Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.
Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.
Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:
Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?
Поэтому, внедрение средств защиты информации преследует следующие цели:
Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?
Изучите имеющуюся организационно-распорядительную документацию;
Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;
Дайте оценку информационным ресурсам компании, распределите их по категориям:
1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.
2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.
Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.
Разработайте нормативную документацию
На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:
1) произведения науки, литературы и искусства;
2) программы для ЭВМ;
3) базы данных;
7) изобретения;
8) полезные модели;
9) промышленные образцы;
10) селекционные достижения;
11) топологии интегральных микросхем;
12) секреты производства (ноу-хау)
15) наименования мест происхождения товаров;
Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.
И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.
Для чего это нужно? Приведем наглядный пример из судебной практики:
28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)
Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.
При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.
Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.
Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:
Разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;
Ознакомление всех сотрудников компании с содержанием регламента под роспись.
Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.
Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:
Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.
Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.
Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).
Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.
Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.
Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.
Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».
Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.
Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:
Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);
Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;
Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.
В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).
Для выполнения требований, функционал современной DLP-системы должен предусматривать:
Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:
Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.
DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны быть также зафиксированы и отражены в DLP-системе.
Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.
08.10.2018, Пн, 10:49, Мск
Полноценная гибридная DLP-система позволяет обеспечить надежную защиту от утечек данных и мониторинг сетевого трафика на широчайшем спектре каналов передачи данных. В основе этих возможностей лежит эффективное использование сильных сторон сетецентричной и endpoint DLP-архитектур в различных сценариях и в разных постановках задачи предотвращения и контроля за утечками данных.
В большинстве DLP-систем на российском рынке определяющим элементом выступает сервер перехвата сетевого трафика, как правило, работающий в пассивном режиме. В таких системах практически всегда присутствует endpoint-агент для решения несовместимых с контролем трафика на уровне шлюза задач – контроля устройств и некоторых веб-сервисов и протоколов. Однако, наличие агента – еще не признак полноценной гибридной DLP, это всего лишь разнесение разных функций контроля по разным компонентам.
Ключевая задача серверного DLP-компонента, работающего с копией сетевого трафика организации в целом, состоит в контроле использования сотрудниками сетевых каналов передачи данных при нахождении пользователя внутри корпоративного периметра, включая сбор доказательной базы, обнаружение ИБ-инцидентов. В то же время endpoint-агенты гибридного DLP-решения призваны решать задачу контроля за использованием съемных накопителей, канала печати, сетевых приложений с проприетарном шифрованием. В этих задачах применяется контентная фильтрация в режиме реального времени для всех потенциальных каналов утечки данных в DLP-системах, претендующих на звание полнофункциональных агентов.
Первым таким примером гибридной DLP на российском рынке является обновленная версия DeviceLock DLP 8.3, дополненная серверным модулем DeviceLock EtherSensor. Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности. Это мониторинг сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижение нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей. Например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.
Типовые сценарии
Рассмотрим несколько типовых сценариев использования DeviceLock DLP как гибридной DLP-системы. Весьма распространенный сценарий, когда полноценный контроль сетевого трафика с блокировкой передачи данных невозможен или неприменим. Такая ситуация возникает при использовании в корпоративной сети гостевых компьютеров и мобильных устройств, а также для рабочих станций под управлением ОС Linux и MacOS. Кроме того, перехват и анализ сетевых коммуникаций непосредственно на рабочих станциях может быть невозможным или чрезмерно ресурсоемким на рабочих станциях со слабыми вычислительными мощностями. Решение задачи контроля сетевого трафика в таком сценарии обеспечивается перехватом и анализом трафика на уровне сети – прослушиванием трафика с зеркальных портов сервера, интеграцией с NGFW-устройствами и прокси-серверами, другими методами, не требующими установки агента на рабочих станциях, что с успехом обеспечивается сервером EtherSensor. При этом задача DLP-контроля периферийных устройств и портов рабочих станций выполняется агентом DeviceLock (на операционных системах Windows и MacOS), а в базе данных сервера DeviceLock Enterprise Server для централизованного анализа собираются события и данные как от EtherSensor в части объектов сетевого трафика, так и от агентов DeviceLock в части контроля устройств.
Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных
Второй типичный сценарий – мониторинг сетевых коммуникаций при недопустимости блокировки передачи данных по сети. В некоторых организациях задача контроля сетевого трафика ограничивается протоколированием и анализом архива перехваченных данных вследствие ряда факторов. Например, для реализации полноценного DLP-контроля с блокировкой утечки данных ограниченного доступа недостаточно ресурсов службы ИБ, или пассивный контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сетевого периметра, или руководство опасается риска вмешательства в выстроенные бизнес-процессы с сетевым обменом информацией. Известны случаи, когда организация не оценивает риски утечки данных как критичные для бизнеса, или, наконец, нет возможности классифицировать конфиденциальные данные либо определить критерии детектирования данных ограниченного доступа для применения механизмов контентной фильтрации и предотвращения утечки таких данных.
В таком сценарии использования DeviceLock DLP организация получает в свое распоряжение традиционную DLP-систему Enterprise-уровня, способную отслеживать и анализировать трафик на очень больших потоках (вплоть до анализа трафика от сотен тысяч сотрудников) с низкими затратами на развертывание и текущую эксплуатацию, а также незначительными требованиями по техническому оснащению. Решение в данном сценарии полностью соответствует предыдущему сценарию, но с той разницей, что при появлении необходимости обеспечить блокировку недопустимых попыток передачи данных ограниченного доступа, либо появляется понимание критериев выявления конфиденциальных данных и возможность использования контентной фильтрации. В таком случае данный сценарий перетекает уже в другую вариацию – применения полноценной гибридной DLP-системы для отдельных сотрудников, подразделений или в масштабах всей организации.
Сложные сценарии
Дальнейшее развитие логики комбинирования возможностей агентов DeviceLock и сервера EtherSensor приводит нас к более сложным в воплощении, но при этом намного более эффективным для предотвращения утечек конфиденциальных данных сценариям.
Прежде всего, это сценарий, предусматривающий раздельный контроль сетевых коммуникаций, когда в зависимости от текущего статуса подключения к корпоративной сети (доступность локального сетевого подключения, доступность контроллера домена, доступность DLP-сервера) может варьироваться степень актуальности доступа к корпоративной информации. Для решения подобных задач необходим гибкий подход к реализации защиты информации от утечек. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика (различных комбинаций правил и параметров контроля) в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий, раздельный контроль сетевых коммуникаций пользователей. Например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени в целях предотвращения утечки конфиденциальной информации, а инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor. При переключении агента DeviceLock на защищаемой рабочей станции в офлайн-режим происходит автоматическое переключение политик на максимально необходимый уровень контроля сетевых коммуникаций с учетом возможной недоступности исходящего сетевого трафика с рабочей станции для сервера EtherSensor.
В результате раздельного контроля с применением автоматического переключения онлайн и офлайн-режимов в агенте DeviceLock с мониторингом трафика на уровне сервера EtherSensor достигается полноценный контроль сетевых коммуникаций вне зависимости от местонахождения и способа подключения к сети Интернет контролируемых компьютеров. Такой подход будет особенно продуктивным для контроля мобильных сотрудников, использующих ноутбуки и лэптопы для работы вне офиса.
Еще эффективнее будет сценарий селективного контроля сетевых коммуникаций. Благодаря совместному использованию функциональности endpoint-агента и технологий серверного перехвата сетевого трафика достигается вся полнота возможностей гибридной системы. Это наиболее мощный сценарий контроля сетевых коммуникаций из всех возможных на сегодня.
В таком сценарии наиболее критическая часть сетевых приложений, рассматриваемых как потенциальные каналы утечки конфиденциальных данных (например, мессенджеры с возможностью передачи файлов), равно как и локальные порты и устройства, контролируются агентом DeviceLock. В режиме реального времени агент анализирует содержимое процессов передачи данных ограниченного доступа (также на уровне агента, «в разрыв»). По результатам принимается решение о допустимости передачи, либо о создании теневой копии для значимых для целей расследования инцидентов, либо о направлении тревожного оповещения по факту срабатывания DLP-правила. Контроль прочих сетевых коммуникаций, рассматриваемых как имеющие меньшую степень риска с точки зрения противодействия утечки данным (когда для решения задач информационной безопасности достаточно мониторинга и анализа переданных данных, например, для серфинга веб-сайтов и сервисов поиска работы) выполняется сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра. Кратко говоря, данную модель контроля сетевого трафика можно описать как «Мониторинг всего трафика (EtherSensor) + Селективная блокировка недопустимых попыток (агент DeviceLock DLP)». Что важно, политики включения или отмены блокировки любых сетевых протоколов и сервисов как на уровне контекста, так в контентно-зависимых правилах, могут быть изменены и применены службой ИБ в любое время без перезагрузки пользовательских рабочих станций и без участия пользователя.
