Подходы по внедрению DLP. Конфликты с имеющимся ПО

08.10.2018, Пн, 10:49, Мск

Полноценная гибридная DLP-система позволяет обеспечить надежную защиту от утечек данных и мониторинг сетевого трафика на широчайшем спектре каналов передачи данных. В основе этих возможностей лежит эффективное использование сильных сторон сетецентричной и endpoint DLP-архитектур в различных сценариях и в разных постановках задачи предотвращения и контроля за утечками данных.

В большинстве DLP-систем на российском рынке определяющим элементом выступает сервер перехвата сетевого трафика, как правило, работающий в пассивном режиме. В таких системах практически всегда присутствует endpoint-агент для решения несовместимых с контролем трафика на уровне шлюза задач – контроля устройств и некоторых веб-сервисов и протоколов. Однако, наличие агента – еще не признак полноценной гибридной DLP, это всего лишь разнесение разных функций контроля по разным компонентам.

Ключевая задача серверного DLP-компонента, работающего с копией сетевого трафика организации в целом, состоит в контроле использования сотрудниками сетевых каналов передачи данных при нахождении пользователя внутри корпоративного периметра, включая сбор доказательной базы, обнаружение ИБ-инцидентов. В то же время endpoint-агенты гибридного DLP-решения призваны решать задачу контроля за использованием съемных накопителей, канала печати, сетевых приложений с проприетарном шифрованием. В этих задачах применяется контентная фильтрация в режиме реального времени для всех потенциальных каналов утечки данных в DLP-системах, претендующих на звание полнофункциональных агентов.

Первым таким примером гибридной DLP на российском рынке является обновленная версия DeviceLock DLP 8.3, дополненная серверным модулем DeviceLock EtherSensor. Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности. Это мониторинг сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижение нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей. Например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.

Типовые сценарии

Рассмотрим несколько типовых сценариев использования DeviceLock DLP как гибридной DLP-системы. Весьма распространенный сценарий, когда полноценный контроль сетевого трафика с блокировкой передачи данных невозможен или неприменим. Такая ситуация возникает при использовании в корпоративной сети гостевых компьютеров и мобильных устройств, а также для рабочих станций под управлением ОС Linux и MacOS. Кроме того, перехват и анализ сетевых коммуникаций непосредственно на рабочих станциях может быть невозможным или чрезмерно ресурсоемким на рабочих станциях со слабыми вычислительными мощностями. Решение задачи контроля сетевого трафика в таком сценарии обеспечивается перехватом и анализом трафика на уровне сети – прослушиванием трафика с зеркальных портов сервера, интеграцией с NGFW-устройствами и прокси-серверами, другими методами, не требующими установки агента на рабочих станциях, что с успехом обеспечивается сервером EtherSensor. При этом задача DLP-контроля периферийных устройств и портов рабочих станций выполняется агентом DeviceLock (на операционных системах Windows и MacOS), а в базе данных сервера DeviceLock Enterprise Server для централизованного анализа собираются события и данные как от EtherSensor в части объектов сетевого трафика, так и от агентов DeviceLock в части контроля устройств.

Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных

Второй типичный сценарий – мониторинг сетевых коммуникаций при недопустимости блокировки передачи данных по сети. В некоторых организациях задача контроля сетевого трафика ограничивается протоколированием и анализом архива перехваченных данных вследствие ряда факторов. Например, для реализации полноценного DLP-контроля с блокировкой утечки данных ограниченного доступа недостаточно ресурсов службы ИБ, или пассивный контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сетевого периметра, или руководство опасается риска вмешательства в выстроенные бизнес-процессы с сетевым обменом информацией. Известны случаи, когда организация не оценивает риски утечки данных как критичные для бизнеса, или, наконец, нет возможности классифицировать конфиденциальные данные либо определить критерии детектирования данных ограниченного доступа для применения механизмов контентной фильтрации и предотвращения утечки таких данных.

В таком сценарии использования DeviceLock DLP организация получает в свое распоряжение традиционную DLP-систему Enterprise-уровня, способную отслеживать и анализировать трафик на очень больших потоках (вплоть до анализа трафика от сотен тысяч сотрудников) с низкими затратами на развертывание и текущую эксплуатацию, а также незначительными требованиями по техническому оснащению. Решение в данном сценарии полностью соответствует предыдущему сценарию, но с той разницей, что при появлении необходимости обеспечить блокировку недопустимых попыток передачи данных ограниченного доступа, либо появляется понимание критериев выявления конфиденциальных данных и возможность использования контентной фильтрации. В таком случае данный сценарий перетекает уже в другую вариацию – применения полноценной гибридной DLP-системы для отдельных сотрудников, подразделений или в масштабах всей организации.

Сложные сценарии

Дальнейшее развитие логики комбинирования возможностей агентов DeviceLock и сервера EtherSensor приводит нас к более сложным в воплощении, но при этом намного более эффективным для предотвращения утечек конфиденциальных данных сценариям.

Прежде всего, это сценарий, предусматривающий раздельный контроль сетевых коммуникаций, когда в зависимости от текущего статуса подключения к корпоративной сети (доступность локального сетевого подключения, доступность контроллера домена, доступность DLP-сервера) может варьироваться степень актуальности доступа к корпоративной информации. Для решения подобных задач необходим гибкий подход к реализации защиты информации от утечек. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика (различных комбинаций правил и параметров контроля) в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий, раздельный контроль сетевых коммуникаций пользователей. Например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени в целях предотвращения утечки конфиденциальной информации, а инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. При переключении агента DeviceLock на защищаемой рабочей станции в офлайн-режим происходит автоматическое переключение политик на максимально необходимый уровень контроля сетевых коммуникаций с учетом возможной недоступности исходящего сетевого трафика с рабочей станции для сервера EtherSensor.

