Файл: Обеспечение защиты корпоративных информационных ресурсов от утечек информации при помощи DLP-систем.pdf

Минусы:

• Нет агентов под специализированные ОС (MacOS, мобильные платформы, *nix).
• Разные консоли управления для разных компонентов.
• Отсутствует подтверждение присутствия в реестре отечественного ПО.

Solar Dozor.

Плюсы:

• Единый веб-интерфейс управления, один из самых зрелых на рынке.
• Концептуально иной подход к работе с DLP, основанный на контроле оперативной обстановки и инцидент-менеджменте.
• Широкая поддержка агентом альтернативных системе Windows операционных систем.
• Интеграция с большим числом сторонних бизнес-решений.
• Тесная интеграция с собственными решениями по безопасности, а также с сервисом JSOC.
• Собственная интерпретация поведенческой аналитики, появившаяся в продукте раньше, чем у конкурентов.
• Большое число визуально-воспринимаемых и структурированных карт, диаграмм, отчётов.

Минусы:

• Отсутствие поддержки некоторых популярных протоколов.
• По сравнению с конкурентами, небольшое число технологий анализа.
• Недостаточно полный функционал по контролю рабочих мест пользователей.

Но не стоит забывать что, в силу широкого спектра решаемых DLP-системами задач невозможно сделать однозначный вывод о превосходстве того или иного продукта, можно только определится с необходимостью в каждом конкретном случаи. Ведь в работе любой фирмы учитывается, какие технологии или функциональные возможности для неё наиболее важны.

2.3 Политики конфиденциальности в DLP-системах.

Политика конфиденциальности – часть персональной безопасности организации, описывающая правила сбора, хранения и распространения конфиденциальной информации. Все эти документы необходимы, добавляют ключевые моменты, связанные со сбором личной информации о пользователях внутри системы и позволяет определить уровень ответственности, как клиентов, так и поставщика, чтобы в случай недобросовестного использования или несоответствия предоставленного уровня защиты можно было получить денежную компенсацию. Установление перечня правил, может быть, идти отдельно, но нередко описывается в документе «Положение об информационной политике». Наиболее часто политики конфиденциальности организации определяют информацию, составляющую коммерческую тайну в виде перечня, утверждаемого генеральным директором компании. Помимо перечня информации, генеральный директор указывает список лиц, осуществляющих контроль над соблюдением установленного порядка обращения с конфиденциальной информацией (как правило – администратор безопасности).

Типовые виды информации, содержащиеся в перечне КИ:

1. список конфиденциальной документации;

2. персональные данные сотрудников;

3. список ФИО сотрудников;

4. электронные ключи.

В дальнейшем, при использовании DLP-систем, администратор безопасности использует данный перечень для задания правил и шаблонов этих систем с использованием методов, рассмотренных выше. Для этого выполняется следующий набор действий:

1. задание шаблонов персональных данных (паспорт, ФИО, телефон);

2. задание отпечатков документации и прочих конфиденциальных файлов;

3. создание словарей на базе конфиденциальной документации;

4. задание таблицы замен;

5. задание политики DLP-системы и условия их срабатывания.

При работе с обширным числом актив рекомендуется уточнение модели формирования у сторонних экспертов.

2.4 Практические использования DLP.

Прежде чем начать заниматься аналитикой, необходимо понимать, что решения по DLP-система каждая компания решает сама, самостоятельно ставя перед собой определённые цели, но в процессе эксплуатации, в зависимости от желания и умения работать с системой, ориентиры могут меняться и ценность системы, соответственно, расти или падать.

Для начала стоит проверить правила настройки DLP-системы. Если настройками и анализом занимается один и тот же человек, то он будет знать, какие форматы документов перехватываются, а какие в принципе добавлены в исключения или же размер перехватываемых файлов может быть установлен до определённой величины. Если же за установку отвечает один сотрудник, а за аналитику другой, то возможно, что результаты работы аналитика из-за этого будут неполноценны.

