Файл: Системы предотвращения утечек конфиденциальной информации (DLP).pdf
Добавлен: 03.07.2023
Просмотров: 87
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Характеристика DLP систем
1.5 Уровни контроля DLP систем
1.7 Классификация систем защиты
Глава 2. Правовая основа DLP-решения
2.1 Информация ограниченного доступа
2.2 Разглашение информации ограниченного доступа
2.3 Правила обработки/защиты информации и использование средств мониторинга
2.4 Подразделение информационной безопасности
Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.
Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.
1.6 Установка DLP систем
С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.
Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:
определение критической информации, которая подлежит защите;
разработку политики конфиденциальности;
настройку бизнес-процессов для решения вопросов информационной безопасности.
Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.
Подходы к внедрению и настройке
Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.
Классический подход означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.
Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков [2].
Проблемы в процессе эксплуатации DLP
Практика показывает: чаще всего проблемы функционирования DLP-систем кроются не в технических особенностях работы, а в завышенных ожиданиях пользователей. Поэтому гораздо лучше срабатывает аналитический подход к внедрению защиты, его еще называют консалтинговым. «Зрелые» в вопросах ИБ компании, которые уже сталкивались с внедрением инструментов защиты конфиденциальных сведений и знают, что и каким способом лучше защищать, повышают шансы построить отлаженную эффективную систему защиты на базе DLP.
Распространенные ошибки при наладке DLP
Реализация шаблонных правил
Нередко ИБ-подразделению отводится роль сервисной службы для других подразделений компании, которая оказывает «клиентам» услуги по предотвращению утечек информации. Тогда как для результативной работы ИБ-специалистам требуются доскональные знания операционной деятельности компании, чтобы «заточить» DLP-систему с учетом индивидуальных бизнес-процессов.
Охват не всех возможных каналов утечки конфиденциальных данных
Контроль электронной почты и HTTP-протоколов средствами DLP-системы при бесконтрольном использовании FTP или USB-портов едва ли обеспечит надежную защиту конфиденциальных данных. В подобной ситуации возможно установить сотрудников, пересылающих корпоративные документы на личную почту, чтобы поработать из дома, или бездельников, просиживающих рабочие часы на сайтах знакомств или в социальных сетях. Но против преднамеренного «слива» данных такой механизм бесполезен.
Ложные инциденты, которые ИБ-администратор не успевает обработать вручную
Сохранение настроенных по умолчанию на практике оборачивается лавиной ложных оповещений. Например, по запросу «банковские реквизиты» на ИБ-специалиста обрушивается информация обо всех транзакциях в компании, включая оплату канцелярских принадлежностей и доставки воды. Адекватно обработать большое количество ложных тревог система не может, поэтому приходится отключать некоторые правила, что ослабляет защиту и увеличивает риск пропустить инцидент.
Неспособность предупредить утечку данных
Стандартные настройки DLP позволяют выявить сотрудников, которые занимаются личными делами на рабочем месте. Чтобы система сопоставляла события в корпоративной сети и указывала на подозрительную активность, понадобится тонкая настройка.
Ухудшение эффективности DLP в связи с выстраиванием информационных потоков вокруг системы
Систему защиты информации следует «настраивать» поверх бизнес-процессов и принятых регламентов работы с конфиденциальной информации, а не наоборот – подгонять работу компании под возможности DLP.
Чтобы система защиты заработала как часы, нужно пройти все без исключения стадии внедрения и настройки DLP, а именно: планирование, реализация, проверка и корректировка.
Планирование
Заключается в точном определении программы защиты данных. Ответ на простой, казалось бы, вопрос: «Что будем защищать?» – есть не у каждого заказчика. Разработать план поможет чек-лист, составленный из ответов на более детализированные вопросы:
→ Кто будет использовать DLP-систему?
→ Кто будет администрировать данные?
→ Какие перспективы применения программы в течение трех лет?
→ Какие цели преследует руководство, внедряя DLP-систему?
→ С чем связаны нетипичные требования к предотвращению утечек данных в компании?
Важная часть планирования – уточнить объект защиты, или другими словами, конкретизировать информационные активы, которые передаются конкретными сотрудниками. Конкретизация включает распределение по категориям и учет корпоративных данных. Выполнение задачи обычно выделяют в отдельный проект по защите данных [3].
