Файл: Обеспечение защиты корпоративных информационных ресурсов от утечек информации при помощи DLP-систем (изучение).pdf

ВВЕДЕНИЕ

В наше время уже сложно представить предприятие, которое не заботилось бы о защите своих информационных активов. Но некоторые предприниматели до сих пор считают, что защита от внешних угроз информации более приоритетна по отношению к внутренним угрозам. Из-за таких заблуждений предприятия порой несут значительные потери.

Но рано или поздно каждое предприятие сталкивается с действиями инсайдера, что побуждает руководителей организации модернизировать систему защиты корпоративных данных. Однако нельзя сосредотачиваться только на одной защите информации, установив, к примеру, какое-нибудь программное средство. Необходимо подойти к модернизации более глобально, решать целый комплекс задач. Выполнение семи задач, приведенных ниже, позволит не только защитить конфиденциальные сведения, но и повысить эффективность бизнес-процессов, что поможет компании увеличить свой доход:

а) защита информации;

б) повышение эффективности отдела информационной безопасности;

в) выявление уровня лояльности сотрудников;

г) архив бизнес-коммуникации;

д) защита структурированных хранилищ;

е) поиск инсайдеров;

ж) управление репутационными рисками.

Достигается выполнение этих задач, в свою очередь, внедрением DLP-системы.

Сама аббревиатура DLP была предложена в 2005 г. и расшифровывается, как Data Loss Prevention (или Data Leak Prevention), т.е. защита от утечек данных. В русском языке принято расшифровывать DLP, как систему защиты конфиденциальных данных от внутренних угроз.

DLP-система осуществляет защиту конфиденциальной информации с помощью двух функций:

а) глубокого анализа трафика на уровне контекста и контента;

б) фильтрации трафика по каналам передачи данных.

Саму же конфиденциальную информацию можно классифицировать на следующие виды:

а) корпоративные данные (персональные данные сотрудников, финансовые данные и т.д.);

б) клиентские данные (номера паспортов, кредитных карт, ИНН и т.д.);

в) интеллектуальная собственность (конструкторская документация, исходные).

Целью исследования является организация защиты конфиденциальных сведений в корпоративной сети Общества с ограниченной ответственностью «Поставка» в г. Москва с применением DLP-системы.

Задачи исследования:

а) проанализировать защищаемые на предприятии сведения, произвести сравнение внутренних и внешних угроз информации, а также выделить наиболее актуальные со стороны инсайдера;

б) построить существующую схему локальной вычислительной сети;

в) проанализировать существующие на российском рынке DLP-системы и выбрать, подходящую, для предприятия;

г) построить локальную вычислительную сеть, после внедрения средств защиты информации.

1 АНАЛИЗ ПРЕДМЕТНОИ ОБЛАСТИ

1.1 Общая характеристика внутренних угроз

Современное крупное предприятие ежедневно подвергается угрозам информационной безопасности. И одной из ключевых функций по обеспечению информационной безопасности является определение, анализ и классификация возможных угроз безопасности информации. Для этого нужно четко понимать, какие угрозы информационной безопасности существуют.

Так, их можно классифицировать по:

а) отношению к объекту (внутренние и внешние);

б) степени преднамеренности действий (преднамеренные и случайные);

в) характеру воздействия (активные и пассивные);

г)аспекту информационной безопасности (угрозы целостности, доступности и конфиденциальности);

д) величине нанесенного ущерба (предельные, значительные и незначительные);

е) вероятности возникновения (весьма вероятные, вероятные и маловероятные);

ж) характеру нанесенного ущерба (материальные и моральные).

Прежде чем двигаться дальше, необходимо дать определение угрозе информационной безопасности, которое будет основным в данном курсовом проекте.

Угроза информационной безопасности – потенциальное действие или событие, которое может привести к нарушению одного или нескольких аспектов безопасности информационной системы.

Учитывая тему курсового проекта, нас в первую очередь интересуют внутренние угрозы. Источником внутренних угроз всегда является персонал предприятия. Именно поэтому внутренние угрозы возникают чаще, нежели внешние, источниками которых могут являться, к примеру, конкуренты или частные лица, преследующие свои интересы (хакеры). При этом можно выделить все существующие источники угроз и представить их на рисунке 1.1.

Внутренний злоумышленник (инсайдер) – сотрудник компании, являющийся нарушителем, который может иметь легальный доступ к конфиденциальной информации. В результате действий инсайдера конфиденциальная информация может попасть в посторонние руки.

Рисунок 1.1 Источники угроз безопасности конфиденциальной информации

Внутренний злоумышленник может обладать следующими служебными полномочиями:

а) полномочия, затрагивающие корпоративное управление. В частности, руководство, координация, согласование, контроль, планирование, предложения по внесению изменений, знакомства с различными документами и др.;

б) доступ на различные объекты компании. Например, доступ к съемным носителям, средствам обработки информации и т. д.;

в) доступ на пяти различных уровнях к информационным системам предприятия: на уровне операционной системы, на уровне аппаратного обеспечения, на сетевом уровне, на уровне пользователя приложений, на уровне администрирования баз данных и различных приложений;

г) доступ к информации ограниченного доступа, являющейся служебной и представленной в разных видах. Можно назвать коммерческую тайну или персональные данные;

д) использование различных видов связи на территории предприятия (телефонной или радио связи, например);

е) прочие полномочия.

