Построение системы противодействия утечке конфиденциальной информации (DLP)
Системы защиты от утечек данных и инсайдеров (DLP) обеспечивают контроль над распространением конфиденциальной информации за пределы предприятия по всем доступным каналам. DLP-решения (Data Loss, или Leak(age), Prevention) предотвращают несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы организации, пересохранение в альтернативные директории и т.д.) через контроль:
- отправки корпоративной и web-почты (mail.ru, gmail.com и т.п.);
- ftp-соединений;
- передачи мгновенных сообщений (ICQ, MSN, AOL и т.п.);
- печати документов на принтере;
- использования внешних USB-накопителей, CD/DVD, мобильных устройств;
- локальных соединений – Bluetooth, WiFi и т.п.
С развитием технологий увеличивается риск того, что конфиденциальные документы стратегической важности окажутся доступными внешним лицам, причем зачастую не в результате взлома и проникновения, а в результате неосторожных действий и усилий собственных сотрудников компании (инсайдеров). Вступление в силу Федеральных законов № 152-ФЗ «О персональных данных» и № 98-ФЗ «О коммерческой тайне» требует принятия эффективных мер по контролю над доступом и использованием защищаемой информации.
Основные преимущества систем DLP перед альтернативными решениями – продуктами шифрования, разграничения доступа, контроля доступа к сменным носителям, архивирования электронной корреспонденции, статистическими анализаторами – это:
- контроль над всеми каналами передачи конфиденциальной информации в электронном виде (включая локальные и сетевые способы), регулярно используемыми в повседневной деятельности;
- обнаружение защищаемой информации по ее содержимому (независимо от формата хранения, каналов передачи, грифов и языка);
- блокирование утечек (приостановка отправки электронных сообщений или записи на USB-накопители, если эти действия противоречат принятой в компании политике безопасности);
- автоматизация обработки потоков информации согласно установленным политикам безопасности (внедрение DLP-системы не требует расширения штата службы безопасности).
Рисунок. DLP-системы обеспечивают контроль над утечкой информации по сетевым каналам организации и от локальных рабочих станций пользователей.
DLP-решения компаний Symantec, Websense предназначены для предприятий с высоким уровнем централизации информационной инфраструктуры вокруг головного офиса и парком более 500 компьютеров . Они, а также аналогичный DLP-продукт McAfee обеспечивают комплексный контроль над всеми потенциальными путями перемещения конфиденциальной информации.
По итогам внедрения система DLP обеспечивает:
- автоматизированный аудит мест расположения конфиденциальной информации;
- автоматизированный контроль соответствия установленным в компании процедурам перемещений конфиденциальной информации (создание и обработка инцидентов при неправомерном разглашении секретных сведений, с возможностью их предотвращения);
- отслеживание общего уровня рисков (на основе отчетов по инцидентам);
- контроль утечек информации в режиме немедленного реагирования и в рамках ретроспективного анализа;
- приведение уровня информационной безопасности организации в соответствие с рядом требований стандарта PCI DSS.
Системы компаний McAfee, SmartLine, SecurIT позволяют контролировать обработку конфиденциальной информации на рабочих местах сотрудников, не зависят от степени централизации и используются как на небольших, так и на крупных предприятиях. Используемые продукты:
Основная задача, выполняемая системой DLP – снижения бизнес-рисков, связанных с утечкой конфиденциальной информации (интеллектуальная собственность компании, стратегические документы, персональные данные сотрудников и клиентов).
Помимо внедрения технического решения, в компании должны быть выполненные процедуры, связанные с оценкой существующих рисков утечки. Кроме того, внедренная система DLP – не единственное решение которое должно использоваться для защиты от утечек. Прежде всего, должны быть использованы системы шифрования устройств и дисков/файлов (либо использовать Information Rights Management – но все IRM пока чрезвычайно сложны в обслуживании). Затем, должны быть внедрены, собственно, системы DLP (в составе сетевого анализатора и агентов, устанавливаемых на рабочие станции). Дополнительно, в зависимости от специфики документооборота, может быть необходимым использование систем контроля портов и подключаемых устройств к конечным рабочим станциям, а также систем контроля запросов к базам данных.
Все коммуникации продолжают осуществляться, как будто системы DLP не было. Это критично для существующих бизнес-процессов. Во-первых, в каждом проекте внедрения DLP проектируются сценарии отказа системы и процедуры устранения неполадок. В любом случае, максимальная угроза неработоспособности системы – это отсутствие детектирования системой DLP. Во-вторых, системы DLP сами по себе – надежные технологические решения, выпущенные мировыми лидерами рынка информационной безопасности. Symantec, Websense, McAfee, RSA Security, Trend Micro имеют гигантский опыт в создании технически совершенных и производительных систем.