В таком сценарии достигается качественный баланс возможностей и рисков: риски, связанные с блокировкой, делегируются агентам на защищаемых компьютерах, при этом задачи мониторинга сетевого трафика и детектирования событий безопасности по всей сети в целом поручаются серверу EtherSensor.
Если пойти дальше, можно рассмотреть – и достаточно легко реализовать! – наиболее мощный сценарий использования современной гибридной DLP-системы, когда помимо возможностей разделения уровней контроля (мониторинга и блокирования передачи данных) между агентом и сервером DLP-системы DeviceLock DLP, добавляется избирательный подход для различных пользователей и групп пользователей, либо для разных компьютеров и групп компьютеров.
В таком варианте полнофункциональные агенты DeviceLock выполняют непосредственно и только на защищаемых рабочих станциях все DLP-функции (контроль доступа, протоколирование, тревожные оповещения) и только для указанных пользователей и групп пользователей. Сетевая активность пользователей и групп, которым для выполнения бизнес-задач требуется свободный доступ к различным каналам сетевых коммуникаций, отслеживается сервером EtherSensor посредством перехвата и анализа сетевого трафика на уровне периметра.
Данный сценарий также является крайне продуктивным для контроля так называемых групп риска, когда на агентах DeviceLock создаются специальные наборы политик для DLP-контроля различных учетных записей, а переключение применяемых политик выполняется в реальном времени путем включения таких пользователей в группу пользователей, соответствующих той или иной группе риска.
В любом сценарии одновременного использования серверного модуля DeviceLock EtherSensor в сочетании с Endpoint-компонентами комплекса DeviceLock DLP в режиме гибридной DLP-системы открывается уникальная возможность создавать гибкие DLP-политики с различными уровнями контроля и реакции на события. Одновременное применение двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика значительно повышает надежность решения задачи предотвращения и выявления утечек информации.Вахонин Сергей. Директор по решениям DeviceLock, Inc.
Сергей Вахонин, директор по решениям DeviceLock, Inc.
Внедрять системы DLP довольно просто, однако настроить их так, чтобы они начали приносить ощутимые выгоды, не так легко. На данный момент при внедрении систем мониторинга и контроля информационных потоков (мой вариант описания термина DLP) чаще всего используют один из следующих подходов:
Кратко приведу примеры шагов по внедрению DLP, характерных для каждого из подходов..
Классический подход по внедрению DLP :
Аналитический подход по внедрению DLP :
Спроектировать систему DLP . На данном этапе будет достаточно простого "Технического задания " и "Программы и методики испытаний ".
Определить и настроить минимальные политики DLP. Нашей задачей является не мониторинг и блокирование любых активностей, а именно сбор аналитической информации о том, какими каналами и средствами пользуются для передачи той или иной корпоративной информации.
Провести обучение персонала, ответственного за управление и обслуживание DLP. Тут можно использовать стандартные "вендорские" инструкции.
Внедрить и настроить систему DLP, запустить в опытную эксплуатацию (в режиме мониторинга).
Проанализировать итоги и результаты опытной эксплуатации. Задача - выявить и проанализировать основные информационные потоки.
Внести правки (разработать) основные документы, регламентирующие мониторинг и контроль информации, ознакомить с ними сотрудников. Документы "Перечень конфиденциальной информации " и "Политика допустимого использования ".
Внести правки в настройки DLP, определить процедуру управления и обслуживания DLP, запустить в промышленную эксплуатацию . Разработать документы "Корпоративный стандарт по настройке политик DLP ", "Положение по распределению ролей по управлению и обслуживанию DLP ", "Комплект ролевых инструкций по DLP ".
Внести правки (при отсутствии, разработать) в процедуру управления инцидентами (или аналоги).
Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP.
Подходы отличаются, но и тот и другой вполне подходят для внедрения систем DLP. Надеюсь, что представленная выше информация сможет навести Вас на новые удачные мысли по защите информации от утечек.
Эффективность средств защиты информации прямо пропорциональна зрелости связанных с ними процессов ИБ и их интеграции в бизнес-процессы компании. Особенно это заметно на примере DLP.
Павел Волчков
Ведущий консультант по информационной безопасности
Центра информационной безопасности компании “Инфосистемы Джет"
У любой коробочной DLP есть предустановленные словари и правила. И в большинстве случаев они не направлены на защиту от утечек.
