• Главная
  •  > 
  • Полезное
  •  > 
  • Подходы по внедрению DLP. Внедрение DLP: требования законов и регуляторов к системам информационной безопасности

Подходы по внедрению DLP. Внедрение DLP: требования законов и регуляторов к системам информационной безопасности

Введение

«Помощь должна совершаться не против воли того, кому помогают» (Георг Вильгельм Фридрих Гегель)

В отличие от начальных этапов развития , сегодня уже можно говорить об активном формировании пользовательского спроса на продукты класса DLP. Немало компаний успели познакомиться с системами предотвращения утечек информации, понимают механизм их работы и сформулировали требования к таким системам. Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, сравнивает модернизацию DLP-системы с покупкой автомобиля - если к первой машине требования невысоки («лишь бы ездила»), то ко второй будущий собственник предъявляет точные требования, основанные на опыте использования предыдущего автомобиля. Впрочем, компания, принявшая решение о внедрении, не обязательно должна иметь опыт эксплуатации продукта того же класса. Для определения требований этой компании может помочь опыт партнера или конкурента.

Можно ли говорить о всеобщей готовности компаний, решивших внедрять DLP-систему, к этому процессу? И что понимать под готовностью? Как показывает практика, в большинстве случаев заказчик представляет себе технические возможности продуктов данного класса, но не до конца понимает необходимый объем работ, благодаря которому в консоли управления DLP-системой начнет появляться действительно важная информация. А появляться она начнет, если подходить к процессу внедрения DLP-решения как к одному из методов реализации наиболее актуального в наши дни подхода к обеспечению информационной безопасности - Data-centric security, или комплексного подхода, ориентированного на защиту информационных активов. В рамках подхода Data-centric security данные, представляющие информационные активы, разделяются на три категории:

  • Data at Rest - данные в режиме хранения; статично хранятся на отчуждаемых носителях, компьютерах, мобильных устройствах пользователей и т. д.;
  • Data in Motion - данные в режиме движения: финансовые транзакции, передача аутентификационных данных и т. д.;
  • Data in Use - данные, непосредственно используемые пользователями в рамках бизнес-процессов.

Решения класса DLP позволяют контролировать и защищать данные всех перечисленных категорий. Однако следует помнить, что успех такой серьезной операции как внедрение DLP напрямую зависит от понимания ценности защищаемых данных. Здесь мы вплотную подходим к описанию важнейшего этапа внедрения DLP-системы - подготовке.

Этап 1. Подготовка к внедрению

Обследование

Компания NSS Labs в своей статье «За 12 шагов - к успешному внедрению DLP » делится парой тезисов, с которыми сложно не согласиться:

  • успешное внедрение DLP-системы - комплексное мероприятие, в рамках которого развертывание продукта - этап необходимый, но не достаточный;
  • классификация документов и определение матрицы доступа - основа для политик безопасности DLP-систем.

Кто должен выполнять работы по обследованию? Как правило, за это отвечает компания, которая внедряет DLP-систему (исполнитель). Однако не все так просто. Если компания-заказчик не готова на запрос исполнителя предоставить, к примеру, описание процессов взаимодействия с защищаемой информацией, то необходимо понять, в чьей зоне ответственности будет находиться разработка этого документа.

У идеального заказчика, принявшего решение о внедрении DLP-системы, введен режим коммерческой тайны, подготовлен перечень информации ограниченного доступа, имеется описание бизнес-процессов, в рамках которых происходит обработка, хранение и передача такой информации. Другими словами, заказчик ясно понимает правила, по которым событие считается утечкой конфиденциальной информации, а также исключения их этих правил. В таком случае исполнителю остается лишь перенести правила в политики безопасности.

У реального заказчика может быть не определено ничего. В таком случае он должен осознавать важность своего участия в обследовании, ведь чем ответственнее заказчик подходит к этому процессу, тем реальнее описание бизнес-процессов компании, критерии отнесения сведений к категории защищаемых и т. д. В случае слабой вовлеченности заказчик полагается на видение безопасности своих бизнес-процессов глазами исполнителя, а это не всегда соответствует требованиям к защите данных.

Обычно работы в рамках обследования включают в себя следующие мероприятия:

  • изучение организационно-распорядительных документов, относящихся к обеспечению безопасности и классификации информации;
  • изучение перечня информационных ресурсов, схем сети, схем потоков данных и т. п., относящихся к формализации информационного взаимодействия;
  • согласование признаков отнесения информации к информации ограниченного доступа;
  • формализация перечня информации ограниченного доступа;
  • обследование и описание процессов передачи, обработки и хранения информации ограниченного доступа в рамках бизнес-процессов.

По итогам перечисленных мероприятий разрабатываются документы, на основе которых впоследствии будут создаваться политики безопасности DLP-системы. К таким документам могут относиться:

  • «Перечень информации ограниченного доступа»;
  • «Схема потоков данных информации ограниченного доступа»;
  • «Описание технологических процессов взаимодействия с информацией ограниченного доступа»;
  • «Основные сценарии утечки конфиденциальной информации».