В различных DLP-системах некоторые настройки могут быть вшиты в ядро, тогда эту информацию необходимо уточнять дополнительно.

Постоянный мониторинг работоспособности серверной части системы и агентов на компьютерах сотрудников, может сильно выручить вас и весь проект в целом, ведь будет очень неприятной новостью, что когда надо проводить расследование, в известное время и на известном компьютере по каким-то причинам нет информации.

Одной из ценностей DLP является хранение информации, с помощью которой можно расследовать инцидент, контролируйте её поступление и не терять.

Разобравшись с эти нюансами, проведём практическое применение на модели типовых ситуациях, с которыми может столкнуться любая организация.

Пример №1. Удаление файлов

У сотрудника на компьютере пропали очень важные документы по проекту, причём накануне они ещё были доступны.

Компьютер сотрудника известен. Заявку на восстановление файлов сотрудник уже направил. IT-поддержка к компьютеру подключалась, но проблему на этом этапе решить не смогла.

В ходе анализа переписки сотрудника выяснилось, что он занимается неким проектом и не успевает закончить его к необходимому сроку.

После просмотра снимков экрана сотрудника было установлено, что он сам, под своей учётной записью, выполнил удаление файлов. Было отчётливо видно, что в одной из папок находились как раз файлы по текущему проекту, а в другой переписка. Далее сотрудник попытался удалить папку с файлами по проекту вместе с содержимым.

Удаление производилось несколько раз, так как в первый раз у сотрудника возникли проблемы с удалением файлов в связи с тем, что они были открыты в офисной программе.

Далее сотрудник попытался удалить папку, содержащую переписку по проекту, но удаление произошло частично, некоторые письма были открыты в почтовой программе.

Можно ли было восстановить хронологию действий нерадивого сотрудника другими средствами? Возможно, но тут возможности DLP записывать действия на рабочем компьютере помогли очень быстро разобраться и установить истинную причину проблемы.

Пример №2. Обсуждение коллег

В ходе мониторинга событий DLP были выявлены сообщения из внутрикорпоративного коммуникатора двух сотрудников из категории «мошенничество», обсуждавших, что их коллега продаёт клиентам финансовые продукты без их него ведома.

Было установлено, что эти сотрудники работают в соседних офисах и тесно общаются.

В переписке они называли эту сотрудницу по прозвищу. При этом уточняли, что указание на осуществление подобных действий исходило от руководителя «КВ». Обсуждалось также и то, что она радует своими успехами начальника, так как выполняет планы по продажам.

Далее был установлен круг сотрудников, которые работают в данных офисах. Начальником одного из офисов являлся сотрудник с инициалами «КВ».

После подробного анализа переписки этих двух сотрудников за больший период были выявлены сообщения, в которых они упоминают эту сотрудницу уже по имени. Согласно штатной структуре единственная сотрудница с таким именем работала в одном из офисов, в котором работал один из участников переписки и где как раз руководителем был «КВ». Из переписки также стало понятно, что их рабочие места находятся рядом, то есть он видит, что она делает на рабочем месте.

С помощью перехваченных DLP логов коммуникатора по ключевым словам и штатной структуре был установлен сотрудник, который обманывает клиентов, таким образом, выполняет планы продаж, и начальник, который этому способствует, что несёт в себе риски ухудшения репутации для компании.

Пример №3. Увольнение

Сотрудник компании, находящийся в группе риска, а именно с известной датой увольнения, решил, что надо для нового места работы захватить с собой что-нибудь полезное.

Замысел он решил воплотить в жизнь в свой последний рабочий день, перед тем как забрать трудовую книжку. Так как основные каналы утечки у него уже были заблокированы по корпоративным правилам для увольняющихся сотрудников за несколько дней до этого, оставался один из возможных способов — отправить документы на печать.