Часто приходится наблюдать ситуацию, когда полнофункциональная система DLP используется в компании лишь эпизодически или для решения локальных задач. При этом поддержка ее является обязательной и финансово обременяет бюджет ИТ- или ИБ-подразделения. Как же заставить систему работать эффективнее? Давайте найдем решение этого вопроса, рассматривая при этом только организационную составляющую, не касаясь технической.
Основная причина возникновения проблем с DLP – завышенные ожидания. Многие ИБ-специалисты считают, что выстраивать процессы вокруг DLP нужно уже после внедрения. Наш опыт свидетельствует, что это не так. Для эффективного функционирования DLP должна выстраиваться вокруг уже существующих процессов ИБ, а не наоборот. Иными словами, чтобы эффективно использовать систему, организация должна иметь хотя бы начальный уровень зрелости ИБ и "дорасти" до системы.
В первую очередь это то, что в системе DLP будут реализованы только шаблонные, не отражающие специфику бизнес-процессов правила. Согласно сервисному подходу, бизнес-подразделения компании являются "клиентами" служб ИБ. А те оказывают им различные сервисы, например защиту от утечек. Увы, слабым местом многих ИБ-служб в России является незнание своего бизнеса. И ситуация с DLP усугубляется тем, что понимание бизнеса должно быть не просто на уровне бизнес-процессов и потоков данных, а глубже – на уровне конкретных информационных активов.
Другой риск – система DLP "by design" покроет не все актуальные каналы утечки информации. Живой пример – установка безагентского DLP и отсутствие контроля съемных носителей. Подобная система может выявить сотрудника, отправившего себе на личную почту документы, чтобы поработать дома; или тех, кто бездельничает на рабочем месте, но, скорее всего, не сможет предотвратить или отследить злонамеренный слив информации.
Реализованные политики порождают большое количество ложных срабатываний, и их невозможно обработать за разумное время – есть и такая сложность. Часто подобная ситуация возникает при изначальной попытке реализации кастомных правил. Например, хотим отслеживать документы по грифу "Для служебного пользования", а получаем вал событий, содержащих безобидные фразы "машина для служебного пользования", "прошу выдать мне для служебного пользования" и т.д. Обработать все их служба ИБ не может, приходится отказываться от некоторых правил.
Еще один риск – DLP не используется для решения вопросов ИБ. У любой коробочной DLP есть предустановленные словари и правила. И в большинстве случаев они не направлены на защиту от утечек. Они могут найти сотрудников, нецензурно выражающихся в корпоративной почте, обсуждающих начальство или отправляющих кому-то резюме. Но все это имеет отношение к вопросам корпоративной этики, а не к защите информации ограниченного доступа.
И последний риск внедрения – то, что выстраивание процесса вокруг DLP, а не наоборот, может негативно сказаться на самом процессе и привести к тому, что организационные меры полностью подстроятся под доступный функционал внедряемой системы. На практике это выльется в достаточно распространенную ситуацию: "Зачем нам регламентировать правила работы со съемными носителями, если мы технически не сможем контролировать выполнение этого регламента".
Решение есть. И оно в методологически верной реализации процессного подхода, учитывающего специфику DLP как средства защиты.
Если речь идет об организации процессного подхода, то наиболее подходящей моделью является классическая модель PDCA (Plan-Do-Check-Act):
Все просто? Но есть нюансы.
Первые сложности на этом этапе могут возникнуть при попытке ответить на вопрос, а зачем нам DLP. Система может "все и сразу". Но стоит все же приоритизировать задачи.
Чтобы определить, а что же все-таки нужно от DLP, достаточно ответить на ряд вопросов:
Приоритеты расставлены. И следующая проблема: перейти от абстрактных понятий вроде "информация ограниченного доступа" или "информация о топах" к конкретным информационным активам, то есть опуститься на уровень конкретных документов, передаваемых между конкретными людьми. Как это сделать? С помощью классического анализа бизнес-процессов, в основе которого лежат инвентаризация и категоризация информационных активов. Это важная и сложная задача, представляющая собой отдельный проект по ИБ.
Тема, созвучная с процессом контроля утечек, – выстраивание режима коммерческой тайны. Этот режим существенно облегчает проведение анализа бизнес-процессов и инвентаризации информации. Применительно к настройке DLP он помогает преобразовать абстрактное понятие "информация ограниченного доступа" в набор вполне конкретных и осязаемых документов. Работая с ними, можно выделять их типовые признаки: формат сообщения, гриф, формат учетного номера, иные особенности оформления, типовые фразы/преамбулы/титульные листы, стандартизированные формы документов и т.д. Также можно осуществлять более "гранулированный" контроль сотрудников за счет их поименного или подолжностного допуска к коммерческой тайне.