Имея понимание того, в рамках каких бизнес-процессов происходит работа с критичными данными, из каких действий с этими данными состоят вышеупомянутые процессы, не составляет труда определить необходимые механизмы работы DLP-системы и, соответственно, требования к ней. Опционально в рамках данного этапа могут быть разработаны эскизы политик безопасности в терминах конкретного продукта. Подробнее о выборе продукта будем говорить далее.

Юридическое сопровождение

Одними из важных вопросов, с которыми столкнется руководство компании, принявшее решение об использовании продукта класса DLP, - это вопросы юридического характера. К примеру:

  • «Будет ли использование этой системы трактоваться как слежка за сотрудниками?»
  • «Как будем защищаться от конфликтов, вызванных работой этой системы?»

Добавьте сюда не совсем очевидные вопросы, вроде «Как контролировать администратора DLP-системы, имеющего доступ ко всему архиву перехваченной информации?».

  • компания имеет право защищать свою коммерческую тайну, вводя для этой цели режим коммерческой тайны, определяющий перечень информации ограниченного доступа, правила работы с ней и т. д.;
  • средства обработки информации, переданные сотруднику для выполнения своих должностных обязанностей, а также созданные с их помощью информационные ресурсы, являются собственностью компании;
  • компания не является оператором связи и не обеспечивает тайну связи при передаче по своим корпоративным каналам.

Создание грамотной стратегии использования DLP-системы в правовом контексте - вновь совместная задача для заказчика и исполнителя. Результатом этой работы должны стать шаги по организации режима коммерческой тайны или соответствующие дополнения к нему. В рамках данных работ исполнитель изучает организационно-распорядительные документы клиента, трудовые договоры, дополнительные соглашения и прочие кадровые документы, относящиеся к определению условий труда и обязательств работников, а также внутренние процедуры контроля заказчика. И по результатам анализа формирует рекомендации по внесению изменений в нормативную базу заказчика. В число документов, разрабатываемых исполнителем на данном этапе, могут войти:

  • дополнительные соглашения к трудовым договорам;
  • дополнения к правилам трудового распорядка;
  • политика допустимого использования средств обработки информации;
  • иные документы, регламентирующие работу с информацией ограниченного доступа.

Отдельно хочется напомнить про актуальность контроля эксплуатирующего персонала DLP-системы, имеющего неограниченный доступ к архиву перехваченной информации. Видится разумной попытка пресечь возможное использование этой информации в личных целях путем подписания соответствующих соглашений. И, немного забегая вперед, отметим: заказчику рекомендуется уже на данном этапе подумать над методом формирования архива перехваченной информации - сохранять все события или только события, нарушившие политику безопасности. В отличие от западных игроков отечественные DLP-системы пошли по пути сохранения всего трафика.

Здесь мы вплотную подходим к следующему этапу - выбору конкретного продукта.

Этап 2. Выбор продукта

Этот этап довольно условно расположен вторым номером, так как в ряде случаев продукт уже определен явно до начала внедрения, или этапу подготовки предшествует пилотный проект одного или нескольких решений. Таким образом, выбор конкретного продукта - этап, в зависимости от обстоятельств идущий либо первым, либо вторым, либо параллельно подготовке.

По завершению (или в процессе) этапа подготовки как у заказчика, так и у исполнителя уже имеется представление о том, как абстрактная DLP-система будет использоваться для контроля над утечками информации. Остается определить, какой именно продукт будет соответствовать требованиям оптимально. Говоря о требованиях, не стоит забывать о тех из них, которые напрямую не определяют процесс перехвата и анализа информации. К таковым относятся:

  • Сложность развертывания и поддержки. Если в решении используется, к примеру, система управления базами данных Oracle, обладает ли заказчик специалистом, способным провести резервное копирование базы данных? Не стоит ли посмотреть в сторону решения, где эта процедура выполняется за три клика мыши, скажем, в планировщике заданий ОС Windows, где при установке создается соответствующее задание?
  • Воздействие на инфраструктуру. Как сильно установленный агент будет влиять на работу компьютера пользователя или канал передачи данных? Возможна ли установка компонентов системы в среде виртуализации?
  • Организация процессов работы эксплуатирующего персонала. Заказчик на данном этапе должен понять, что из себя будет представлять работа аналитика, ответственного за безопасность, или системного администратора, отвечающего за поддержку работоспособности решения.

Очевидным является требование к системе обладать механизмами сбора и анализа информации, удовлетворяющими потребностям заказчика в контроле бизнес-процессов, определенных на этапе обследования.

Нельзя забывать и о бюджете заказчика, который в том числе является весомым требованием. Помимо продуктов класса Enterprise, DLP-системы также представлены т. н. «легкими DLP» и Channel DLP, подразумевающими как ряд функциональных ограничений по сравнению со «старшим братом», так и вовсе направленные на контроль одного конкретного канала передачи данных. К примеру, в условиях ограниченного бюджета для заказчика может быть оптимально докупить DLP-функционал к существующему прокси-серверу и использовать только агентское решение стороннего продукта.