В результате раздельного контроля с применением автоматического переключения онлайн и офлайн-режимов в агенте DeviceLock с мониторингом трафика на уровне сервера EtherSensor достигается полноценный контроль сетевых коммуникаций вне зависимости от местонахождения и способа подключения к сети Интернет контролируемых компьютеров. Такой подход будет особенно продуктивным для контроля мобильных сотрудников, использующих ноутбуки и лэптопы для работы вне офиса.

Еще эффективнее будет сценарий селективного контроля сетевых коммуникаций. Благодаря совместному использованию функциональности endpoint-агента и технологий серверного перехвата сетевого трафика достигается вся полнота возможностей гибридной системы. Это наиболее мощный сценарий контроля сетевых коммуникаций из всех возможных на сегодня.

В таком сценарии наиболее критическая часть сетевых приложений, рассматриваемых как потенциальные каналы утечки конфиденциальных данных (например, мессенджеры с возможностью передачи файлов), равно как и локальные порты и устройства, контролируются агентом DeviceLock. В режиме реального времени агент анализирует содержимое процессов передачи данных ограниченного доступа (также на уровне агента, «в разрыв»). По результатам принимается решение о допустимости передачи, либо о создании теневой копии для значимых для целей расследования инцидентов, либо о направлении тревожного оповещения по факту срабатывания DLP-правила. Контроль прочих сетевых коммуникаций, рассматриваемых как имеющие меньшую степень риска с точки зрения противодействия утечки данным (когда для решения задач информационной безопасности достаточно мониторинга и анализа переданных данных, например, для серфинга веб-сайтов и сервисов поиска работы) выполняется сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра. Кратко говоря, данную модель контроля сетевого трафика можно описать как «Мониторинг всего трафика (EtherSensor) + Селективная блокировка недопустимых попыток (агент DeviceLock DLP)». Что важно, политики включения или отмены блокировки любых сетевых протоколов и сервисов как на уровне контекста, так в контентно-зависимых правилах, могут быть изменены и применены службой ИБ в любое время без перезагрузки пользовательских рабочих станций и без участия пользователя.

В таком сценарии достигается качественный баланс возможностей и рисков: риски, связанные с блокировкой, делегируются агентам на защищаемых компьютерах, при этом задачи мониторинга сетевого трафика и детектирования событий безопасности по всей сети в целом поручаются серверу EtherSensor.

Если пойти дальше, можно рассмотреть – и достаточно легко реализовать! – наиболее мощный сценарий использования современной гибридной DLP-системы, когда помимо возможностей разделения уровней контроля (мониторинга и блокирования передачи данных) между агентом и сервером DLP-системы DeviceLock DLP, добавляется избирательный подход для различных пользователей и групп пользователей, либо для разных компьютеров и групп компьютеров.

В таком варианте полнофункциональные агенты DeviceLock выполняют непосредственно и только на защищаемых рабочих станциях все DLP-функции (контроль доступа, протоколирование, тревожные оповещения) и только для указанных пользователей и групп пользователей. Сетевая активность пользователей и групп, которым для выполнения бизнес-задач требуется свободный доступ к различным каналам сетевых коммуникаций, отслеживается сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра.

Данный сценарий также является крайне продуктивным для контроля так называемых групп риска, когда на агентах DeviceLock создаются специальные наборы политик для DLP-контроля различных учетных записей, а переключение применяемых политик выполняется в реальном времени путем включения таких пользователей в группу пользователей, соответствующих той или иной группе риска.

В любом сценарии одновременного использования серверного модуля DeviceLock EtherSensor в сочетании с Endpoint-компонентами комплекса DeviceLock DLP в режиме гибридной DLP-системы открывается уникальная возможность создавать гибкие DLP-политики с различными уровнями контроля и реакции на события. Одновременное применение двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика значительно повышает надежность решения задачи предотвращения и выявления утечек информации.Вахонин Сергей. Директор по решениям DeviceLock, Inc.

Сергей Вахонин, директор по решениям DeviceLock, Inc.

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.

Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:

  • 18,5 миллиона случаев утечки данных в сутки;
  • 771,9 случаев утечки данных в час;
  • 12,8 утечек данных в минуту;
  • 214 случаев утечки данных каждую секунду.

Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?

Поэтому, внедрение средств защиты информации преследует следующие цели:

  • Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами;
  • Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов;
  • В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?

Проведите внутреннее исследование

Изучите имеющуюся организационно-распорядительную документацию;

Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;

Дайте оценку информационным ресурсам компании, распределите их по категориям:

1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.

2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.

Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.

Разработайте нормативную документацию

На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

1) произведения науки, литературы и искусства;

2) программы для ЭВМ;

3) базы данных;

7) изобретения;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау)

15) наименования мест происхождения товаров;

Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

Разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;

Ознакомление всех сотрудников компании с содержанием регламента под роспись.

Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.

Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

все средства коммуникации, переданные в пользование сотруднику, предназначены только для выполнения должностных обязанностей;
владельцем электронной почты и абонентом телефонной сети является организация , таким образом, они предоставляются работнику во временное пользование в период выполнения служебных обязанностей.

Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP -системам

Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.

Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:

    Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

    Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

    Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).

Для выполнения требований, функционал современной DLP-системы должен предусматривать:

  • выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
  • выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;
  • выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;
  • выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;
  • контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
  • выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

  • в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;
  • в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.
Для чего это нужно?

Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.

Не останавливайтесь на достигнутом

DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны быть также зафиксированы и отражены в DLP-системе.

Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.

Добрый день!

