Dlp-система требования

Вы также можете следить за нашими публикациями в социальных сетях:

DLP-система в 2019 и её задачи

Осознание того, что данные компании надо защищать рано или поздно приходит к руководителям любой организации. Сейчас уже мало кто будет отрицать, что защита информации стала уже не просто желанием, а настоящей необходимостью. Наиболее надежным способом защиты корпоративных данных являются DLP-системы.

Приняв решение о внедрении такой системы, чаще всего организации опираются на две причины: DLP-системы эффективны и их использование, пусть косвенно, но рекомендовано регулирующими органами.

Но при этом, системы для защиты информации бывают разные, и поэтому к их выбору надо подходить максимально серьезно. Во многом выбор DLP (Data Loss Prevention) похож на примерку дорогого смокинга, а для того, чтобы система для защиты информации «идеально села» необходимо ее «примерить и подогнать по фигуре». Для систем DLP подобной подгонкой можно считать предварительное тестирование продукта в компании возможного покупателя.

Именно пилотное тестирование может полностью раскрыть все преимущества той или иной системы и дать заказчику представление о том, подходит ли ему то или иное решение, или нет.

И даже если все разработчики уверяют потенциальных клиентов в том, что именно их системы являются наиболее надежными и качественными, лишь действительно эффективный DLP-продукт может «сесть как влитой».

Аналитики компании Falcongaze на основе анкет, заполненных компаниями, использующих DLP-систему SecureTower, решили проанализировать, какие возможности раскрылись перед компаниями с началом использования системы для защиты данных. Также специалисты из аналитического отдела попросили клиентов компании описать те затруднения, с которыми чаще всего сталкиваются компании на этапе инсталляции систем для защиты информации.

Если говорить о незаметных преимуществах DLP-систем в 2018 году, то многие из респондентов соглашаются с тем, что дополнительные функции DLP-системы могут быть настолько же нужными, как и главный функционал решений.

«Работоспособность персонала значительно повысилась»

Немало сотрудников, которые участвовали в анкетировании Falcongaze, согласились с тем, что внедрение системы для защиты данных и информирование сотрудников об установке DLP привели к тому, что работоспособность персонала значительно возросла, а время, затраченное на посторонние дела, уменьшилось. Можно сказать, что система для защиты данных является своего рода инструментом, который побуждает сотрудников более ответственно относиться к своим обязанностям.

«DLP-системы помогают HR-менеджерам»

Большое количество сотрудников опрошенных компаний заявили, что инструменты системы для защиты информации высоко оценили HR-менеджеры. Менеджеры по персоналу отмечают, что функции системы SecureTower позволяют проанализировать и повысить социальный климат организации. Также стало возможным выявить работников, негативно влияющих на своих сослуживцев и мешающих работе всего коллектива.

«Хорошо, когда можно быстро просмотреть любой документ из деловой переписки»

Также многие отмечали, что система для информационной безопасности и защиты информации может быть очень нужной в случаях, когда необходимо оперативно найти и изучить предшествующие деловые письма, или же отыскать отправленные ранее документы.

Поскольку DLP-системы перехватывают всю информацию и способны сохранять ее бесконечно долго, появилась возможность находить быстро все необходимые документы среди перехваченного контента. В дополнение к этому работники, ответственные за обеспечение безопасности в компаниях говорят, что подобный функционал позволяет в несколько раз экономить время, которое затрачивается на расследование того или иного инцидента, который может быть связан с возможной утечкой данных.

«Смерть Спам-ботам!»

Порой получатся так, что авторы программы сами не способны предсказать, когда и где может пригодиться их разработка. Так получилось с системой SecureTower, которая помогла выявить рабочие станции, с которых производилась рассылка спама. Такая вот альтернативная история похожая на известную легенду о прохладительном газированном напитке, который содержит кофеин.

Однако, как бы ни хотелось, даже столь разнообразные преимущества систем для защиты информации не могут умалить того, что использование таких систем всегда связано с некоторыми затруднениями, которые способны подпортить кровь, если к их преодолению не подойти с должной серьезностью.

В следующей части своего исследования сотрудники аналитического отдела составили список самых распространенных трудностей, которые вставали перед компаниями во время подготовки к установке системы для защиты данных.

«DLP — это здорово, но слишком затратно»

Многие директора и топ-менеджеры компаний пребывают в твердой уверенности, что DLP-система представляет собой разновидность антивируса, а значит и стоимость его должна быть примерно такой же. Подобное убеждение является абсолютно неправильным, поскольку любая система для защиты данных — это инструмент, который оберегает компанию от широкого спектра рисков. К тому же, как оказывается на практике сейчас можно подобрать качественную DLP-систему по весьма разумным ценам, ну и забывать о том, что утечка информации может стоить в разы дороже, тоже не стоит.