Данный этап характеризуется большой ответственностью исполнителя, задачей которого является предложить заказчику максимально подходящее решение. При этом возможная пассивность последнего сыграет с ним злую шутку на этапе эксплуатации и поддержки системы.

Выбор конкретного продукта сложно представить без понимания архитектуры решения, реализованного средствами этого продукта, поэтому можно утверждать, что на данном этапе уже берут свое начало работы по проектированию.

Этап 3. Проектирование и установка

Проектирование

Как правило, ключевые моменты в архитектуре решения к этому этапу уже определены. Работы по проектированию определяются как процесс детализации и расширения этих ключевых моментов до такой степени, при которой получившееся проектное решение полностью готово к реализации. Ключ к хорошему проектному решению - это детальное обследование инфраструктуры заказчика и макетирование решения «у себя дома». Эти мероприятия минимизируют риск технических сложностей на этапе установки. Очень желательно, чтобы заказчик это понимал и активно содействовал процессу.

Вид, в котором проектное решение будет представлено, обсуждается сторонами. В большинстве случаев это ­согласованный набор технических документов, описывающих окончательное проектное решение. На данном этапе также устанавливаются требования к эксплуатационной документации. В случае если официальных руководств производителя выбранной DLP-системы недостаточно, исполнитель готовит недостающий комплект. Примерами таких документов могут выступать как перевод официального руководства с иностранного языка, так и более экзотические документы вроде «Описания жизненного цикла программного обеспечения».

На этапе проектирования важно реализовать возможности для изменения системы в будущем, например, при потенциальном масштабировании или переходе с режима мониторинга на режим блокировки. Требования к оборудованию, программному обеспечению или даже к построению технологических процессов работы продукта должны быть заложены исполнителем исходя из такой необходимости.

Итак, исполнитель подготовил проектное решение, заказчик его согласовал, следующий этап - установка и первоначальная настройка DLP-системы.

Установка

Работы по установке DLP-системы тоже требуют тесного взаимодействия заказчика и исполнителя. Поскольку продукты такого класса решений связаны с рядом смежных систем (почтовыми, прокси-серверами, сетевым оборудованием), то сложно представить процесс установки без вовлечения специалистов заказчика.

Обычно установка продукта начинается с инсталляции серверных компонентов и настройки связи между ними и смежными системами. Однако бывают и исключения. Скажем, при сжатых сроках внедрения и значительном количестве устанавливаемых агентов процесс установки последних может быть инициирован еще до завершения работ по проектированию. Такой пример нестандартного решения еще раз напоминает про необходимость ведения диалога между сторонами на всех этапах внедрения.

Важный вопрос в рамках работ по установке, одновременно приближающий нас к работам по настройке - это вопрос сохранения в тайне от сотрудников заказчика факта внедрения продукта. Если степень вовлеченности пользователей в работу DLP-системы еще не определена, то самое время об этом подумать.

Этап 4. Настройка

К сожалению, в рамках этого этапа не будет описан универсальный алгоритм, следуя которому любой желающий получает грамотно настроенную DLP-систему. Хотя почему нет? Ведь если подумать, этот алгоритм состоит всего из одного легко формулируемого пункта - «Непрерывно настраивать систему и изменять политики безопасности на протяжении всего периода эксплуатации».

Как мы видим, речь идет не о длительной настройке, а о непрерывной - это ключевой момент, который необходимо понять заказчику. Выполненный «на отлично» этап подготовки будет являться незаменимым подспорьем на этапе настройки, и исполнитель непременно поможет в начале пути (а может и не только в начале, все определяется договоренностями). Но основная работа в рамках текущего этапа ложится на плечи заказчика (здесь не берем во внимание сервисную модель услуг, в рамках которой исполнитель может взять на себя значительную часть от этих работ).

Изменение бизнес-процессов, инфраструктуры, прием на работу сотрудников, делегирование обязанностей внутри существующих отделов, выпуск новых документов вроде приказов руководства, должностных инструкций - все эти события влекут за собой необходимость изменения политик безопасности. Вооружившись цифровыми отпечатками, словарями, а иной раз и технологиями машинного обучения, ответственный персонал должен успевать за всеми значимыми для DLP-системы изменениями в компании и нивелировать их возможные отрицательные последствия, чтобы избежать утечку информации. Причем под отрицательными последствиями здесь понимаются не только новые каналы для утечки, но и возможный рост ложноположительных срабатываний.

Если говорить об обязанностях сторон в рамках внедрения, то, заключая договор, они пытаются согласовать количественные и качественные характеристики работ по настройке DLP-системы, которые исполнитель обязуется выполнить. Как правило, речь идет о наполнении базы специальных терминов, написании регулярных выражений и создании на основе данных технологий политик защиты данных. Работы по настройке обычно сопровождаются консультациями персонала. В интересах обеих сторон сделать этот процесс максимально продуктивным, устраняя неспособность сотрудников самостоятельно работать с системой.