Самым популярным способом обмена корпоративной информацией на сегодняшний день остается электронная почта. Именно там работники отправляют скан-копии документов, проекты на согласования, приглашают на встречи, информируют о событиях и т.д. Иногда переписку по электронной почте приравнивают к официальной переписке между организациями на уровне писем от первых лиц. Поэтому этот канал передачи информации является объектом пристального внимания со стороны представителей отделов/служб ИБ (они следят за утечкой конфиденциальной информации) и экономического блока безопасности (они следят за перепиской, ищут откаты, сговоры, поиски новой работы, подделку документов и т.д.)

Немного о теории. Вы наверняка замечали что ваша почта не доходит сразу до контрагентов и/или же злые дяди из службы безобразности интересуются той или иной вашей отправкой спустя какое-то время, особенно если вы отправляете какие либо персональные данные без использования принятых мер защиты. Эти обстоятельства говорят о том, что в вашей организации установлена какая либо так называемая DLP-система. Не вдаваясь в технические подробности приведу информацию из вики:

Система предотвращение утечек (англ. Data Leak Prevention, DLP ) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется или проходит но оставляет метку.

А вообще грубо говоря это средство слежения за действиями сотрудников и основная цель ее — «найти то, что запрещено». Законно ли это поговорим в следующей статье. А принцип работы системы можно сравнить с фильтром, то есть вы отправили письмо, и если оно попало в фильтр по критериям и, в зависимости от настроек системы, заблокировалось или ушло получателю, но при этом уведомив товарищей безопасников.

Давайте посмотрим как можно определить установлена ли одна из таких систем у Вас в организации. Для того чтобы узнать установлена ли у Вас в организации такая система слежения в первую очередь можно посмотреть заключенные договора на покупку или сопровождение таких систем. Среди них ищем самые популярные компании разработчики:

Инфосистемы джет

и менее популярные:

McAfee, Falcongaze, GTB, «Трафика», Iteranet, RSA, Trend Micro ,Verdasys, Стахановец.

Если нет доступа к договорам, то можно помониторить сайт госзакупок (если ваша контора государева). Как видно из изображения ниже предмет договора может быть различным — от приобретения неисключительных прав до технической поддержки, главное в поиске вбивайте название компаний разработчиков из списка, что я привел.

Если же и эти способы не помогают, то понять что за вами следят можно уточнив у получателя по телефону — долго ли к ним поступают письма (только в случае блокировки письма до отправки), а можно спросить у друзей-айтишников установлена ли система контроля почтовых сообщений в организации. Можно еще конечно попытаться найти запущенные процессы на вашем компьютере, т.к. агенты системы (компоненты системы) слежения устанавливаются персонально на все АРМ’ы работников, но дело в том, что эти процессы умело скрываются под стандартные процессы MS Windows и без должного уровня знаний определить процесс запущенный агентом будет довольно сложно.

Теперь давайте рассмотрим каким образом, мы сможем обойти эту систему. Помните, что реализация приемов из статьи зависит от конкретных настроек DLP и возможна к реализации только путем проб и ошибок. Так что на своей страх и риск.

Самое главное не пытайтесь обойти системы, попытавшись сделать шрифт документа белым или пытаясь скрыть листы и сроки в документах MS Exel, все это сразу увидят товарищи чекисты!

Итак, наша задача передать информацию в виде файлов или текста по электронной почте, зная, что в организации развернута и функционирует DLP- система. Конечно многие из Вас скажут зачем такие сложности — «я могу сфотографировать содержимое экрана на телефон и дело с концом», но где-то телефонами запрещено пользоваться, а где-то коллеги недобро посмотрят на это (особенно в офисах типа «опен-спейс») , а иной раз и сообщат куда следует, иногда же необходим именно документ в редактируемом формате, а не его фотография на мобильном телефоне, в общем-то вариантов много. Итак давайте приведем примеры передачи такой информации:

1. Отправка после окончания рабочего дня.

Самое простое и банальное, что может получится это просто отправить Ваше письмо на нужный адрес электронной почты после окончания рабочего дня. Данный метод успешен в случае, если система настроена на перехват почтовых сообщений, например, с 9-00 до 18-00 по рабочим дням и их блокировку в указанное время. Это связано с тем, что товарищи безопасники, которые смогут в случае чего разблокировать застрявшее письмо также как и Вы работают по трудовому договору те же часы, что и Вы, поэтому после окончания рабочего дня они отключают систему или она останавливается автоматически. Вы можете проверить актуальна ли эта настройка отправив пару безобидных сообщений после 18-00 и посмотреть дойдут ли сразу сообщения, которые например не доходили сразу втечении рабочего дня. Сразу скажу не самый лучший вариант , т.к. в независимости от результата отправки в системе останется след того, что Вы отправили, и в случае грамотного мониторинга системы безопасниками они увидят Вашу отправку.

2. Удаление слов маячков

Этот метод предполагает настройку DLP на поиск по ключевым словам, т.е. в отправленном документе он ищет совпадения по словарю. В случае мониторинга откатов такой словарь может содержать следующую группу слов: бабки, зелень, капуста и тд. В случае же предотвращения утечек конфиденциальной информации данный словарь может содержать следующий словарный набор: коммерческая тайна, секрет фирмы, конфиденциально, ДСП, персональные данные, снилс, доверенность, паспорт, серия номер и т.д. Метод заключается в удалении таких слов, которые явно будут присутствовать в конфиденциальном документе и идентифицировать его к закрытой информации. Просмотрите документ которых необходимо отправить на наличие таких слов и удалите. Метод также не самый лучший т.к. конкретный набор слов, содержащийся в словаре Вам никто никогда не скажет.

3. Архив с паролем.

