Файл: «Системы предотвращения утечек конфиденциальной информации (DLP)».pdf

ВВЕДЕНИЕ

Для каждой компании любой сферы бизнеса защита коммерческой информации – одна из приоритетных задач. Ведь последствия утечки коммерческой тайны или другой важной информации способны нанести неоценимый убыток организации.

Необходимость защиты от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, поэтому большую популярность стали набирать системы предотвращения утечек конфиденциальной информации - DLP-системы. Необходимость их использования стала упоминаться в стандартах и нормативных документах.

В настоящее время существует множество систем предотвращения утечек конфиденциальной информации, при этом каждая из них обладает различным функционалом. Поэтому перед руководителем организации стоит непростой вопрос о выборе средства борьбы с утечкой конфиденциальной информации, удовлетворяющего его потребностям и финансовым возможностям.

Цель работы состоит в анализе существующих систем предотвращения утечек конфиденциальной информации.

В соответствии с поставленной целью задачами работы являются:

- определение понятие конфиденциальности информации и необходимость ее защиты;

- классификация технологических средств борьбы с утечкой конфиденциальной информации;

- определение понятия, задач и принципов работы DLP-системы;

- сравнительный анализ DLP-систем;

- обоснование выбора системы предотвращения утечек конфиденциальной информации.

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СИСТЕМ ПРЕДОТВРАЩЕНИЯ УТЕЧЕК КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Понятие конфиденциальности информации и необходимость ее защиты

Все данные компании классифицируются в целях защиты информации на следующие четыре категории:

- секретная информация;

- конфиденциальная информация;

- информация для служебного пользования;

- общедоступная информация.

Конфиденциальная информация - это информация, доступ к которой ограничивается в соответствии с законодательством страны и уровнем доступа к информационному ресурсу. Конфиденциальная информация представляет собой совокупность данных, имеющих особую ценность и известных, как правило, очень узкому кругу лиц.

Конфиденциальная информация может применяться по усмотрению лица, который ей обладает, при этом выбранный способ не должен противоречить нормам закона, поскольку за не сохранение коммерческой тайны законодательством об информационной безопасности предусмотрена ответственность.^[1]

Такая информация нуждается в защите и охране от третьих лиц. Как правило, утечка конфиденциальных данных происходит по причине работы с техникой неопытных пользователей либо является результатом злонамеренных действий. При этом термины «потеря данных» и «утечка данных» связаны между собой и часто используются как синонимы, хотя они несколько отличаются. Случаи утери информации превращаются в ее утечку тогда, когда источник, содержащий конфиденциальные сведения, пропадает и впоследствии оказывается у несанкционированной стороны. Тем не менее утечка данных возможна без их потери.

Утечка информации, независимо от размеров организации, может нанести значительные убытки организации, включая ущерб от ухудшения ее имиджа.

Следует отметить, что во избежание неприятных ситуаций со своими сотрудниками в отношении информации, представляющей для фирмы особую важность, руководителю организации стоит утвердить перечень конфиденциальной информации и предоставить свободный доступ персонала к его изучению. Также должны быть оговорены ответственность сотрудников и механизм контроля за соблюдением конфиденциальности информации. В идеале на фирме, особенно крупной, должна быть сформирована политика информационной безопасности, что будет являться гарантией стабильного ее функционирования.

Сегодня преобладающий объем информации хранится в электронном виде, что увеличивает количество различного рода хакерских атак, приводящих порой к непоправимым последствиям для фирмы. В данной связи одной из важнейших задач фирмы является техническая защита конфиденциальной информации. Следует подчеркнуть, что незаконное использование информации происходит, как правило, не из-за технических неполадок, а является результатом злоумышленных действий и небрежности персонала организации. Поэтому необходимо комплексное взаимодействие организационно-правовых и технических мер, исключающих несанкционированное проникновение в систему и утечку информации.

Выделяют три пути вывода информации за пределы информационной среды фирмы: сетевой, локальный, утрата носителя (рисунок 1.1).

Для обнаружения конфиденциальной информации, передаваемой сетевыми средствами, необходимы механизмы перехвата почтового и интернет-трафика, а также контроль за сетевыми принт-серверами.

Отследить локальный путь утечки информации возможно посредством установки на компьютере пользователя программы-агента, которая будет отслеживать потенциально опасные действия, и реагировать на них в соответствии с централизованно управляемыми политиками.

Утрату носителя информации невозможно свести к нулю, поэтому в целях борьбы с утечкой информации необходимо шифрование всего диска или отдельных файлов. По мнению Вениамина Левцова, директора департамента продуктов и услуг LETA IT-company, поскольку этот сценарий утечки является весьма распространенным, полноценное решение должно предусматривать и криптографическую защиту.^[2]

Каналы утечки информации

Утрата носителя

- потеря носителя (ноутбука, смартфона и т.п.);

- кража носителя (ноутбука, смартфона и т.п.)