В ходе настройки необходимо держать в голове вопрос: «Хочет ли заказчик использовать DLP-систему как инструмент обучения пользователей работе с конфиденциальной информацией или как инструмент слежки?». Западные компании широко используют первый вариант. Его идея заключается не только в осведомленности пользователей о наличии DLP-системы, но и в вовлечении в организацию безопасности данных рядовых сотрудников. Как следствие - изменение их поведения в сторону большей ответственности. Чем больше организация, тем объективно более востребован для нее такой подход: численность собственного отдела ИБ ограничена, а DLP-системы могут требовать значительных трудозатрат на первых порах эксплуатации. Внутренний краудсорсинг может оказать ощутимую поддержку в таком трудоемком деле. Принцип геймификации добрался и до такой области применения, как эксплуатация DLP-систем. В рамках игровой парадигмы компания отказывается от так называемого «шлепка по рукам» - стандартного всплывающего окна с угрозами, оформленного в красных тонах, призванного вызвать максимальный стресс у пользователя. В случае непреднамеренного нарушения политики безопасности пользователь увидит описание причины блокирования его действия и сноску о том, как избежать нарушения в будущем. Другая важная часть геймификации - явная положительная мотивация. Присвоение пользователям значков отличия за соблюдение норм обеспечения безопасности данных, публикация красивых графических отчетов DLP-систем о тех, чье взаимодействие с данными является наиболее правильным, и т. п.

При кажущейся простоте подхода такой механизм помогает ввести и закрепить в рабочем обиходе сотрудников само понятие «защита от утечки данных», сделать защиту данных не чуждым пользователю понятием, а неотъемлемой и естественной (при этом не скучной) частью рабочего процесса. Второй вариант подразумевает максимальную скрытость присутствия продукта в информационной среде. Формулировку ответа на этот вопрос рекомендуется оформить как этап № 0.

Выводы

Внедрение DLP часто осложняется объективными факторами: различие в функционале, отсутствие единственно верного варианта внедрения и единого сценария использования. Даже само принятие решения о внедрении защиты от утечки данных может откладываться заказчиком из-за мифов, связанных с DLP-системами («на поддержание DLP уйдет весь ресурс ИБ», «внедрять DLP нужно не менее полутора лет или не внедрять вообще» и т. п.), а также из-за того, что для эффективного внедрения необходима вовлеченность представителей бизнеса и пр.

В таком случае, опираясь на опыт, исполнитель должен предложить сценарии, которые покажут ценность решения как представителям технического блока заказчика, так и представителям бизнеса. DLP способны показать быстрый и объективный результат, который поможет клиенту определиться с выбором.

Для организаций, которые ответственно подходят к безопасности собственных данных и данных своих клиентов, DLP - однозначно необходимое решение.

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.

Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:

  • 18,5 миллиона случаев утечки данных в сутки;
  • 771,9 случаев утечки данных в час;
  • 12,8 утечек данных в минуту;
  • 214 случаев утечки данных каждую секунду.

Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?

Поэтому, внедрение средств защиты информации преследует следующие цели:

  • Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами;
  • Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов;
  • В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?

Проведите внутреннее исследование

Изучите имеющуюся организационно-распорядительную документацию;

Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;

Дайте оценку информационным ресурсам компании, распределите их по категориям:

1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.

2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.

Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.

Разработайте нормативную документацию

На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

1) произведения науки, литературы и искусства;

2) программы для ЭВМ;

3) базы данных;

7) изобретения;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау)

15) наименования мест происхождения товаров;

Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

Разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;

Ознакомление всех сотрудников компании с содержанием регламента под роспись.

Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.

Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

все средства коммуникации, переданные в пользование сотруднику, предназначены только для выполнения должностных обязанностей;
владельцем электронной почты и абонентом телефонной сети является организация , таким образом, они предоставляются работнику во временное пользование в период выполнения служебных обязанностей.

Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP -системам

Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.

Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:

    Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

    Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

    Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).

Для выполнения требований, функционал современной DLP-системы должен предусматривать:

  • выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
  • выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;
  • выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;
  • выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;
  • контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
  • выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

  • в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;
  • в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.
Для чего это нужно?

Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.

Не останавливайтесь на достигнутом

DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны быть также зафиксированы и отражены в DLP-системе.

Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.

Ориентируясь на англоязычное название этого класса продуктов, многие до сих пор считают, что системы DLP предназначены исключительно для защиты от утечек информации. Подобное заблуждение свойственно тем, кто не имел случая познакомиться со всеми возможностями таких средств защиты. Между тем современные системы представляют собой сложные аналитические инструменты, при помощи которых сотрудники отделов ИТ, информационной и экономической безопасности, внутреннего контроля, персонала и других структурных подразделений могут решать различные задачи.