Данный метод заключается в шифровании документа в стандартном *.rar архиве и направлении на электронную почту. Сразу отмечу, что архив под паролем сразу вызывает подозрения и во многих системах блокируется, и даже расшифровывается. Чтобы максимально обезопасить себя необходимо:

а) При установке пароля на архив поставить галочку на значении «шифровать имена файлов». Это необходимо для того чтобы имена файлов в архиве были не видны до открытия архива паролем.

б) При выборе пароля стоит обратить внимание на его длину и сложность. Да-да это необходимо для предотвращения перебора по словарю, если такой используется в системе. Используйте минимум 10 символов, содержащих буквы строчного и прописного регистров, специальные символы,пробелы, цифры. Например наш пароль будет таким [email protected] Не спешите набирать его в поле ввода, смотрите часть «в».

в) Самое главное правильно ввести пароль в поле ввода в архиваторе, сейчас объясню почему. Дело в том на агенты которые уставнолены на АРМ’ах работников могут содержать функционал клавиатурного шпиона и записывать все Ваши действия (нажатия клавиш) на клавиатуре. Стоит отметить что запись ввода клавиш привязана к определенному процессу где осуществляется набор (word, exel, winrar и тд.). Чтобы запутать следы можно сделать следующее (для примера будем использовать наш пароль [email protected] ): Например так: откроем блокнот и Введем первые 4 символа из середины пароля «KLM!» и после этого копируем и вставляем в winrar, затем в MS Word’e впишем первые 5 символов пароля «$Op123», копируем и вставляем в начало поля ввода winrar, последние 4 «[email protected]» ,чтобы вообще не оставлять следов ввода, вводим в виртуальной клавиатуре онлайн клавиатуре используя мышку, и копируем в конец поля ввода пароля и нажимаем «ок», пароль записываем на бумажку, отправляем архив в письме и сообщаем по телефону принимающей стороне, а бумажку съедаем:

Таких виртуальных клавиатур полно в интернете. Стоит отметить что Вы можете как угодно экспериментировать — набирать неправильный пароль, стирать, перемещать символы, при этом в системе слежения будет отображаться полная каша.В поле отображать пароль при вводе галку лучше не ставить — так как в системе может быть установлен модуль фотографирования вашего монитора.

3. Кодируем онлайн

Для передачи документа проще всего использовать онлайн-сервисы обмена файлами, для примера мы рассмотрим www.rgho.st

Заливаем наш файл «База контрагентов.docx» туда и получаем ссылку:

Теперь нам необходимо зашифровать ссылку и передать ее письмом. Для примера шифрования используем онлайн-сервис http://crypt-online.ru/crypts/aes/ с симметричным антигоритом AES. В поле текста вставляем адрес нашей ссылки, выбираем размер ключа шифрования 128-256 бит. Вводим пароль, в данном случае «сайт», нажимаем кодировать и получаем шифрованный текст:

Копируем полученный результат и отправляем в электронном сообщении, сообщив пароль и длину ключа по альтернативному каналу связи (телефону). Получатель проделывает обратное преобразование, вводит шифрованный текст и пароль и получает ссылку:

4. Cтеганография онлайн

Для того чтобы не отправлять подозрительный зашифрованный текст мы также можем использовать стеганографию онлайн. Подумайте какие документы Вы чаще всего отправляете контрагентам (акты сверок, счета и т.д.) и вставляйте в тело этих файлов код. Для примера мы будем использовать карточку предприятия и онлайн сервис http://stylesuxx.github.io/steganography/. Карточка предприятия в формате обычной картинки, где указаны реквизиты организации. Загружаем карточку (файл karto4ka.png), вставляем текст, который хотим зашифровать (все та же наша ссылка) и жмем «Encode»

Получатель проделывает обратное действие. Загружает файл «karto4ka2.png» и нажимает «Decode» и получает желанную ссылку.

Вдобавок можно использовать portable утилиты стеганографии, рассмотрим их в следующих статьях

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.

Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:

  • определение критической информации, которая подлежит защите;
  • разработку политики конфиденциальности;
  • настройку бизнес-процессов для решения вопросов информационной безопасности.

Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.

Классификация систем защиты

Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).

Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP - удовлетворительная функциональность и невысокая стоимость. Среди минусов - низкие производительность, масштабируемость, устойчивость отказов.

У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.

При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.

Функции мониторинга и анализа - важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».

С технической точки зрения современные DLP-решения во многом совпадают. Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.

Подходы к внедрению и настройке

Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.

Классический подход означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.

Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков.

ЭТАПЫ ВНЕДРЕНИЯ DLP

по классической схеме:

по аналитической схеме:

  • анализ базовых бизнес-процессов и оформление перечня конфиденциальных данных;
  • создание проекта DLP-защиты;
  • «инвентаризация» носителей и маршрутов движения данных, которым угрожают несанкционированные действия;
  • установка минимальных разрешений конфиденциальной политики;
  • оформление процедуры работы с информационным сервисами, включая интернет-ресурсы, съемные устройства, ПК, ноутбуки, планшеты, принтеры, копировальную технику, печатные носители;
  • ознакомление ответственных за работу DLP специалистов с базовыми принципами функционирования системы;
  • ознакомление сотрудников с требованиями к обороту информации в компании;
  • запуск системы в опытном режиме;
  • создание проекта DLP с указанием способов реагирования системы на выявленные инциденты, а также способов внешнего управления;
  • анализ результатов опытного запуска;
  • запуск опытной системы в режиме наблюдения;
  • внесение изменений в настройки системы;
  • обучение специалистов, ответственных за работу DLP;
  • анализ опытного запуска DLP-системы, при необходимости - дополнительная настройка;
  • запуск системы в «промышленную» эксплуатацию;
  • регулярный анализ работы системы, корректировка параметров.