Локальный

- USB-накопители;

- съемные жесткие диски;

- запись на CD/DVD;

- локальная печать

Сетевой

- электронная почта;

- системы передачи мгновенных сообщений (ICQ, MSN, AOL);

- веб-почта;

- ftp-соединения;

- сетевая печать

Рисунок 1.1. Классификация каналов утечки информации

В целях предотвращения утечки конфиденциальной информации в первую очередь необходимо осуществление следующих организационных мероприятий: организация налаженной системы пропускного режима, контроль над пребыванием персонала организации в помещении и временем его ухода, подборе кадров и ознакомление их с рамками секретности информации и правилам работы с ней, правилам использования сменных носителей информации.

Таким образом, качественная система защиты конфиденциальной информации должна разрабатываться персонально для конкретной организации, согласно ее интересам, в зависимости от того, какова система данных, и какая степень серьезности защиты требуется, кто в состоянии нанести урон информационной системе организации и кто в этом заинтересован.

Технологические средства борьбы с утечкой конфиденциальной информации

Средства борьбы с утечкой конфиденциальной информации делят на стандартные и дополнительные.

Стандартные средства безопасности представляют собой обычные доступные механизмы, которые охраняют компьютеры от аутсайдера, а также инсайдерских атак. Среди стандартных мер безопасности выделяют:

- межсетевые экраны - программные или программно-аппаратные элементы компьютерной сети, основной задачей которых является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами;

- системы обнаружения вторжений (IDS) - программные или аппаратные средства, предназначенные для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в сеть. Как правило, IDS становятся необходимым дополнением к межсетевым экранам и служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли Firewall, и выдать отчет об этом администратору. Стоит отметить, что технологии обнаружения проникновений не делают систему абсолютно безопасной;

- антивирусное программное обеспечение - специализированная программа для обнаружения компьютерных вирусов, а также вредоносных программ и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Однако набор антивирусного программного обеспечения не гарантирует полную защиту, а только минимизирует опасности от вирусов и вредоносных программ.

Дополнительные меры безопасности используют узкоспециализированные сервисы и временные алгоритмы для обнаружения ненормального доступа к данным или ненормального обмена электронной почтой. Такие информационные технологии выявляют программы и запросы, поступающие с вредоносными намерениями, и осуществляют глубокие проверки компьютерных систем.

К дополнительным мерам безопасности относятся специально разработанные DLP-системы, которые служат для обнаружения и предотвращения несанкционированных попыток копировать или передавать конфиденциальные данные (преднамеренно или непреднамеренно) без разрешения или доступа, как правило, со стороны пользователей, которые имеют право доступа к конфиденциальным данным. Для того чтобы классифицировать определенную информацию и регулировать доступ к ней, DLP-системы используют механизм точного соответствия данных, структурированной дактилоскопии, статистические методы, прием правил и регулярных выражений, опубликований кодовых фраз, концептуальных определений и ключевых слов.^[3]

Понятие, задачи и принципы работы DLP-системы

DLP (Data Loss Prevention) - это программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при их отправке и фильтрации.

Следует отметить, что попыток дать определение этому классу информационных систем было много:

- ILD&P - Information Leakage Detection & Prevention («выявление и предотвращение утечек информации»);

- ILP - Information Leakage Protection («защита от утечек информации»);

- ALS - Anti-Leakage Software («антиутечное ПО»);

- CMF - Content Monitoring and Filtering («мониторинг контента и фильтрация»);

- EPS - Extrusion Prevention System («система предотвращения вторжений».

Но в качестве общеупотребительного термина утвердилось название DLP - Data Loss Prevention (Data Leak Prevention, «защита от утечек данных»), предложенная в 2005 году. В качестве русского аналогичного термина принято словосочетание «системы защиты конфиденциальных данных от внутренних угроз», под которыми понимаются намеренные либо случайные злоупотребления со стороны сотрудников организации, имеющих легальные права доступа к конфиденциальным данным, своими полномочиями.

Использование DLP системы наиболее актуально для организаций, где риск утечки конфиденциальной информации повлечет серьезный финансовый или репутационный ущерб, либо где настороженно относятся к лояльности своих сотрудников.

Основное предназначение системы защиты от утечек конфиденциальной информации - отслеживание и блокирование попыток несанкционированной передачи данных за пределы корпоративной сети в соответствии с принятой в организации политикой конфиденциальности.

Чтобы систему можно было отнести к классу DLP, она должна соответствовать, по мнению исследовательского агентства Forrester Research, следующим критериям:

- многоканальность - способность осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это как минимум e-mail, Web и IM, а не только сканирование почтового трафика или активности базы данных. На рабочей станции — мониторинг файловых операций, работы с буфером обмена данными, а также контроль e-mail, Web и IM;

- унифицированный менеджмент - наличие унифицированных средств управления политикой информационной безопасности, анализом и отчетами о событиях по всем каналам мониторинга;

- активная защита – способность к обнаружению фактов нарушения политики безопасности при одновременном принуждении к ее соблюдению (блокировать подозрительные сообщения и т.п.);