ДЕСЯТЬ ЗАДАЧ

В рамках данной статьи мы не будем касаться верхнеуровневых задач бизнеса, определяемых, согласно методологии COBIT5, на основе взаимосвязи целей бизнеса и ИТ: получение выгод, оптимизация ресурсов (включая расходы), оптимизация рисков. Мы спустимся на уровень ниже и рассмотрим конкретные прикладные задачи, выделив среди них те, в решении которых могут помочь современные системы DLP.

I. Изобличение недобросовестных сотрудников:

  • обнаружение фактов передачи защищаемой информации;
  • выявление экономических преступлений;
  • фиксирование фактов неэтичного общения;
  • архивирование событий и управление инцидентами.

II. Снижение рисков и повышение общего уровня информационной безопасности:

  • блокирование каналов утечки и/или определенных информационных сообщений;
  • выявление систематического нарушения сотрудниками принятой политики безопасности.

III. Обеспечение соответствия законодательным и иным требованиям (compliance):

  • категоризация информации;
  • выполнение постановлений регуляторов и помощь в достижении соответствия требованиям стандартов и лучших практик.

IV. Анализ и повышение эффективности процессов:

  • прогнозирование и выявление возможных проблем с сотрудниками;
  • анализ потоков данных и хранимой информации.

ЧУЖОЙ СРЕДИ СВОИХ

Изобличение недобросовестных сотрудников позволяет вовремя принять необходимые управленческие решения (в том числе юридически грамотно расстаться с такими людьми). Для этого необходимо обнаружить сам факт события, правильно его интерпретировать и классифицировать, обеспечить хранение найденных свидетельств.

Обнаружение фактов передачи защищаемой информации нелегитимным получателям является самой востребованной функцией систем DLP. Обычно система настраивается на выявление сведений, составляющих коммерческую тайну, персональных данных, номеров кредитных карт и другой конфиденциальной информации (в зависимости от отрасли и специфики конкретной организации).

По данным аналитического центра InfoWatch, чаще всего случаются утечки персональных данных, а на втором месте - сведения, составляющие коммерческую тайну (см. Рисунок 1).

В зависимости от конкретного решения, системы DLP могут отслеживать и анализировать следующие основные каналы передачи информации: электронная почта, передача данных через Интернет (социальные сети и форумы, файлообменные сервисы и облачные хранилища, Web-доступ к электронной почте и другие), копирование на внешние носители, печать документов.

Выявление экономических преступлений не является основной задачей систем DLP. Тем не менее довольно часто анализ переписки позволяет обнаружить подготовку к ним или уже факт совершения неправомерного действия. Таким образом обычно удается обнаружить обсуждение схем «откатов» и другие несанкционированные переговоры, способные нанести вред компании.

Помимо этого, печать пустых бланков с печатями и подписями или их пересылка кому-либо тоже может косвенно свидетельствовать о возможной подготовке к подлогу документов. Но не стоит надеяться на системы DLP как на панацею - подготовку такого рода преступлений скрыть несложно.

Фиксирование фактов неэтичного общения происходит в результате анализа переписки сотрудников между собой и с внешними получателями. Современные системы DLP способны идентифицировать агрессивное и деструктивное поведение - например, подстрекательство и призывы к саботажу, «психологический террор», «троллинг», угрозы и оскорбления. Совсем недавно одному моему коллеге удалось пресечь потенциальное преступление: система DLP обнаружила в переписке двух сотрудников сговор с целью причинения телесных повреждений третьему сотруднику.

Архивирование и систематизация всех информационных сообщений необходимы для дальнейшего расследования инцидентов и обеспечения юридической значимости доказательств. Мало уметь выявлять инциденты, нужно еще сохранить добытые сведения и предоставить удобный механизм для их анализа.

«ПЛОМБИРОВАНИЕ» КАНАЛОВ

Снижение риска утечки защищаемой информации достигается путем постоянного контроля и блокирования каналов утечки, а также благодаря предупреждению пользователей, замеченных в нарушении политики безопасности.

Исследование Ponemon Institute (отчет ‘‘Is Your Company Ready For A Big Data Breach?’’) показало, что за последние два года треть опрошенных компаний зафиксировала более 1000 случаев утечки конфиденциальной информации: у 48% утечка данных случилась лишь однажды, у 27% - дважды, 16% сталкивались с подобными инцидентами до пяти раз, 9% зафиксировали более пяти случаев утечки. Это говорит об актуальности рассматриваемых угроз.

Блокирование каналов утечки и/или определенных информационных сообщений может существенно снизить риски утечки информации. Для этого существует несколько подходов: блокирование портов ввода-вывода, запрет доступа к определенным категориям сайтов (файлообменникам, электронной почте) и/или анализ содержания передаваемых сообщений и последующее блокирование передачи.

В некоторых случаях системы DLP позволяют обеспечить выявление систематических нарушений сотрудниками принятой политики безопасности : передача сообщений третьим лицам в открытом (незашифрованном) виде, вывод документов на печать без проставления определенных грифов, случайная отправка электронных писем посторонним адресатам.