Очень важной составляющей качественной работы DLP является тонкая настройка политик или создание нестандартных правил в системе. Она базируется на трех подходах контроля информации ограниченного доступа:
Реализация второго подхода происходит за счет постоянного накопления информации об уникальных правилах DLP и создания баз контентной фильтрации. Целесообразно привлечь к этому процессу вендора или компанию-исполнителя проекта внедрения DLP – у них уже имеются большие базы контентной фильтрации (типовые акты, формы, шаблоны регулярных отчетов, наборы ключевых слов и т.д.) по отраслям. Отдельно стоит выделить реализацию набора правил, косвенно позволяющих выявить аномальное поведение сотрудников, например классические отправки шифрованных архивов, пересылку информации на временные почтовые ящики, передачу сообщений большого объема и т.д.
Эффективность таких простых правил нельзя недооценивать: с их помощью с большей вероятностью можно обнаружить намеренный слив информации.
DLP – это лишь часть системы защиты от утечек наряду с процессами и персоналом, эффективность которой зависит от каждого ее элемента, создавая эффект синергии. Интеграция DLP в существующие процессы обеспечения ИБ ценна тем, что позволяет на практике оценить реализованные в DLP политики.
Независимо от того, какое DLP-решение и в какой конфигурации используется, на первом этапе планирования целесообразно озаботиться также пониманием того, какие каналы утечки наиболее реальны. По тем каналам, которые не покрываются DLP, необходимо в дальнейшем запланировать не менее тщательную работу с использованием других технических и организационных мер. Но помнить, что настройка DLP – это не самоцель, а инструмент контроля каналов утечки, причем один из многих.
DLP связана со следующими ИБ-процессами:
Анализируя эффективность перечисленных процессов, можно сделать вывод об эффективности самой DLP и наметить пути дальнейшей модернизации политик. Особое внимание надо уделить борьбе с ложными срабатываниями. Избежать их поможет скрупулезный анализ подробностей детектированных инцидентов и конкретных условий срабатывания.
На данном этапе также можно получить подтверждение того, что для сопровождения системы недостаточно ранее выделенных человеческих ресурсов, что важно для дальнейшего развития DLP. Администрирование DLP и разбор возникающих инцидентов являются ресурсоемкими процессами, особенно если DLP установлено в разрыв. Прогнозировать необходимое количество ИБ-персонала невозможно, все индивидуально и зависит от числа реализованных правил. Наш опыт говорит, что необходим как минимум один специалист, главной обязанностью которого будет сопровождение системы и связанных с ней процессов.
Имея всю информацию о функционировании системы, можно реализовать мероприятия по корректировке имеющихся правил, разработке новых, внесению изменений ОРД по процессам ИБ, выделению дополнительных человеческих ресурсов и технической модернизации системы. Такие мероприятия целесообразно включить в ежегодный план ИБ-мероприятий.
Отдельный вопрос – каким по продолжительности должен быть цикл PDCA. Единого рецепта здесь нет, все зависит от сложившихся в компании практик обеспечения ИБ. Мы считаем, что первоначальный этап контроля должен проходить в течение двух кварталов, чтобы гарантированно покрыть собой активности, возникающие в рамках бизнес-процессов компании раз в квартал, например подготовку квартальной отчетности.
Введение
«Помощь должна совершаться не против воли того, кому помогают» (Георг Вильгельм Фридрих Гегель)
В отличие от начальных этапов развития , сегодня уже можно говорить об активном формировании пользовательского спроса на продукты класса DLP. Немало компаний успели познакомиться с системами предотвращения утечек информации, понимают механизм их работы и сформулировали требования к таким системам. Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, сравнивает модернизацию DLP-системы с покупкой автомобиля - если к первой машине требования невысоки («лишь бы ездила»), то ко второй будущий собственник предъявляет точные требования, основанные на опыте использования предыдущего автомобиля. Впрочем, компания, принявшая решение о внедрении, не обязательно должна иметь опыт эксплуатации продукта того же класса. Для определения требований этой компании может помочь опыт партнера или конкурента.