Проблемы в процессе эксплуатации DLP

Практика показывает: чаще всего проблемы функционирования DLP-систем кроются не в технических особенностях работы, а в завышенных ожиданиях пользователей. Поэтому гораздо лучше срабатывает аналитический подход к внедрению защиты, его еще называют консалтинговым. «Зрелые» в вопросах ИБ компании, которые уже сталкивались с внедрением инструментов защиты конфиденциальных сведений и знают, что и каким способом лучше защищать, повышают шансы построить отлаженную эффективную систему защиты на базе DLP.

Распространенные ошибки при наладке DLP

  • Реализация шаблонных правил

Нередко ИБ-подразделению отводится роль сервисной службы для других подразделений компании, которая оказывает «клиентам» услуги по предотвращению утечек информации. Тогда как для результативной работы ИБ-специалистам требуются доскональные знания операционной деятельности компании, чтобы «заточить» DLP-систему с учетом индивидуальных бизнес-процессов.

  • Охват не всех возможных каналов утечки конфиденциальных данных

Контроль электронной почты и HTTP-протоколов средствами DLP-системы при бесконтрольном использовании FTP или USB-портов едва ли обеспечит надежную защиту конфиденциальных данных. В подобной ситуации возможно установить сотрудников, пересылающих корпоративные документы на личную почту, чтобы поработать из дома, или бездельников, просиживающих рабочие часы на сайтах знакомств или в социальных сетях. Но против преднамеренного «слива» данных такой механизм бесполезен.

  • Ложные инциденты, которые ИБ-администратор не успевает обработать вручную

Сохранение настроенных по умолчанию на практике оборачивается лавиной ложных оповещений. Например, по запросу «банковские реквизиты» на ИБ-специалиста обрушивается информация обо всех транзакциях в компании, включая оплату канцелярских принадлежностей и доставки воды. Адекватно обработать большое количество ложных тревог система не может, поэтому приходится отключать некоторые правила, что ослабляет защиту и увеличивает риск пропустить инцидент.

  • Неспособность предупредить утечку данных

Стандартные настройки DLP позволяют выявить сотрудников, которые занимаются личными делами на рабочем месте. Чтобы система сопоставляла события в корпоративной сети и указывала на подозрительную активность, понадобится тонкая настройка.

  • Ухудшение эффективности DLP в связи с выстраиванием информационных потоков вокруг системы

Систему защиты информации следует «настраивать» поверх бизнес-процессов и принятых регламентов работы с конфиденциальной информации, а не наоборот - подгонять работу компании под возможности DLP.

Как решить проблемы?

Чтобы система защиты заработала как часы, нужно пройти все без исключения стадии внедрения и настройки DLP, а именно: планирование, реализация, проверка и корректировка.

  • Планирование

Заключается в точном определении программы защиты данных. Ответ на простой, казалось бы, вопрос: «Что будем защищать?» - есть не у каждого заказчика. Разработать план поможет чек-лист, составленный из ответов на более детализированные вопросы:

Кто будет использовать DLP-систему?

Кто будет администрировать данные?

Какие перспективы применения программы в течение трех лет?

Какие цели преследует руководство, внедряя DLP-систему?

С чем связаны нетипичные требования к предотвращению утечек данных в компании?

Важная часть планирования - уточнить объект защиты, или другими словами, конкретизировать информационные активы, которые передаются конкретными сотрудниками. Конкретизация включает распределение по категориям и учет корпоративных данных. Выполнение задачи обычно выделяют в отдельный проект по защите данных.

Следующий шаг - определение реальных каналов утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не «закрывают» DLP-комплексом, следует принять дополнительные технические меры защиты или выбрать DLP-решение с более полным охватом. Важно понимать, что DLP - действенный способов предотвратить утечку с доказанной эффективностью, но не может заменить все современные инструменты защиты данных.

  • Реализация

Отладка программы в соответствии с индивидуальными запросами конкретного предприятия базируется на контроле конфиденциальных сведений:

  • в соответствии с признаками особенной документации, принятой в компании;
  • в соответствии с признаками типовой документации, общей для всех организаций отрасли;
  • с использованием правил, направленных на выявление инцидентов (нетипичных действий сотрудников).

Трехступенчатый контроль помогает выявить преднамеренную кражу и несанкционированную передачу информации.

  • Проверка

DLP-комплекс входит в состав системы ИБ предприятия, а не заменяет ее. И эффективность работы DLP-решения напрямую связана с корректностью работы каждого элемента. Потому перед изменением «заводской» конфигурации под частные потребности компании проводят подробный мониторинг и анализ. На этом этапе удобно просчитать человеческий ресурс, необходимый для обеспечения стабильной работы DLP-программы.

  • Корректировка

Проанализировав информацию, собранную на этапе тестовой эксплуатации DLP-решения, приступают к перенастройке ресурса. Этот шаг включает уточнение существующих и установление новых правил; изменение тактики обеспечения безопасности информационных процессов; комплектация штата для работы с DLP-системой, техническое усовершенствованию программы (нередко - с участием разработчика).

Современные DLP-комплексы решают большое количество задач. Однако потенциал DLP полностью реализуется только на основе циклического процесса, где анализ результатов работы системы сменяется уточнением настройки DLP.