СТРОГО ПО ФОРМЕ

Выполнение формальных требований регуляторов и/или рекомендаций лучших практик (best practices) может соотноситься с задачами первой и второй группы, однако рассматривается отдельно.

Автоматизированная категоризация информации является дополнительной возможностью, предоставляемой некоторыми системами DLP. Как это работает? Система DLP сканирует рабочие станции и серверы для выявления файлов определенных типов и, используя различные технологии анализа, принимает решение об отнесении документов к тем или иным категориям.

Данная возможность может быть весьма полезной, так как, по нашему опыту, лишь малая часть компаний имеет актуальные перечни сведений конфиденциального характера, без чего невозможно понять, какие документы являются конфиденциальными, а какие нет.

Использование систем DLP позволяет добиться выполнения некоторых требований регуляторов (например, приказы ФСТЭК России № 21 и № 17, положение Банка России № 382-П) и лучших практик (ГОСТ/ISO 27001, СТО БР ИББС, COBIT5, ITIL). Системы DLP помогают при категоризации информации, ограничении мест ее хранения, управлении событиями и инцидентами, управлении внешними носителями, контроле передаваемых сообщений и во многих других случаях.

ЧТО СТОИМ, ЧЕГО ЖДЕМ?

Системы DLP могут использоваться для анализа потоков данных и хранимой информации - например, для выявления фактов хранения информации ограниченного доступа в неразрешенных местах, определения излишней нагрузки на электронную почту при наличии файлового хранилища и других. Они выявляют возможные узкие места в бизнес-процессах, возникающие из-за неудовлетворительного поведения и неудовлетворенных ожиданий персонала, а также нерациональных способов хранения, передачи и обработки информации.

Прогнозирование и выявление возможных конфликтов интересов реализуется путем анализа переписки сотрудников и другой их активности в социальных сетях и на различных интернет-ресурсах. При необходимости системы DLP способны «понять», кто собирается покинуть компанию (поиск работы или обсуждение полученных предложений), нецелевым образом использует корпоративные ИТ-ресурсы (слишком продолжительное общение в социальных сетях, печать на принтере личных документов, книг и фотографий, посещение игровых сайтов и тому подобное), негативно реагирует на управленческие решения. Эти вопросы относятся скорее к компетенции отдела кадров и линейных руководителей, а не службы безопасности.

КАКОВЫ ЗАДАЧИ?

Внедряя систему DLP или только задумываясь о ее развертывании, важно иметь четкое представление о том, какие задачи она будет решать. Без этого трудно не только выбрать производителя решения, но и правильно сформулировать требования к функционалу и настройкам. Если фокусироваться именно на решении задач, а не на перечне функциональных возможностей, то это позволит четко обосновать целесообразность внедрения DLP и для ИТ-подразделения, и для предприятия в целом.

Андрей Прозоров - ведущий эксперт по информационной безопасности InfoWatch, блогер.

Может показаться, что в 2017 году DLP-системы стали настолько привычным явлением в информационной безопасности, что вопросы перехвата трафика ушли на второй план.

Подходы различных производителей DLP к тому, какой трафик и где следует собирать, как правило, уходят корнями в их собственный опыт первых удачных проектов. Очевидно, что опыт этот варьировался от вендора к вендору, поскольку инфраструктура предприятия – вещь достаточно индивидуальная, да и личные предпочтения специалистов по информационной безопасности тоже оказывали свое влияние.

Тем не менее, в итоге сегодня практически любая DLP-система способна собирать трафик на почтовых серверах, сетевом шлюзе, прокси-сервере и конечных рабочих станциях. Однако этот последний пункт до сих пор вызывает много споров. Для одних агент DLP – панацея от всех угроз, для других – страдание. Об этом и хочется поговорить в данной статье.

Зачем вообще устанавливать агенты?

По классике DLP, агент требуется, чтобы обеспечивать на рабочих станциях контроль данных в покое (Data-at-rest) и данных в использовании (Data-in-use). Data-in-motion на 95% покрывается на уровне серверов, что не может не радовать.

В теории добавление агентского DLP позволяет не только осуществлять поиск конфиденциальной информации на ПК сотрудников, но и контролировать её обращение в ситуациях, когда машина находится не в сети, или когда информацией активно пользуются. Однако на практике вместе с широкими возможностями агенты несут с собой и массу трудностей.

Проблемы с установкой

Во-первых, агенты очень проблематично разворачивать. Ловушка здесь кроется на пилотных проектах: обычно агенты без проблем устанавливаются на несколько десятков или сотен машин, а вот когда наступает время промышленного внедрения, и тысячи машин должны обзавестись агентскими модулями, начинается самое интересное.

Когда у организации возникают проблемы с установкой DLP-агентов, первым свою дозу негатива, конечно, получает конкретный производитель. Но если пообщаться с опытными ИБ-специалистами, оказывается, что проблема глобальная. Попробуйте поискать что-то вроде «dlp agent not install» или «dlp agent problem». Вы обнаружите сотни страниц форумов, где пользователи жалуются на агентские модули мировых гигантов DLP.