Можно ли говорить о всеобщей готовности компаний, решивших внедрять DLP-систему, к этому процессу? И что понимать под готовностью? Как показывает практика, в большинстве случаев заказчик представляет себе технические возможности продуктов данного класса, но не до конца понимает необходимый объем работ, благодаря которому в консоли управления DLP-системой начнет появляться действительно важная информация. А появляться она начнет, если подходить к процессу внедрения DLP-решения как к одному из методов реализации наиболее актуального в наши дни подхода к обеспечению информационной безопасности - Data-centric security, или комплексного подхода, ориентированного на защиту информационных активов. В рамках подхода Data-centric security данные, представляющие информационные активы, разделяются на три категории:
Решения класса DLP позволяют контролировать и защищать данные всех перечисленных категорий. Однако следует помнить, что успех такой серьезной операции как внедрение DLP напрямую зависит от понимания ценности защищаемых данных. Здесь мы вплотную подходим к описанию важнейшего этапа внедрения DLP-системы - подготовке.
Компания NSS Labs в своей статье «За 12 шагов - к успешному внедрению DLP » делится парой тезисов, с которыми сложно не согласиться:
Кто должен выполнять работы по обследованию? Как правило, за это отвечает компания, которая внедряет DLP-систему (исполнитель). Однако не все так просто. Если компания-заказчик не готова на запрос исполнителя предоставить, к примеру, описание процессов взаимодействия с защищаемой информацией, то необходимо понять, в чьей зоне ответственности будет находиться разработка этого документа.
У идеального заказчика, принявшего решение о внедрении DLP-системы, введен режим коммерческой тайны, подготовлен перечень информации ограниченного доступа, имеется описание бизнес-процессов, в рамках которых происходит обработка, хранение и передача такой информации. Другими словами, заказчик ясно понимает правила, по которым событие считается утечкой конфиденциальной информации, а также исключения их этих правил. В таком случае исполнителю остается лишь перенести правила в политики безопасности.
У реального заказчика может быть не определено ничего. В таком случае он должен осознавать важность своего участия в обследовании, ведь чем ответственнее заказчик подходит к этому процессу, тем реальнее описание бизнес-процессов компании, критерии отнесения сведений к категории защищаемых и т. д. В случае слабой вовлеченности заказчик полагается на видение безопасности своих бизнес-процессов глазами исполнителя, а это не всегда соответствует требованиям к защите данных.
Обычно работы в рамках обследования включают в себя следующие мероприятия:
По итогам перечисленных мероприятий разрабатываются документы, на основе которых впоследствии будут создаваться политики безопасности DLP-системы. К таким документам могут относиться:
Имея понимание того, в рамках каких бизнес-процессов происходит работа с критичными данными, из каких действий с этими данными состоят вышеупомянутые процессы, не составляет труда определить необходимые механизмы работы DLP-системы и, соответственно, требования к ней. Опционально в рамках данного этапа могут быть разработаны эскизы политик безопасности в терминах конкретного продукта. Подробнее о выборе продукта будем говорить далее.
Одними из важных вопросов, с которыми столкнется руководство компании, принявшее решение об использовании продукта класса DLP, - это вопросы юридического характера. К примеру:
Добавьте сюда не совсем очевидные вопросы, вроде «Как контролировать администратора DLP-системы, имеющего доступ ко всему архиву перехваченной информации?».
Создание грамотной стратегии использования DLP-системы в правовом контексте - вновь совместная задача для заказчика и исполнителя. Результатом этой работы должны стать шаги по организации режима коммерческой тайны или соответствующие дополнения к нему. В рамках данных работ исполнитель изучает организационно-распорядительные документы клиента, трудовые договоры, дополнительные соглашения и прочие кадровые документы, относящиеся к определению условий труда и обязательств работников, а также внутренние процедуры контроля заказчика. И по результатам анализа формирует рекомендации по внесению изменений в нормативную базу заказчика. В число документов, разрабатываемых исполнителем на данном этапе, могут войти:
Отдельно хочется напомнить про актуальность контроля эксплуатирующего персонала DLP-системы, имеющего неограниченный доступ к архиву перехваченной информации. Видится разумной попытка пресечь возможное использование этой информации в личных целях путем подписания соответствующих соглашений. И, немного забегая вперед, отметим: заказчику рекомендуется уже на данном этапе подумать над методом формирования архива перехваченной информации - сохранять все события или только события, нарушившие политику безопасности. В отличие от западных игроков отечественные DLP-системы пошли по пути сохранения всего трафика.