Введение

«Помощь должна совершаться не против воли того, кому помогают» (Георг Вильгельм Фридрих Гегель)

В отличие от начальных этапов развития , сегодня уже можно говорить об активном формировании пользовательского спроса на продукты класса DLP. Немало компаний успели познакомиться с системами предотвращения утечек информации, понимают механизм их работы и сформулировали требования к таким системам. Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, сравнивает модернизацию DLP-системы с покупкой автомобиля - если к первой машине требования невысоки («лишь бы ездила»), то ко второй будущий собственник предъявляет точные требования, основанные на опыте использования предыдущего автомобиля. Впрочем, компания, принявшая решение о внедрении, не обязательно должна иметь опыт эксплуатации продукта того же класса. Для определения требований этой компании может помочь опыт партнера или конкурента.

Можно ли говорить о всеобщей готовности компаний, решивших внедрять DLP-систему, к этому процессу? И что понимать под готовностью? Как показывает практика, в большинстве случаев заказчик представляет себе технические возможности продуктов данного класса, но не до конца понимает необходимый объем работ, благодаря которому в консоли управления DLP-системой начнет появляться действительно важная информация. А появляться она начнет, если подходить к процессу внедрения DLP-решения как к одному из методов реализации наиболее актуального в наши дни подхода к обеспечению информационной безопасности - Data-centric security, или комплексного подхода, ориентированного на защиту информационных активов. В рамках подхода Data-centric security данные, представляющие информационные активы, разделяются на три категории:

  • Data at Rest - данные в режиме хранения; статично хранятся на отчуждаемых носителях, компьютерах, мобильных устройствах пользователей и т. д.;
  • Data in Motion - данные в режиме движения: финансовые транзакции, передача аутентификационных данных и т. д.;
  • Data in Use - данные, непосредственно используемые пользователями в рамках бизнес-процессов.

Решения класса DLP позволяют контролировать и защищать данные всех перечисленных категорий. Однако следует помнить, что успех такой серьезной операции как внедрение DLP напрямую зависит от понимания ценности защищаемых данных. Здесь мы вплотную подходим к описанию важнейшего этапа внедрения DLP-системы - подготовке.

Этап 1. Подготовка к внедрению

Обследование

Компания NSS Labs в своей статье «За 12 шагов - к успешному внедрению DLP » делится парой тезисов, с которыми сложно не согласиться:

  • успешное внедрение DLP-системы - комплексное мероприятие, в рамках которого развертывание продукта - этап необходимый, но не достаточный;
  • классификация документов и определение матрицы доступа - основа для политик безопасности DLP-систем.

Кто должен выполнять работы по обследованию? Как правило, за это отвечает компания, которая внедряет DLP-систему (исполнитель). Однако не все так просто. Если компания-заказчик не готова на запрос исполнителя предоставить, к примеру, описание процессов взаимодействия с защищаемой информацией, то необходимо понять, в чьей зоне ответственности будет находиться разработка этого документа.

У идеального заказчика, принявшего решение о внедрении DLP-системы, введен режим коммерческой тайны, подготовлен перечень информации ограниченного доступа, имеется описание бизнес-процессов, в рамках которых происходит обработка, хранение и передача такой информации. Другими словами, заказчик ясно понимает правила, по которым событие считается утечкой конфиденциальной информации, а также исключения их этих правил. В таком случае исполнителю остается лишь перенести правила в политики безопасности.

У реального заказчика может быть не определено ничего. В таком случае он должен осознавать важность своего участия в обследовании, ведь чем ответственнее заказчик подходит к этому процессу, тем реальнее описание бизнес-процессов компании, критерии отнесения сведений к категории защищаемых и т. д. В случае слабой вовлеченности заказчик полагается на видение безопасности своих бизнес-процессов глазами исполнителя, а это не всегда соответствует требованиям к защите данных.

Обычно работы в рамках обследования включают в себя следующие мероприятия:

  • изучение организационно-распорядительных документов, относящихся к обеспечению безопасности и классификации информации;
  • изучение перечня информационных ресурсов, схем сети, схем потоков данных и т. п., относящихся к формализации информационного взаимодействия;
  • согласование признаков отнесения информации к информации ограниченного доступа;
  • формализация перечня информации ограниченного доступа;
  • обследование и описание процессов передачи, обработки и хранения информации ограниченного доступа в рамках бизнес-процессов.

По итогам перечисленных мероприятий разрабатываются документы, на основе которых впоследствии будут создаваться политики безопасности DLP-системы. К таким документам могут относиться:

  • «Перечень информации ограниченного доступа»;
  • «Схема потоков данных информации ограниченного доступа»;
  • «Описание технологических процессов взаимодействия с информацией ограниченного доступа»;
  • «Основные сценарии утечки конфиденциальной информации».

Имея понимание того, в рамках каких бизнес-процессов происходит работа с критичными данными, из каких действий с этими данными состоят вышеупомянутые процессы, не составляет труда определить необходимые механизмы работы DLP-системы и, соответственно, требования к ней. Опционально в рамках данного этапа могут быть разработаны эскизы политик безопасности в терминах конкретного продукта. Подробнее о выборе продукта будем говорить далее.

Юридическое сопровождение

Одними из важных вопросов, с которыми столкнется руководство компании, принявшее решение об использовании продукта класса DLP, - это вопросы юридического характера. К примеру:

  • «Будет ли использование этой системы трактоваться как слежка за сотрудниками?»
  • «Как будем защищаться от конфликтов, вызванных работой этой системы?»

Добавьте сюда не совсем очевидные вопросы, вроде «Как контролировать администратора DLP-системы, имеющего доступ ко всему архиву перехваченной информации?».

  • компания имеет право защищать свою коммерческую тайну, вводя для этой цели режим коммерческой тайны, определяющий перечень информации ограниченного доступа, правила работы с ней и т. д.;
  • средства обработки информации, переданные сотруднику для выполнения своих должностных обязанностей, а также созданные с их помощью информационные ресурсы, являются собственностью компании;
  • компания не является оператором связи и не обеспечивает тайну связи при передаче по своим корпоративным каналам.