Срок внедрения систем DLP зависит от территориальной распределенности компании, стадии зрелости информационной безопасности, модульному охвату внедряемых компонент. Для средней компании с одним центральным офисом в 1000 человек, срок внедрения системы DLP из полного набора модулей может составить 3-4 месяца.
Стоимость проекта внедрения системы DLP складывается из:
- лицензионной составляющей за технологию, - может вычитаться из бюджета как из капитальных затрат – бессрочные лицензии, так и из операционных – по ежегодной подписке. (В зависимости от набора выбранных компонент, стоимость лицензий может составить от 50 до 250 долларов в пересчете на 1 рабочее место);
- стоимость аппаратной платформы и сопутствующего программного обеспечения (как правило, не более 30% стоимости основной лицензии);
- затраты на услуги консультантов по выполнению проекта внедрения системы (например, полноценный проект внедрения DLP системы с проектированием и разработкой документации, в компании из 1000 сотрудников может обойтись в 0,8-1,5 млн.руб.);
- собственные затраты компании, связанные с вовлечением сотрудников в ходе проекта и последующее сопровождение (по практике для компании с 1000 сотрудников, один сотрудник службы безопасности будет вовлечен на штатную работу с системой DLP 10% своего рабочего времени).
Многие компании уже используют системы, позволяющие снижать риски утечки:
- системы контроля компьютерных портов и подключаемых устройств;
- системы фильтрации web-трафика;
- системы контроля действий пользователя;
- системы архивирования корреспонденции для ретроспективного анализа;
- системы распределения прав доступа к ресурсам;
- системы мониторинга и корреляции событий безопасности;
- системы криптографической защиты;
- антифишинговые решения.
Системы DLP отличаются своей специализированностью на задаче защиты от утечек, что позволяет целенаправленно защитить конфиденциальные данные от утечек по всем каналам передачи информации, практически без вмешательства в существующие бизнес-процессы и в рамках предсказуемого бюджета и сроков.
Наблюдается несколько тенденций:
- Технологические (совершенствование методов опознавания и автоматической классификации информации – «машинное обучение», совершенствование агентской части DLP решений для обнаружения любых локальных манипуляций с защищаемой информацией);
- Интеграционные (объединение возможностей DLP систем с системами шифрования, разделения цифровых прав доступа, инвентаризации, корреляции инцидентов безопасности, решениями фильтрации web-трафика и антивирусными программами);
- Интернационализация решений и наработка базы типовых шаблонов политик безопасности.
Да, даже для небольших компаний с парком в 100 компьютеров на нашем рынке теперь есть продукты (например, McAfee DLP Host), позволяющие запустить DLP-систему за 2-3 месяца при стоимости порядка 20-30 тысяч долларов за весь проект. Да и решения старшего класса (Symantec DLP, Websense DSS) постепенно становятся все более доступными и легкими для внедрения на предприятиях размером менее 500 сотрудников.
Все DLP решения были адаптированы производителями для работы в реальных условиях. Однако у каждой системы DLP есть свои индивидуальные особенности. Именно поэтому LETA предлагает выбрать решение, наиболее подходящее именно задачам заказчика и его инфраструктуре.
Система DLP состоит, как правило, из 3 логических частей: 1) сетевые компоненты, призванные отслеживать перемещение (или хранение) конфиденциальной информации на уровне корпоративной сети; 2) конечные компоненты, устанавливаемые на конечные рабочие станции; 3) платформа управления, объединяющая все компоненты системы и распределяющая политики управления ими.
Системе надо «объяснить», какая информация должна охраняться, указать каналы (e-mail, web-mail, печать, USB-накопители и т.д.), которые надо контролировать и задать правила реакции на случай обнаружения утечки. Причем правила реакции могут включать очень широкий спектр действий: запись информации в журнал инцидентов, блокирование отправки письма, остановка пакета на печать, уведомление отправителя или офицера безопасности, перемещение конфиденциальной информации в зону карантина.
DLP созданы таким образом, чтобы не затрагивать действующие бизнес-процессы.
Для подготовки к внедрению DLP желательно выполнить несложную организационную подготовку:
- выполнить качественную оценку рисков в применении к перемещениям конфиденциальной информации (в каких бизнес-процессах какими сотрудниками осуществляется доступ и перемещение по каким каналам какого рода информации)
- составить перечень (рубрикатор) типов конфиденциальной информации. Этот рубрикатор ляжет в основу создания системы DLP
- описать (письменно) политику использования конфиденциальной информации. Политика опять же ляжет в основу внедряемой DLP системы.