Здесь мы вплотную подходим к следующему этапу - выбору конкретного продукта.
Этот этап довольно условно расположен вторым номером, так как в ряде случаев продукт уже определен явно до начала внедрения, или этапу подготовки предшествует пилотный проект одного или нескольких решений. Таким образом, выбор конкретного продукта - этап, в зависимости от обстоятельств идущий либо первым, либо вторым, либо параллельно подготовке.
По завершению (или в процессе) этапа подготовки как у заказчика, так и у исполнителя уже имеется представление о том, как абстрактная DLP-система будет использоваться для контроля над утечками информации. Остается определить, какой именно продукт будет соответствовать требованиям оптимально. Говоря о требованиях, не стоит забывать о тех из них, которые напрямую не определяют процесс перехвата и анализа информации. К таковым относятся:
Очевидным является требование к системе обладать механизмами сбора и анализа информации, удовлетворяющими потребностям заказчика в контроле бизнес-процессов, определенных на этапе обследования.
Нельзя забывать и о бюджете заказчика, который в том числе является весомым требованием. Помимо продуктов класса Enterprise, DLP-системы также представлены т. н. «легкими DLP» и Channel DLP, подразумевающими как ряд функциональных ограничений по сравнению со «старшим братом», так и вовсе направленные на контроль одного конкретного канала передачи данных. К примеру, в условиях ограниченного бюджета для заказчика может быть оптимально докупить DLP-функционал к существующему прокси-серверу и использовать только агентское решение стороннего продукта.
Данный этап характеризуется большой ответственностью исполнителя, задачей которого является предложить заказчику максимально подходящее решение. При этом возможная пассивность последнего сыграет с ним злую шутку на этапе эксплуатации и поддержки системы.
Выбор конкретного продукта сложно представить без понимания архитектуры решения, реализованного средствами этого продукта, поэтому можно утверждать, что на данном этапе уже берут свое начало работы по проектированию.
Как правило, ключевые моменты в архитектуре решения к этому этапу уже определены. Работы по проектированию определяются как процесс детализации и расширения этих ключевых моментов до такой степени, при которой получившееся проектное решение полностью готово к реализации. Ключ к хорошему проектному решению - это детальное обследование инфраструктуры заказчика и макетирование решения «у себя дома». Эти мероприятия минимизируют риск технических сложностей на этапе установки. Очень желательно, чтобы заказчик это понимал и активно содействовал процессу.
Вид, в котором проектное решение будет представлено, обсуждается сторонами. В большинстве случаев это согласованный набор технических документов, описывающих окончательное проектное решение. На данном этапе также устанавливаются требования к эксплуатационной документации. В случае если официальных руководств производителя выбранной DLP-системы недостаточно, исполнитель готовит недостающий комплект. Примерами таких документов могут выступать как перевод официального руководства с иностранного языка, так и более экзотические документы вроде «Описания жизненного цикла программного обеспечения».
На этапе проектирования важно реализовать возможности для изменения системы в будущем, например, при потенциальном масштабировании или переходе с режима мониторинга на режим блокировки. Требования к оборудованию, программному обеспечению или даже к построению технологических процессов работы продукта должны быть заложены исполнителем исходя из такой необходимости.
Итак, исполнитель подготовил проектное решение, заказчик его согласовал, следующий этап - установка и первоначальная настройка DLP-системы.
Работы по установке DLP-системы тоже требуют тесного взаимодействия заказчика и исполнителя. Поскольку продукты такого класса решений связаны с рядом смежных систем (почтовыми, прокси-серверами, сетевым оборудованием), то сложно представить процесс установки без вовлечения специалистов заказчика.
Обычно установка продукта начинается с инсталляции серверных компонентов и настройки связи между ними и смежными системами. Однако бывают и исключения. Скажем, при сжатых сроках внедрения и значительном количестве устанавливаемых агентов процесс установки последних может быть инициирован еще до завершения работ по проектированию. Такой пример нестандартного решения еще раз напоминает про необходимость ведения диалога между сторонами на всех этапах внедрения.
Важный вопрос в рамках работ по установке, одновременно приближающий нас к работам по настройке - это вопрос сохранения в тайне от сотрудников заказчика факта внедрения продукта. Если степень вовлеченности пользователей в работу DLP-системы еще не определена, то самое время об этом подумать.