Создание грамотной стратегии использования DLP-системы в правовом контексте - вновь совместная задача для заказчика и исполнителя. Результатом этой работы должны стать шаги по организации режима коммерческой тайны или соответствующие дополнения к нему. В рамках данных работ исполнитель изучает организационно-распорядительные документы клиента, трудовые договоры, дополнительные соглашения и прочие кадровые документы, относящиеся к определению условий труда и обязательств работников, а также внутренние процедуры контроля заказчика. И по результатам анализа формирует рекомендации по внесению изменений в нормативную базу заказчика. В число документов, разрабатываемых исполнителем на данном этапе, могут войти:

  • дополнительные соглашения к трудовым договорам;
  • дополнения к правилам трудового распорядка;
  • политика допустимого использования средств обработки информации;
  • иные документы, регламентирующие работу с информацией ограниченного доступа.

Отдельно хочется напомнить про актуальность контроля эксплуатирующего персонала DLP-системы, имеющего неограниченный доступ к архиву перехваченной информации. Видится разумной попытка пресечь возможное использование этой информации в личных целях путем подписания соответствующих соглашений. И, немного забегая вперед, отметим: заказчику рекомендуется уже на данном этапе подумать над методом формирования архива перехваченной информации - сохранять все события или только события, нарушившие политику безопасности. В отличие от западных игроков отечественные DLP-системы пошли по пути сохранения всего трафика.

Здесь мы вплотную подходим к следующему этапу - выбору конкретного продукта.

Этап 2. Выбор продукта

Этот этап довольно условно расположен вторым номером, так как в ряде случаев продукт уже определен явно до начала внедрения, или этапу подготовки предшествует пилотный проект одного или нескольких решений. Таким образом, выбор конкретного продукта - этап, в зависимости от обстоятельств идущий либо первым, либо вторым, либо параллельно подготовке.

По завершению (или в процессе) этапа подготовки как у заказчика, так и у исполнителя уже имеется представление о том, как абстрактная DLP-система будет использоваться для контроля над утечками информации. Остается определить, какой именно продукт будет соответствовать требованиям оптимально. Говоря о требованиях, не стоит забывать о тех из них, которые напрямую не определяют процесс перехвата и анализа информации. К таковым относятся:

  • Сложность развертывания и поддержки. Если в решении используется, к примеру, система управления базами данных Oracle, обладает ли заказчик специалистом, способным провести резервное копирование базы данных? Не стоит ли посмотреть в сторону решения, где эта процедура выполняется за три клика мыши, скажем, в планировщике заданий ОС Windows, где при установке создается соответствующее задание?
  • Воздействие на инфраструктуру. Как сильно установленный агент будет влиять на работу компьютера пользователя или канал передачи данных? Возможна ли установка компонентов системы в среде виртуализации?
  • Организация процессов работы эксплуатирующего персонала. Заказчик на данном этапе должен понять, что из себя будет представлять работа аналитика, ответственного за безопасность, или системного администратора, отвечающего за поддержку работоспособности решения.

Очевидным является требование к системе обладать механизмами сбора и анализа информации, удовлетворяющими потребностям заказчика в контроле бизнес-процессов, определенных на этапе обследования.

Нельзя забывать и о бюджете заказчика, который в том числе является весомым требованием. Помимо продуктов класса Enterprise, DLP-системы также представлены т. н. «легкими DLP» и Channel DLP, подразумевающими как ряд функциональных ограничений по сравнению со «старшим братом», так и вовсе направленные на контроль одного конкретного канала передачи данных. К примеру, в условиях ограниченного бюджета для заказчика может быть оптимально докупить DLP-функционал к существующему прокси-серверу и использовать только агентское решение стороннего продукта.

Данный этап характеризуется большой ответственностью исполнителя, задачей которого является предложить заказчику максимально подходящее решение. При этом возможная пассивность последнего сыграет с ним злую шутку на этапе эксплуатации и поддержки системы.

Выбор конкретного продукта сложно представить без понимания архитектуры решения, реализованного средствами этого продукта, поэтому можно утверждать, что на данном этапе уже берут свое начало работы по проектированию.

Этап 3. Проектирование и установка

Проектирование

Как правило, ключевые моменты в архитектуре решения к этому этапу уже определены. Работы по проектированию определяются как процесс детализации и расширения этих ключевых моментов до такой степени, при которой получившееся проектное решение полностью готово к реализации. Ключ к хорошему проектному решению - это детальное обследование инфраструктуры заказчика и макетирование решения «у себя дома». Эти мероприятия минимизируют риск технических сложностей на этапе установки. Очень желательно, чтобы заказчик это понимал и активно содействовал процессу.

Вид, в котором проектное решение будет представлено, обсуждается сторонами. В большинстве случаев это ­согласованный набор технических документов, описывающих окончательное проектное решение. На данном этапе также устанавливаются требования к эксплуатационной документации. В случае если официальных руководств производителя выбранной DLP-системы недостаточно, исполнитель готовит недостающий комплект. Примерами таких документов могут выступать как перевод официального руководства с иностранного языка, так и более экзотические документы вроде «Описания жизненного цикла программного обеспечения».

На этапе проектирования важно реализовать возможности для изменения системы в будущем, например, при потенциальном масштабировании или переходе с режима мониторинга на режим блокировки. Требования к оборудованию, программному обеспечению или даже к построению технологических процессов работы продукта должны быть заложены исполнителем исходя из такой необходимости.

Итак, исполнитель подготовил проектное решение, заказчик его согласовал, следующий этап - установка и первоначальная настройка DLP-системы.