- провести инструктаж сотрудников и заключить (если не было) приложение к трудовому договору о конфиденциальности.
- сформировать собственные требования к системе DLP и прочим системам борьбы с утечками.
Далее можно оценить предложенные на рынке решение на соответствие своим требованиям.
Внедренная в компании система DLP предназначена для контроля над соблюдением правил информационной безопасности всеми офисными сотрудниками компании, имеющими правомерный доступ к конфиденциальным сведениям компании.
Внедрением системы DLP со стороны Заказчика, как правило, руководит служба информационной безопасности. ИТ-служба подключается для настройки технического взаимодействия системы с компонентами инфраструктуры. Желательно участие руководителей структурных подразделений для уточнений корректив в характеристики защищаемой информации.
Пользователями возможностей, предоставляемых системой DLP (систематизированная информация о перемещении и хранении защищаемой информации) является служба информационной безопасности компании, и, конечно, руководство компании.
При соответствующем техническом обучении специалистов – возможно. Привлечение внешнего консультанта позволяет реально оптимизировать и сроки и затраты на установку системы DLP.
Дело в том, что DLP-система – это не технический сервис, а решение для бизнеса. В числе прочих мер, ее внедрение требует подготовки рубрикатора конфиденциальной информации, ревизии матрицы доступа, написания процедуры разбора инцидентов. Провести это все вне рамок полноценного проекта невозможно.
Все крупные DLP-системы корпоративного класса, такие как решения от Symantec, Websense, RSA Security, McAfee, InfoWatch, состоят из отдельных модулей. Как правило, это отдельный модуль контроля почтовых отправлений и web-соединений, отдельный модуль, позволяющий не только отслеживать, но и блокировать отправки, отдельный модуль слежения за действиями на конечной станции и т.д. Оптимальный подход как раз заключается в поэтапном внедрении выбранных модулей, последовательно закрывая все каналы утечек. Кроме того, совершенно необязательно сразу ставить цель покрыть все филиалы и контролировать все конфиденциальные документы. По нашей практике, многие начинают с одного офиса, нескольких тысяч документов и отдельных баз данных.
В ходе внедрения компания вместе с консультантами исполнителя проходит несколько этапов:
- Подготовительный, включающий в себя аудит текущего состояния ИБ и сопряженной ко внедрению системы части инфраструктуры;
- Техническое внедрение системы и настройка начального набора политик;
- Разработка комплекта документации, включая регламенты работы и инструкции по обслуживанию системы ;
- Опытная эксплуатация, в течение которой проходит функциональное и нагрузочное тестирование системы, уточняются политики, система вводится в промышленную эксплуатацию.
Основная задача, выполняемая системой DLP – снижения бизнес-рисков, связанных с утечкой конфиденциальной информации (интеллектуальная собственность компании, стратегические документы, персональные данные сотрудников и клиентов)
Срок внедрения систем DLP зависит от территориальной распределенности компании, стадии зрелости информационной безопасности, модульному охвату внедряемых компонент. Для средней компании с одним центральным офисом в 1000 человек, срок внедрения системы DLP из полного набора модулей может составить 3-4 месяца.
В ходе внедрения компания вместе с консультантами исполнителя проходит несколько этапов:
- Подготовительный, включающий в себя аудит текущего состояния ИБ и сопряженной ко внедрению системы части инфраструктуры;
- Техническое внедрение системы и настройка начального набора политик;
- Разработка комплекта документации, включая регламенты работы и инструкции по обслуживанию системы ;
- Опытная эксплуатация, в течение которой проходит функциональное и нагрузочное тестирование системы, уточняются политики, система вводится в промышленную эксплуатацию.
Все крупные DLP-системы корпоративного класса, такие как решения от Symantec, Websense, RSA Security, McAfee, InfoWatch, состоят из отдельных модулей. Как правило, это отдельный модуль контроля почтовых отправлений и web-соединений, отдельный модуль, позволяющий не только отслеживать, но и блокировать отправки, отдельный модуль слежения за действиями на конечной станции и т.д. Оптимальный подход как раз заключается в поэтапном внедрении выбранных модулей, последовательно закрывая все каналы утечек. Кроме того, совершенно необязательно сразу ставить цель покрыть все филиалы и контролировать все конфиденциальные документы. По нашей практике, многие начинают с одного офиса, нескольких тысяч документов и отдельных баз данных.
|