«Мы не готовы к установке DLP»

Еще одна ситуация, когда внедрение системы для обеспечения безопасности связано с серьезными трудностями – это неготовность компании к установке такой системы. Другими словами порой случается так, что в организации нет человека, который бы занимался обеспечением информационной безопасности. Очевидно, что при таких условиях начало внедрения DLP-решения может быть отодвинуто на неопределенный срок.

«А подглядывать — нехорошо»

Серьезным аргументом «против» DLP-систем может стать вопрос этики. Руководители некоторых компаний уверены, что системы для защиты информации нарушают фундаментальные права сотрудников. На первый взгляд такая позиция может показаться даже благородной, однако, как уже повторялось ни один раз, самое большое количество утечек случается исключительно из-за халатности персонала. Кроме этого функционал DLP не подразумевает обязательное отслеживание личной переписки переводчицы Леночки с тестировщиком Юрой. DLP-системы создавались для выполнения абсолютно других задач, а именно для контроля данных и выявления случаев утечки информации. По этой причине сравнение DLP-систем с злостным и беспардонным надзирателем похоже на мнение, что хорошие костюмы носят только высокооплачиваемые убийцы.

«Эффективность DLP-систем – это маркетинговая уловка»

Порой приходится слышать, что эффективность DLP-систем – это миф, придуманный маркетологами. Тем не менее, чаще всего такое мнение разделяют компании, которые не в полной мере понимают алгоритмов работы систем для защиты информации. Но как ни крути, человека, убежденного в своей правоте переубедить если не невозможно, то достаточно сложно. Поэтому гораздо лучше продемонстрировать на практике, как работает по-настоящему качественная система для защиты данных.

Однако слепая вера в то, что DLP-система будет волшебным лекарством от всех трудностей компании, тоже является неправильной и как минимум наивной. DLP-решение – это инструмент, который в совокупности с определенными организационными мерами и правильной настройкой и использовании, способен вывести информационную и экономическую безопасность компании на новый, более высокий уровень.

«Ради DLP-системы придется перекроить всю корпоративную сеть»

Как и в вопросе о ценах на DLP-системы, многие представители компаний думают, что внедрение в корпоративную сеть системы для защиты данных всегда связанно с глобальным переоборудованием корпоративной сети.

Однако на самом деле качественная система никогда не будет требовать замены всего оборудования. Современная DLP-система может максимально легко встраиваться в уже существующую сеть.

Если производитель действительно уважает своего заказчика, то, как и хороший портной, он не заставит его в угоду своим потребностям заставлять своего покупателя выбрасывать весь его гардероб ради одной, пусть и качественной, обновки.

Думать, тщательно взвешивая все «за» и «против», можно бесконечное количество времени, равно как и проводить сутки напролет за теоретизированием на любую заданную тему. Именно по этой причине, долгие размышления лучше поменять на действие: подняться на крыльцо портняжной лавки, зайти внутрь, и попросить портного изготовить пиджак «по фигуре».

Вы также можете следить за нашими публикациями в социальных сетях:

Внедрение DLP: требования законов и регуляторов к системам информационной безопасности

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.

Читайте так же:  Проживание мужа без прописки у жены

Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2016 года:

3.04 миллиона случаев утечки данных в сутки;
126,936 случаев утечки данных в час;
2,116 утечек данных в минуту;
35 случаев утечки данных каждую секунду.

Но это еще не все: по сравнению с прошлым полугодием, случаи утечек конфиденциальных данных увеличились на 31% – с 424 млн до 554 млн. Впечатляющие цифры, не правда ли?

Поэтому, внедрение средств защиты информации преследует следующие цели:

Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами;
Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов;
В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?

Проведите внутреннее исследование

Оцените, в каком состоянии находятся ваши бизнес-процессы на сегодняшний день и какие доработки необходимо произвести в области регулирования информационной безопасности внутри компании:

— изучите имеющуюся организационно-распорядительную документацию;

— согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;

— дайте оценку информационным ресурсам компании, распределите их по категориям:

1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.

2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.

Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.

Разработайте нормативную документацию

На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

1) произведения науки, литературы и искусства;

2) программы для ЭВМ;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау)

15) наименования мест происхождения товаров;

Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

— разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;

— ознакомление всех сотрудников компании с содержанием регламента под роспись.

Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.

Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

• все средства коммуникации, переданные в пользование сотруднику, предназначены только для выполнения должностных обязанностей;
• владельцем электронной почты и абонентом телефонной сети является организация, таким образом, они предоставляются работнику во временное пользование в период выполнения служебных обязанностей.

Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего это нужно? Контроль над рабочей деятельностью — это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга — это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP-системам

Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.

Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:

Читайте так же:  Конструктивные требования к программе

Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).

Для выполнения требований, функционал современной DLP-системы должен предусматривать:

выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;
выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;
выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;
контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;
в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.
Для чего это нужно?

Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.

Не останавливайтесь на достигнутом

DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. — должны быть также зафиксированы и отражены в DLP-системе.

Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.

Какой должна быть DLP?

Какой должна быть DLP?

Какой должна быть DLP?

Что требуют клиенты

Для наших клиентов DLP-система является одним из инструментов управления рисками информационной безопасности. С одной стороны, этот подход ставит задачей DLP-систем снижение бизнес-рисков, связанных с утечками данных ограниченного доступа. С другой стороны, организациям необходимо минимизировать расходы на приобретение и эксплуатацию таких систем (Total Cost of Ownership – TCO). Оба требования важны, и их сбалансированная реализация обеспечивает управляемость рисками ИБ.

Настоящая статья посвящена тем основным бизнес-критериям и требованиям при выборе DLP-системы, которые определяют ее функциональные возможности предотвращать утечки данных. Критерии и требования, влияющие на совокупную стоимость владения (TCO) системами DLP, будут рассмотрены во второй статье цикла.

Использование управления рисками как парадигмы выбора технического решения предполагает формирование нескольких ключевых критериев бизнес-уровня, используемых затем для выработки основных функциональных требований к DLP-системам.

У организаций-клиентов «Смарт Лайн» ключевые бизнес-критерии выбора DLP базируются на следующих положениях:

• В целях минимизации возможных утечек данных DLP-решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угрозы утечки информации.

• Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз.

• Для каждого защищенного канала превентивный контроль должен быть как можно более полным, эффективным и надежным. Полнота контроля прямо зависит от того, все ли возможные варианты механизмов утечки данных для этого канала находятся под контролем или только некоторые из них. Эффективность DLP-решений определяется их производительностью. Наконец, надежность в контексте DLP означает защищенность от вмешательства пользователя в работу решения – т.е. защиту от преднамеренных или случайных действий пользователя, направленных на прекращение нормальной работы DLP-системы или изменение заданных службой ИБ политик контроля.

•l Поскольку полностью избежать инцидентов с утечками данных невозможно в принципе, выявленные инциденты должны быть проанализированы для выявления нарушителей, а обстоятельства и факторы возникновения должны быть учтены для разработки соответствующих мер противодействия в дальнейшем. Не менее важным является и анализ предотвращенных попыток противоправных действий с корпоративными данными. Возможность облегчения и автоматизации этих процессов является еще одним ключевым фактором для DLP-решения.

Каждый из перечисленных высокоуровневых критериев может быть связан с функциональными требованиями к DLP-решениям.

Наиболее значимые утечки связаны с инсайдерами

Наши клиенты видят наибольшую угрозу утечки данных в процессах обработки данных ограниченного доступа пользователями корпоративных ИС (включая сотрудников, подрядчиков, партнеров и др.) в ходе выполнения их рабочих задач.

Почему же корпоративные инсайдеры создают так много проблем? По той причине, что, с одной стороны, именно они создают, используют и хранят конфиденциальную информацию. Но с другой стороны, человеческая природа неизменна, и инсайдеры так и будут допускать случайные ошибки, будут любознательными, небрежными. Будут намеренные проступки. Будут продажи корпоративных секретов. Наконец, будут жертвы социальной инженерии (например, фишинга).

Во всех этих случаях действия инсайдера могут повлечь утечку данных: например он может скопировать конфиденциальную информацию на съемный накопитель, переслать по электронной почте другому получателю, залить на файлообменный облачный сервис с открытым доступом «для всех».

Рынок и отраслевая статистика полностью подтверждают мнение наших клиентов – большинство зарегистрированных случаев утечки данных действительно связаны с инсайдерами. Важно отметить, что не все инциденты были инициированы самими инсайдерами – но многие утечки стали возможными благодаря внешним факторам, в том числе социальной инженерии и взлому.

Бизнес также требует, чтобы все эти DLP-функции в равной степени защищали не только пользователей внутри корпоративного периметра (в офисе), но и работающих вне офиса – в путешествии, дома или в отпуске.