Установка

Работы по установке DLP-системы тоже требуют тесного взаимодействия заказчика и исполнителя. Поскольку продукты такого класса решений связаны с рядом смежных систем (почтовыми, прокси-серверами, сетевым оборудованием), то сложно представить процесс установки без вовлечения специалистов заказчика.

Обычно установка продукта начинается с инсталляции серверных компонентов и настройки связи между ними и смежными системами. Однако бывают и исключения. Скажем, при сжатых сроках внедрения и значительном количестве устанавливаемых агентов процесс установки последних может быть инициирован еще до завершения работ по проектированию. Такой пример нестандартного решения еще раз напоминает про необходимость ведения диалога между сторонами на всех этапах внедрения.

Важный вопрос в рамках работ по установке, одновременно приближающий нас к работам по настройке - это вопрос сохранения в тайне от сотрудников заказчика факта внедрения продукта. Если степень вовлеченности пользователей в работу DLP-системы еще не определена, то самое время об этом подумать.

Этап 4. Настройка

К сожалению, в рамках этого этапа не будет описан универсальный алгоритм, следуя которому любой желающий получает грамотно настроенную DLP-систему. Хотя почему нет? Ведь если подумать, этот алгоритм состоит всего из одного легко формулируемого пункта - «Непрерывно настраивать систему и изменять политики безопасности на протяжении всего периода эксплуатации».

Как мы видим, речь идет не о длительной настройке, а о непрерывной - это ключевой момент, который необходимо понять заказчику. Выполненный «на отлично» этап подготовки будет являться незаменимым подспорьем на этапе настройки, и исполнитель непременно поможет в начале пути (а может и не только в начале, все определяется договоренностями). Но основная работа в рамках текущего этапа ложится на плечи заказчика (здесь не берем во внимание сервисную модель услуг, в рамках которой исполнитель может взять на себя значительную часть от этих работ).

Изменение бизнес-процессов, инфраструктуры, прием на работу сотрудников, делегирование обязанностей внутри существующих отделов, выпуск новых документов вроде приказов руководства, должностных инструкций - все эти события влекут за собой необходимость изменения политик безопасности. Вооружившись цифровыми отпечатками, словарями, а иной раз и технологиями машинного обучения, ответственный персонал должен успевать за всеми значимыми для DLP-системы изменениями в компании и нивелировать их возможные отрицательные последствия, чтобы избежать утечку информации. Причем под отрицательными последствиями здесь понимаются не только новые каналы для утечки, но и возможный рост ложноположительных срабатываний.

Если говорить об обязанностях сторон в рамках внедрения, то, заключая договор, они пытаются согласовать количественные и качественные характеристики работ по настройке DLP-системы, которые исполнитель обязуется выполнить. Как правило, речь идет о наполнении базы специальных терминов, написании регулярных выражений и создании на основе данных технологий политик защиты данных. Работы по настройке обычно сопровождаются консультациями персонала. В интересах обеих сторон сделать этот процесс максимально продуктивным, устраняя неспособность сотрудников самостоятельно работать с системой.

В ходе настройки необходимо держать в голове вопрос: «Хочет ли заказчик использовать DLP-систему как инструмент обучения пользователей работе с конфиденциальной информацией или как инструмент слежки?». Западные компании широко используют первый вариант. Его идея заключается не только в осведомленности пользователей о наличии DLP-системы, но и в вовлечении в организацию безопасности данных рядовых сотрудников. Как следствие - изменение их поведения в сторону большей ответственности. Чем больше организация, тем объективно более востребован для нее такой подход: численность собственного отдела ИБ ограничена, а DLP-системы могут требовать значительных трудозатрат на первых порах эксплуатации. Внутренний краудсорсинг может оказать ощутимую поддержку в таком трудоемком деле. Принцип геймификации добрался и до такой области применения, как эксплуатация DLP-систем. В рамках игровой парадигмы компания отказывается от так называемого «шлепка по рукам» - стандартного всплывающего окна с угрозами, оформленного в красных тонах, призванного вызвать максимальный стресс у пользователя. В случае непреднамеренного нарушения политики безопасности пользователь увидит описание причины блокирования его действия и сноску о том, как избежать нарушения в будущем. Другая важная часть геймификации - явная положительная мотивация. Присвоение пользователям значков отличия за соблюдение норм обеспечения безопасности данных, публикация красивых графических отчетов DLP-систем о тех, чье взаимодействие с данными является наиболее правильным, и т. п.

При кажущейся простоте подхода такой механизм помогает ввести и закрепить в рабочем обиходе сотрудников само понятие «защита от утечки данных», сделать защиту данных не чуждым пользователю понятием, а неотъемлемой и естественной (при этом не скучной) частью рабочего процесса. Второй вариант подразумевает максимальную скрытость присутствия продукта в информационной среде. Формулировку ответа на этот вопрос рекомендуется оформить как этап № 0.

Выводы

Внедрение DLP часто осложняется объективными факторами: различие в функционале, отсутствие единственно верного варианта внедрения и единого сценария использования. Даже само принятие решения о внедрении защиты от утечки данных может откладываться заказчиком из-за мифов, связанных с DLP-системами («на поддержание DLP уйдет весь ресурс ИБ», «внедрять DLP нужно не менее полутора лет или не внедрять вообще» и т. п.), а также из-за того, что для эффективного внедрения необходима вовлеченность представителей бизнеса и пр.

В таком случае, опираясь на опыт, исполнитель должен предложить сценарии, которые покажут ценность решения как представителям технического блока заказчика, так и представителям бизнеса. DLP способны показать быстрый и объективный результат, который поможет клиенту определиться с выбором.

Для организаций, которые ответственно подходят к безопасности собственных данных и данных своих клиентов, DLP - однозначно необходимое решение.