Практически все инсайдеры – сотрудники компании. Однако рядом признаков, присущих инсайдерам, могут обладать и иные лица:

а) бывшие сотрудники компании, которые во многих случаях имеют серьезные знания о внутренней среде предприятия и даже после разрыва отношения с компанией продолжают общаться с бывшими коллегами;

б) сотрудники организаций‑подрядчиков. Сюда же можно отнести тех, с кем только планируется установить договорные отношения;

в) сотрудники правоохранительных органов (и регулирующих), имеющие доступ к информационной системе на территории компании в силу выполнения своих функций;

г) иные лица, которым предприятие предоставило функции, присущие инсайдерам. Такое может случиться, если возникнет деловая необходимость.

Необходимо отметить, что инсайдер может передать конфиденциальную информацию третьим лицам, сам того не осознавая. То есть сотрудник предприятия может работать со злоумышленником осознанно или неосознанно. Последнее случается довольно часто, достаточно опасно и трудно выявляемо. В обоих случаях речь идет не только об однократном сотрудничестве со злоумышленником.

Если говорить о несанкционированной передаче конфиденциальных сведений, хранящихся в корпоративной сети предприятия, через какой-либо канал, используя информационную структуру предприятия, что является довольно часто случающимся действием инсайдеров, то здесь сложно переоценить важность DLP-системы.

1.2 Общие сведения о DLP-системе

Почти в любой компании рано или поздно сталкиваются с действиями инсайдеров. Причем речь может идти даже о небольших организациях. Не говоря о несознательном сотрудничестве инсайдера, о чем упоминалось выше, в любой нише в конце концов появляются конкуренты. И если один из конкурентов сможет получить конфиденциальные сведения другого предприятия, то получит несомненное преимущество, при грамотном использовании которого может остаться единственным представителем в нише, стать своеобразным монополистом.

Чтобы не допустить подобного, компании стараются как можно лучше защитить собственные информационные активы. Однако в эпоху информатизации практически невозможно содержать всю конфиденциальную информацию на бумажных носителях и хранить в хорошо защищенном помещении. Сейчас куда быстрее и в целом легче работать с электронными документами. Если необходимо в срочном порядке показать какой-нибудь документ (например, торговую накладную) другому сотруднику предприятия, достаточно лишь разместить его в специальном разделе в корпоративной сети, доступ к которому есть у этого сотрудника. При этом сотрудник может случайно или преднамеренно передать конфиденциальные документы третьему лицу. Для этого может быть использовано:

а) программы для мгновенного обмена сообщениями (так называемые «интернет-мессенджеры»): ICQ, Skype, Агент Mail.ru, QIP, Jabber и другие;

б) интернет-сайты (веб-ресурсы), куда входят разнообразные форумы, чаты, социальные сети;

в) сетевая печать: имеются в виду NCP Printing, SMB Printing, IPP, LPD;

г) электронная почта (сетевой трафик POP3, SMTP, IMAP);

д) внешние устройства: сюда входят CD/DVD-диски, USB-флеш-накопители, принтеры, подключенные к автоматизированному рабочему месту.

DLP-система – продукт, позволяющий обнаружить и заблокировать несанкционированную передачу инсайдером конфиденциальных сведений.

В основе своей эта система анализирует пакеты данных, пересекающих границу корпоративной сети. Если в одном из таких пакетов данных будет обнаружена конфиденциальная информация, его дальнейший выход за пределы корпоративной сети блокируется. Так, можно выделить три основные задачи, которые должны реализовываться любой DLP-системой:

а) получить описание защищаемых данных – имеется в виду настройка продукта;

б) уметь распознать защищаемые данные в потоке, исходящем из внутреннего информационного поля компании вовне – DLP-система должна распознавать действия, направленные на перемещение конфиденциальных сведений;

в) реагировать на обнаруженные попытки.

Принцип работы DLP-системы довольно прост и представлен на рисунке 1.2.

Рисунок 1.2 Схема работы DLP-системы

Можно привести пример работы DLP-системы. Сотрудник отдела продаж разговаривает с клиентом при помощи программы для мгновенного обмена сообщениям Skype. В ходе беседы возникает необходимость переслать клиенту какие-нибудь конфиденциальные документы. Сотрудник компании может не иметь права на пересылку всех необходимых документов без согласования с начальством и все равно совершает их отправку. Или же сотрудник может случайно переслать, помимо необходимых, еще и другие, с грифом «Коммерческая тайна» (они могут находиться в одной директории в корпоративной сети или на жестком диске компьютера сотрудника). В таком случае DLP-система фиксирует факт передачи конфиденциальной информации и сообщает об этом офицеру безопасности. В зависимости от функционала и настроек DLP-система может либо сразу заблокировать передаваемую конфиденциальную информацию, либо только оповестить офицера безопасности о случившейся передаче. Подробнее о функционале DLP-систем говорится ниже.

1.3 Классификация DLP-систем

Все DLP-системы делятся по своему функционалу. И признаки, по которым они делятся, необходимо учитывать сотрудникам предприятия для выбора подходящего DLP-продукта. Так, системы по предотвращению несанкционированной передачи конфиденциальных сведений за пределы корпоративной сети компании можно разделить по сетевой архитектуре на системы хостового уровня и сетевого уровня. Подробнее рассмотрим каждый из этих классов позднее.

Еще DLP-системы делятся по способу блокировки конфиденциальных данных. По данному признаку выделяются продукты с пассивным и активным контролем действий. В отличие от активных DLP-систем, пассивные не могут блокировать передаваемую информацию, а только оповещают офицера безопасности о случившемся инциденте. И нельзя с уверенностью сказать, что пассивные лучше активных систем – или наоборот, так как первые не способны случайно остановить бизнес-процесс, однако вторые куда эффективнее борются со случайным выходом конфиденциальной информации за пределы корпоративной сети предприятия. Но, при всем сказанном, нельзя не отметить, что в настоящий момент преимущество отдается все-таки DLP-системам с активным контролем действий.