator (EPO), состоит в применении технологии хранения в централизованной базе захваченных данных. С помощью такой базы можно добиться их применения для оптимизации новых правил с целью проведения тестирования на предмет вероятности ложных срабатываний и для того, чтобы сократить время развертывания.

Что больше всего привлекает в данном решении? Организацию управления инцидентами смело можно назвать сильной стороной решения McAfee. С его помощью осуществляется прикрепление документов и комментариев, сулящих пользу при проработке на любом уровне. Данное решение способно обнаружить нетекстовой контент, например, картинку. Возможен вариант развёртывания DLP-системами от этого разработчика нового решения с целью защиты конечных точек, например, stand-alone. Достаточно хорошо показали себя функции, нацеленные на развивающиеся платформы, представленные в форме устройств мобильной связи и социальных сетей. Это позволяет им обойти конкурентные решения. Посредством базы данных, содержащей захваченную информацию, осуществляется анализ новых правил, что способствует снижению числа ложных срабатываний и ускорению внедрения правил. Решение McAfee DLP наделено базовыми функциями в виртуальной среде. Планы, касающиеся их развития, ещё не совсем четко сформулированы.

Рисунок 4. Продукт компании McAfee

Обзор различных решений, представленный выше, показывает, что все они работают одинаковым образом. По мнению экспертов, главная тенденция развития состоит в том, что «заплаточные» системы, содержащие компоненты от нескольких производителей, занимающихся решением определенных задач, сменятся интегрированным программным комплексом. Этот переход будет осуществлен по причине потребности в избавлении специалистов от решения некоторых проблем [6]. Кроме того, будут постоянно совершенствоваться имеющиеся DLP-системы, аналоги которых не могут обеспечить тот же уровень защиты.

Режимы работы

Два основных режима работы DLP-систем – активный и пассивный. Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик. Пассивный режим чаще всего используется на этапе настройки системы для проверки и корректировки настроек, когда высока доля ложных срабатываний. В этом случае нарушения политик фиксируются, но ограничения на перемещение информации не налагаются (таблица 1).

Таблица 1

В данном аспекте все рассматриваемые системы оказались равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу. Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства [8].

Технологии

Технологии детектирования позволяют классифицировать информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения. На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий (см. таблицу 2).

Таблица 2

В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.

Контролируемые каналы

Каждый канал передачи данных – это потенциальный канал утечек. Даже один открытый канал может свести на нет все усилия службы информационной безопасности, контролирующей информационные потоки. Именно поэтому так важно блокировать неиспользуемые сотрудниками для работы каналы, а оставшиеся контролировать с помощью систем предотвращения утечек [3].

Несмотря на то, что лучшие современные DLP-системы способны контролировать большое количество сетевых каналов (см. таблицу 3), ненужные каналы целесообразно блокировать. К примеру, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить ему доступ в Интернет.

Таблица 3