Конфликты с имеющимся ПО

Было время, когда любой приличный антивирус моментально детектировал DLP-агента как вредоносное ПО. Со временем большинству производителей удалось решить эту проблему. Но важно помнить, что чем могущественнее агент и чем больше скрытых функций ОС он использует, тем выше вероятность конфликта.

По рынку некоторое время ходила история про некую организацию в Республике Беларусь, где был установлен антивирус ВирусБлокАда. Чтобы развернуть в организации агентскую часть DLP, вендору пришлось в срочном порядке разрабатывать «интеграционное решение» с данным антивирусным ПО. Поэтому когда вы слышите, что у решения есть интеграция с тем или иным антивирусом, в большинстве случаев имеется в виду не взаимный обмен событиями ИБ, а именно неконфликтность с DLP-агентом.

Контентный анализ на рабочей станции

Агентский модуль вынужден довольствоваться ограниченными ресурсами рабочей станции сотрудника, а она обычно представляет собой офисный десктоп или ноутбук, рассчитанный на работу с документами, почтовый клиентом и браузером. При всём при этом агент должен осуществлять контентный анализ прямо на рабочей станции. Это бьёт по производительности, и особенно сильно – если организация использует «развесистые» политики, нацеленные на защиту больших объёмов конфиденциальных данных, таких как выгрузки из баз данных или графических документов. Вы знаете, как работает OCR на рабочей станции или детектор печатей на большом объёме? Стоит один раз увидеть, чтобы навсегда запомнить.

Ложные срабатывания

В последнее время заметна тенденция к комбинированному использованию различных DLP-систем в одной инфраструктуре. Заказчики собирают лучшие функции от нескольких решений, и потом начинается творческий процесс настройки этого зоопарка. Проблема заключается в том, что разные решения начинают перехватывать один и тот же трафик и слать по 2-3 уведомления на одно и то же событие – конечно, в разные консоли. Разумеется, это приводит к тому, что место в архивах очень быстро заканчивается. И наконец, когда рабочая станция падает, начинается расследование, какой агент в этом виноват.

Агенты поддерживают не все платформы

Идеальная картинка инфраструктуры выглядит так: все пользователи используют одинаковые рабочие станции, например, на Windows 7 или даже на Windows 8, все проблемы совместимости с которой остались в прошлом. Этот идеал редко встречается в реальности, но даже если ваша компания – то самое редкое исключение, на повестке дня уже переход на Windows 10.

Проблема состоит в том, что далеко не все производители могут гарантировать стабильную работу агента с этой ОС. Например, если зайти на официальные ветки сообществ поддержки западных вендоров, можно увидеть большое число жалоб на несовместимость с новым творением Microsoft. Если вспомнить, как компания мастерски выкручивает руки антивирусным производителям, с продуктами которых ОС всё чаще конфликтует, то складывается впечатление, что Microsoft это на руку и скоро они доберутся до остальных endpoint-решений, чтобы навязать свои условия сотрудничества. Пользователям такая нестабильность с поддержкой грозит постоянными обновлениями и внезапными отказами DLP-агентов.

Мобильный агент – лучше убейте

Примерно в 2012 году компания Symantec ознаменовала новую эру развития DLP – предотвращение утечек на мобильных устройствах. Их решение заключалось в том, что iPhone или iPad настроен на работу через VPN-туннель, который направляет весь трафик устройства на сервер DLP, где происходит проверка политик. Что ж, технически все реализовано очень прозрачно. Только вы когда-нибудь пробовали проходить целый день с поднятым VPN? Остаётся только догадываться, как быстро разряжается батарея устройства. Тем более, в данном примере ни о каком агентском DLP на мобильном устройстве речи не идёт. Зная, как резко негативно Apple относится к любым фоновым приложениям, и, уж тем более, к тем, которые вмешиваются в процесс обработки данных, такому агенту не суждено появиться на свет. Неизвестно, почему Symantec не разработал DLP-решение под Android. Возможно, проблема в сегментации операционной системы, и разработчикам будет очень сложно поддерживать разные версии агентов для всех моделей телефонов. Да и для большинства процедур перехвата трафика потребуется рутовать устройство, а далеко не каждый опытный безопасник позволит делать это даже доверенному производителю.

Выводы

Полномасштабное внедрение DLP-системы сложно представить без мониторинга конечных точек. Ограничение на использование USB-носителей, контроль буфера обмена – эти каналы получается контролировать только на стороне агента.

Если же говорить про коммуникационный трафик, то современные технологии позволяют перехватывать почти всё на сетевом шлюзе и прокси-сервере. Даже анализировать SSL-трафик в прозрачном режиме без настроек в свойствах браузера. Поэтому мы рекомендуем всегда разумно подходить к выбору перехватчиков. Слишком часто решение «проще на агенте» оказывается глубоко ошибочным.