Сотрудник безопасности, работающий в этом же офисе, сразу после получения уведомления о распечатке конфиденциального документа сотрудником, находящемся в группе риска, направился к нему и, можно сказать, поймал за руку, т. к. тот уже вынес документ и положил себе в автомобиль, а обходной лист со стороны СБ уже был согласован до факта печати.

Этот способ кражи информации является самым простым. Но для успешного пресечения таких действий важен комплекс мер включающие в себя предварительные работы по профилированию групп риска, способность DLP-системы в реальном времени фиксировать события, а также оперативная реакция офицера безопасности. В таких случаях счёт идёт на минуты.

Пример №4. Торги

В компании проводилась процедура по продаже списанного автомобиля, но в Службе безопасности усомнились в отсутствии заинтересованности со стороны ответственных за проведение данной процедуры сотрудников.

Были проанализированы коммуникации сотрудников на тему продажи этого автомобиля и установлено, что заинтересованность проявлял сотрудник подразделения, которое ранее занималось документальным сопровождением по данному автомобилю.

Под предлогом продления страховки он вызвался на осмотр автомобиля. Также в переписке было найдено упоминание устного разговора между ним и сотрудником, который должен продать автомобиль.

Затем поступила заявка на покупку данного автомобиля с внешнего электронного адреса, по названию которого сложно что-то сказать о принадлежности, и с документами человека абсолютно никак не связанного с компанией.

Был загружен архив на максимальную глубину, и нашлись письма более чем пятилетней давности, в которых с этого же внешнего адреса велась переписка с сотрудниками компании, а в подписи были указаны реквизиты сотрудника, проявившего интерес, а именно фамилия и инициалы.

Возможно, ли было узнать истинно заинтересованного в покупке человека? Да, можно и другими способами, но дольше и сложнее, а тут помог глубокий архив DLP с возможностью поиска, который может хранить информацию не один год.

Пример №5. Опасные увлечения

Обсуждения в корпоративном коммуникаторе эффекта от использования различных наркотических средств.

Проводился анализ коммуникаций сотрудников на предмет обсуждений, не связанных с рабочей деятельностью.

Была обнаружена переписка, где пара сотрудников делилась своим опытом употребления наркотиков, этот чат не попал в специальную категорию DLP по этой теме, так как в словаре отсутствовало упомянутое слово.

Данная пара сотрудников была поставлена на дополнительный мониторинг, и в течение пары недель были выявлены ещё несколько чатов между ними на эту тему.

Все понимают, какие риски для компании несут противозаконные действия сотрудников, поэтому оперативное выявление таких элементов и их изоляция помогут избежать серьёзных проблем.

ЗАКЛЮЧЕНИЕ

Проанализировав собранную информацию можно заключить что.

DLP в обеспечение сохранности корпоративных информационных ресурсов, да и информации от утечек в целом является крайне важным аспектом в любой организации и является залогом для успешной работы, и в среднесрочной перспективе даёт полную окупаемость и сверх прибыль в долгосрочной , не нуждается в сверхчеловеческих усилий со стороны внутренних или нанимаемых специалистов по информационной безопасности и от руководства компании в частности.

Подобным способом, финансовая защищённость в первую очередь, характеризуется более результативного применения корпоративных ресурсов с целью избегания угроз также предоставления устойчивого функционирования организации.

Имеет смысл отметить то, что с целью эффективного решения сложных задач и предотвращения потери данных необходимо собирать защиту не только из DLP, но и из других систем (DAG, IDM, СКУД, видеонаблюдение и т. д.) повышая безопасность всей индивидуальной собственности.

Минусы, безусловно, также имеется — приобретение, введение также владение DLP производятся дополнительные расходы, необходим наем дополнительных сотрудников с соответствующую квалификацию, чтобы они могли грамотно использовать систему без лишнего потери времени. Но всё это незначительно, поскольку без должного уровня зашиты, любая организация не сможет существовать, уже не говоря о том, чтобы конкурировать.