Ключевой посыл, который мы слышим от наших клиентов, – «самое важное, что должно уметь DLP- решение – это остановить инсайдерские утечки данных в любом сценарии».

Превентивный контроль: качество, эффективность и надежность

Качество превентивных DLP-контролей в канале потенциальной утечки зависит от их полноты – т.е., насколько много возможных вариаций, механизмов и сценариев утечки предотвращает DLP-система в данном канале передачи данных. Вот несколько примеров, поясняющих критичность полноты контроля:

  • SMTP-почта: инспекция содержимого (контента) исходящих сообщений и вложений для любого почтового SMTP-клиента, а не только для MS Outlook, Thunderbird и IBM/Lotus Notes;
  • Web-почта: инспекция контента исходящих сообщений и вложений при использовании любого Web-браузера, а не только Internet Explorer, Firefox и Chrome;
  • Instant Messengers: инспекция контента не только отправляемых файлов, но и исходящих сообщений.

Для эффективного предотвращения утечек данных необходимо, чтобы как контекстные, так и контентно-зависимые механизмы могли быть гибко и вариативно использованы в DLP-политиках. Проще говоря, первоначально разрешенное использование различных каналов передачи данных (контекст передачи) должно быть ограничено до приемлемого минимума, не нарушающего бизнес-процессы. И уже затем для блокировки передачи данных, утечка которых недопустима, используется проверка содержимого – контентная фильтрация.

При этом также следует иметь в виду, что даже самая высококлассная DLP-система будет бесполезной, если не может защитить сама себя от умышленных действий инсайдера, направленных на вмешательство в работу DLP или ее остановку. Поэтому наши клиенты требуют, чтобы DLP-система обеспечивала надежную защиту от вмешательства пользователей, в том числе с правами локальных администраторов.

Читайте так же:  Кулакова о.В нотариус

DLP для аудита и инцидент-менеджмента в ИБ

Для обеспечения аудита событий информационной безопасности и расследования инцидентов, связанных с утечками данных, DLP-решение должно обладать эффективной подсистемой журналирования, теневого копирования и тревожного оповещения.

При этом такая подсистема должна обладать следующими качествами:

  • централизация и высокая доступность, обеспечиваемая поддержкой множества серверов и отказоустойчивой централизованной базой данных;
  • автоматический сбор данных в централизованную БД, адаптивный к изменениям в сетевом окружении и текущей доступности инфраструктурных компонентов DLP-системы;
  • создание полных копий объектов данных, нарушающих DLP-политики и вызвавших срабатывание функций предотвращения утечки;
  • тревожные оповещения для корпоративных SIEM-систем и администраторов безопасности о значимых событиях в режиме реального времени;
  • наличие инструментария для облегчения анализа собранных данных.

Здесь хотелось бы особо отметить, что наличие множества аналитических инструментов, выполненных в высококачественной графике и позволяющих рисовать разные «картины» и «досье», будет бесполезным, если им будет нечего анализировать или анализ будет строиться по ограниченному набору контролируемых каналов передачи данных.

Важно не особенное, а необходимое

Подводя заключение к вышеприведенным ключевым функциональным требованиям к DLP-решениям, определенным нашими клиентами, следует сказать, что ничего экзотического в основных требованиях нет, это типичные требования для DLP-индустрии от корпоративного рынка.

Главное для клиентов – чтобы все аккуратно сформулированные ими по принципу «ничего не забыть» основные функциональные требования к DLP-решению были полностью поддержаны в выбранном продукте, доступном на рынке в уже реализованном виде, а не в перспективе или с оговорками. Однако реальность далека от идеала – многие предлагаемые DLP-системы не удовлетворяют требованиям полностью. И здесь с удовлетворением хочу заметить, что наш продукт – DeviceLock DLP – удовлетворяет этим основным требованиям с высокой степенью полноты.

Этапы внедрения
DLP-системы

С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.

Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:

  • определение критической информации, которая подлежит защите;
  • разработку политики конфиденциальности;
  • настройку бизнес-процессов для решения вопросов информационной безопасности.

Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.

Классификация систем защиты

Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).

Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP – удовлетворительная функциональность и невысокая стоимость. Среди минусов – низкие производительность, масштабируемость, устойчивость отказов.

У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.

При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.

Функции мониторинга и анализа – важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».

С технической точки зрения современные DLP-решения во многом совпадают. Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.

Подходы к внедрению и настройке

Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.

Классический подход означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.

Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков.