Внедрять системы DLP довольно просто, однако настроить их так, чтобы они начали приносить ощутимые выгоды, не так легко. На данный момент при внедрении систем мониторинга и контроля информационных потоков (мой вариант описания термина DLP) чаще всего используют один из следующих подходов:

  1. Классический . При таком подходе в компании уже определена критичная информация и требования по ее обработке, а система DLP только контролирует их выполнение.
  2. Аналитический . При этом в компании есть общее представление о том, что необходимо контролировать распространение критичной инофрмации (обычно конфиденциальной информации), однако поимание потоков информации и необъодимых требований к ним еще не определены. Тогда система DLP выступает в роде инструментария, собирающего необходимые данные, анализ которых позволит четко сформулировать требования по обработке информации, а затем уже и дополнительно, более точно, настроить и саму систему.

Кратко приведу примеры шагов по внедрению DLP, характерных для каждого из подходов..

Классический подход по внедрению DLP :

  1. Определить основные бизнес процессы и проанализировать их . На выходе внеобходимо получить документ "" (иногда это может быть более расширенный перечень, что-то типа рабочего документа "Перечень контролируемой информации ", т.к. например вы хотите контролировать и пресекать в электронной переписке использование ненормативной лексики) и рабочий документ "Перечень владельцев информации". Понимание того, кто является владельцем той или иной информации, необходимо для того, чтобы в последствии определить требования по ее обработке.
  2. Определить основные носители информации и способы передачи. Необходимо понять, на каких носителях может присутствовать контролируемая иноформация в рамках ИТ-инфраструктуры организации. При этом хорошей практикой является разработка таких рабочих докуменов как "Перечень носителей информации " и "Перечень возможных каналов утечки информации ".
  3. Определить требования по использованию информации и сервисов . Часто бывает, что такие требования формулируются в отдельных политиках, например, в документах "Политка использования электронной почты", "Политика использования сети Интернет" и другие. Однако удобнее разработать единую "Политику допустимого использования ресурсов ". В ней имееь смысл указывать требования по следующим блокам: работа с электроной почтой и сетью Интернет, использование съемных носителей; использование рабочих станций и ноутбуков, обработка информации на персональных устройствах (кпк, смартфоны, планшеты и пр.), использование копировально-множительной техники и сетевых хранилищ данных, общение в социальных сетях и блогах, использование сервисов мгновенных сообщений, обработка информации, закрепленнной на твердых носителях (бумага).
  4. Ознакомить сотрудников с требованиями по использованию информации и сервисов, определенными на предыдущем шаге .
  5. Спроектировать систему DLP . С точки зрения технического проектирования, я рекомендую разрабатывать как минимум "Техническое задание " и "Программу и методику испытаний ". также дополнительно пригодятся и такие документы как "", в котором вы должны детально указать то, как система будет фильтравать информацию и реагировать на события и инциденты, и "", в котором Вы зафиксируете роли и границы ответственности за управление DLP.
  6. Внедрить и настроить систему DLP, запустить в опытную эксплуатацию. Первоначально это лучше всего сделать в режиме мониторинга.
  7. Провести обучение персонала, ответственного за управление и обслуживание DLP . На данном этапе Вам желатьльно разработать Комплект ролевых иснструкций по DLP (управление и обеспечение).
  8. Проанализировать итоги и результаты опытной эксплуатации, внести правки (при необходимости), запустить в промышленную эксплуатацию.
  10. Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP .

Аналитический подход по внедрению DLP :

    Спроектировать систему DLP . На данном этапе будет достаточно простого "Технического задания " и "Программы и методики испытаний ".

    Определить и настроить минимальные политики DLP. Нашей задачей является не мониторинг и блокирование любых активностей, а именно сбор аналитической информации о том, какими каналами и средствами пользуются для передачи той или иной корпоративной информации.

    Провести обучение персонала, ответственного за управление и обслуживание DLP. Тут можно использовать стандартные "вендорские" инструкции.

    Внедрить и настроить систему DLP, запустить в опытную эксплуатацию (в режиме мониторинга).

    Проанализировать итоги и результаты опытной эксплуатации. Задача - выявить и проанализировать основные информационные потоки.

    Внести правки (разработать) основные документы, регламентирующие мониторинг и контроль информации, ознакомить с ними сотрудников. Документы "Перечень конфиденциальной информации " и "Политика допустимого использования ".

    Внести правки в настройки DLP, определить процедуру управления и обслуживания DLP, запустить в промышленную эксплуатацию . Разработать документы "Корпоративный стандарт по настройке политик DLP ", "Положение по распределению ролей по управлению и обслуживанию DLP ", "Комплект ролевых инструкций по DLP ".

    Внести правки (при отсутствии, разработать) в процедуру управления инцидентами (или аналоги).

    Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP.

Подходы отличаются, но и тот и другой вполне подходят для внедрения систем DLP. Надеюсь, что представленная выше информация сможет навести Вас на новые удачные мысли по защите информации от утечек.