Следующий шаг – определение реальных каналов утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не «закрывают» DLP-комплексом, следует принять дополнительные технические меры защиты или выбрать DLP-решение с более полным охватом. Важно понимать, что DLP – действенный способов предотвратить утечку с доказанной эффективностью, но не может заменить все современные инструменты защиты данных.
Реализация
Отладка программы в соответствии с индивидуальными запросами конкретного предприятия базируется на контроле конфиденциальных сведений:
в соответствии с признаками особенной документации, принятой в компании;
в соответствии с признаками типовой документации, общей для всех организаций отрасли;
с использованием правил, направленных на выявление инцидентов (нетипичных действий сотрудников).
Трехступенчатый контроль помогает выявить преднамеренную кражу и несанкционированную передачу информации.
Проверка
DLP-комплекс входит в состав системы ИБ предприятия, а не заменяет ее. И эффективность работы DLP-решения напрямую связана с корректностью работы каждого элемента. Потому перед изменением «заводской» конфигурации под частные потребности компании проводят подробный мониторинг и анализ. На этом этапе удобно просчитать человеческий ресурс, необходимый для обеспечения стабильной работы DLP-программы.
Корректировка
Проанализировав информацию, собранную на этапе тестовой эксплуатации DLP-решения, приступают к перенастройке ресурса. Этот шаг включает уточнение существующих и установление новых правил; изменение тактики обеспечения безопасности информационных процессов; комплектация штата для работы с DLP-системой, техническое усовершенствованию программы (нередко – с участием разработчика).
1.7 Классификация систем защиты
Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).
Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP – удовлетворительная функциональность и невысокая стоимость. Среди минусов – низкие производительность, масштабируемость, устойчивость отказов [1].
У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.
При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.
Функции мониторинга и анализа – важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».
Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.
Глава 2. Правовая основа DLP-решения
Прекрасно, когда компания задумывается о сохранности своих информационных активов и внедряет DLP-решение. Но если этому внедрению не сопутствует юридическое оформление, часть функций DLP просто «отваливается». Компания не сможет использовать данные DLP в суде против сотрудника, виновного в разглашении конфиденциальной информации (а может и пострадать от иска самого сотрудника, например). Сегодняшний небольшой материал рассказывает, как этого избежать и где «подстелить солому».
В соответствии с ТК РФ, 98-ФЗ, 152-ФЗ и пр., функционирование DLP в организации включает несколько аспектов, требующих юридического оформления. Сразу оговоримся, что список документов, который мы даем ниже, несколько избыточен. Если каких-то регламентов у вас нет, это может быть не смертельно. Но у нас за годы работы в этой сфере сложилось мнение, что сопроводительных документов много не бывает, особенно если компании предстоит судиться с сотрудником, «слившим» конфиденциальные данные.
Еще один важны момент – большинство регламентов и положений требует подписи сотрудника, который либо выступает в качестве одной из сторон соглашения, либо подтверждает ознакомление с содержанием документа. Поэтому к работе над юридическим оформлением внедрения DLP необходимо привлекать HR-отдел и, естественно, юристов.
2.1 Информация ограниченного доступа
Прежде всего, надо понимать, что конфиденциальными данными является не то, что компания хотела бы держать в секрете, а то, что формально закреплено в качестве информации ограниченного доступа. К информации ограниченного доступа относятся персональные данные, коммерческая, служебная, профессиональная тайна, сведения о сущности изобретения и пр. Поэтому первым шагом компания должна определить и документировать перечень информации ограниченного доступа, с которым сотрудники должны быть ознакомлены под роспись. Документы, которые понадобятся на данном этапе:
Перечень информации ограниченного доступа.
Перечень лиц, допущенных к обработке информации ограниченного доступа.
Положения об обработке и защите информации ограниченного доступа (ПДн, КТ и пр.).
Приказы о введении режима защиты информации (особенно КТ).
2.2 Разглашение информации ограниченного доступа
В первую очередь, необходимо сформировать документы, в явном виде запрещающие разглашение сотрудниками информации ограниченного доступа, ставшей им известной в связи с исполнением трудовых обязанностей. Такой запрет должен быть прописан в документах двух типов: общие регламенты компании и документах, касающихся режима защиты информации.
Общие:
Трудовой договор.