Защита от утечки информации (DLP-система)

Особую актуальность DLP-системы имеют в рамках реализации средств защиты информации в соответствии с нормативными требованиями, определяемыми Федеральными законами №152-ФЗ о защите персональных данных, №98-ФЗ о коммерческой тайне, № 149-ФЗ об информации и защите информации. Обязательного требования о применении DLP-систем нет, но они позволяют выполнить ряд нормативов проще и с большим запасом.

Любая организация имеет документы с ограниченным доступом, содержащие ту или иную конфиденциальную информацию. Их попадание в чужие руки крайне нежелательно и может вызвать существенный финансовый, репутационный или конкурентный ущерб. Зачастую риск распространения документов связан не столько с возможностью внедрения и взлома информационных систем похищением извне, сколько с неосторожными или злонамеренными действиями сотрудников компании. Именно на такие действия приходится до 80% всех утечек критически важной секретной информации. В мировой практике есть случаи, когда утечка по инсайдерским каналом приводила к таким потерям бизнеса, что компании навсегда прекращали свое существование, а публичные персоны навсегда теряли доверие и репутацию. Для предотвращения влекущих серьезные последствия инцидентов стоит обратиться к разработанным методологиям внедрения систем класса DLP.

DLP (Data Loss Prevention) — система обеспечивающая защиту от утечек данных и действий инсайдеров, производящая защиту и обеспечение контроля над распространением конфиденциальной информации за пределы корпоративной информационной инфраструктуры. Основываясь на анализе трафика и контроля использования защищаемой информации, мониторинга каналов возможных утечек, DLP в достаточной мере позволяет гарантировать то, что важные данные не покинут пределы компании.

Особую актуальность DLP-системы имеют в рамках реализации средств защиты информации в соответствии с нормативными требованиями, определяемыми Федеральными законами №152-ФЗ о защите персональных данных, №98-ФЗ о коммерческой тайне, № 149-ФЗ об информации и защите информации. Обязательного требования о применении DLP-систем нет, но они позволяют выполнить ряд нормативов проще и с большим запасом.

DLP-системы обеспечивают отслеживание и пресечение следующих действий с защищаемыми документами:

  • Копирование как целиком документов, так и фрагментов содержащейся в них информации
  • Изменение документов, их атрибутов, содержащейся информации
  • Пересохранение копий документов
  • Попытки сделать скриншот документа
  • Отправка документов или информации корпоративную электронную почту
  • Отправка документов или информации через веб-сервисы электронной почты
  • Передача документов или информации через веб-мессенджеры и социальные сети
  • Публикация документов или информации через веб-интерфейсы
  • Печать документов на принтере
  • Доступ к документам через ftp-соединения
  • Копирование документов на любые внешние накопители – диски, флеш-накопители, на мобильные устройства
  • Передача документов через сетевые соединения, включая беспроводные Bluetooth и Wi-Fi
  • Передача документов в облачные хранилища

В рамках функциональных возможностей такие внедрения имеют ряд преимуществ перед иными средствами и методами защиты информации – шифрованием, системами разграничения доступа и пр., а именно:

  • Осуществление контроля всех возможных каналов и способов передачи информации в электронном виде
  • Контроль содержимого, а не документов, используя контентный анализ, анализ по словарям, лингвистический анализ, анализ транслитерации и многоязыковой анализ, выявление замаскированного текста и т.п. Это позволяет обнаружить информацию вне зависимости от видов и форматов ее хранения, передачи и способов сокрытия.
  • Автоматическое реагирование и пресечение обнаруженной утечки – интерактивное блокирование канала утечки (копирования, передачи, распечатки и т.п.), а не просто детектирование действий.

DLP система может быть развернута в ИТ-инфраструктуре любого масштаба и сложности, она легко масштабируется без ущерба функциональным возможностям, работает в автономном режиме. Внедрение решения позволит:

  1. Полностью контролировать использование конфиденциальной информации на всех этапах ее жизненного цикла, включая места хранения, применение, соблюдение принятый политик работы с ней.
  2. Обеспечить надежную защиту от распространения конфиденциальной информации за пределы организации, немедленно пресекать соответствующие инциденты.
  3. Повысить эффективность и безопасность использования конфиденциальной информации на основе аудита и собираемой статистики.
  4. Повысить общий уровень информационной безопасности компании, выполнить требования регулирующей нормативной документации.

«АСТ» внедряет решения для защиты от утечек конфиденциальной информации целого ряда производителей в зависимости от функциональных потребностей и масштаба организации: InfoWatch, SolarDozor, McAfee, WebSense.

Dlp-система требования