К сожалению, в рамках этого этапа не будет описан универсальный алгоритм, следуя которому любой желающий получает грамотно настроенную DLP-систему. Хотя почему нет? Ведь если подумать, этот алгоритм состоит всего из одного легко формулируемого пункта - «Непрерывно настраивать систему и изменять политики безопасности на протяжении всего периода эксплуатации».
Как мы видим, речь идет не о длительной настройке, а о непрерывной - это ключевой момент, который необходимо понять заказчику. Выполненный «на отлично» этап подготовки будет являться незаменимым подспорьем на этапе настройки, и исполнитель непременно поможет в начале пути (а может и не только в начале, все определяется договоренностями). Но основная работа в рамках текущего этапа ложится на плечи заказчика (здесь не берем во внимание сервисную модель услуг, в рамках которой исполнитель может взять на себя значительную часть от этих работ).
Изменение бизнес-процессов, инфраструктуры, прием на работу сотрудников, делегирование обязанностей внутри существующих отделов, выпуск новых документов вроде приказов руководства, должностных инструкций - все эти события влекут за собой необходимость изменения политик безопасности. Вооружившись цифровыми отпечатками, словарями, а иной раз и технологиями машинного обучения, ответственный персонал должен успевать за всеми значимыми для DLP-системы изменениями в компании и нивелировать их возможные отрицательные последствия, чтобы избежать утечку информации. Причем под отрицательными последствиями здесь понимаются не только новые каналы для утечки, но и возможный рост ложноположительных срабатываний.
Если говорить об обязанностях сторон в рамках внедрения, то, заключая договор, они пытаются согласовать количественные и качественные характеристики работ по настройке DLP-системы, которые исполнитель обязуется выполнить. Как правило, речь идет о наполнении базы специальных терминов, написании регулярных выражений и создании на основе данных технологий политик защиты данных. Работы по настройке обычно сопровождаются консультациями персонала. В интересах обеих сторон сделать этот процесс максимально продуктивным, устраняя неспособность сотрудников самостоятельно работать с системой.
В ходе настройки необходимо держать в голове вопрос: «Хочет ли заказчик использовать DLP-систему как инструмент обучения пользователей работе с конфиденциальной информацией или как инструмент слежки?». Западные компании широко используют первый вариант. Его идея заключается не только в осведомленности пользователей о наличии DLP-системы, но и в вовлечении в организацию безопасности данных рядовых сотрудников. Как следствие - изменение их поведения в сторону большей ответственности. Чем больше организация, тем объективно более востребован для нее такой подход: численность собственного отдела ИБ ограничена, а DLP-системы могут требовать значительных трудозатрат на первых порах эксплуатации. Внутренний краудсорсинг может оказать ощутимую поддержку в таком трудоемком деле. Принцип геймификации добрался и до такой области применения, как эксплуатация DLP-систем. В рамках игровой парадигмы компания отказывается от так называемого «шлепка по рукам» - стандартного всплывающего окна с угрозами, оформленного в красных тонах, призванного вызвать максимальный стресс у пользователя. В случае непреднамеренного нарушения политики безопасности пользователь увидит описание причины блокирования его действия и сноску о том, как избежать нарушения в будущем. Другая важная часть геймификации - явная положительная мотивация. Присвоение пользователям значков отличия за соблюдение норм обеспечения безопасности данных, публикация красивых графических отчетов DLP-систем о тех, чье взаимодействие с данными является наиболее правильным, и т. п.
При кажущейся простоте подхода такой механизм помогает ввести и закрепить в рабочем обиходе сотрудников само понятие «защита от утечки данных», сделать защиту данных не чуждым пользователю понятием, а неотъемлемой и естественной (при этом не скучной) частью рабочего процесса. Второй вариант подразумевает максимальную скрытость присутствия продукта в информационной среде. Формулировку ответа на этот вопрос рекомендуется оформить как этап № 0.
Внедрение DLP часто осложняется объективными факторами: различие в функционале, отсутствие единственно верного варианта внедрения и единого сценария использования. Даже само принятие решения о внедрении защиты от утечки данных может откладываться заказчиком из-за мифов, связанных с DLP-системами («на поддержание DLP уйдет весь ресурс ИБ», «внедрять DLP нужно не менее полутора лет или не внедрять вообще» и т. п.), а также из-за того, что для эффективного внедрения необходима вовлеченность представителей бизнеса и пр.
В таком случае, опираясь на опыт, исполнитель должен предложить сценарии, которые покажут ценность решения как представителям технического блока заказчика, так и представителям бизнеса. DLP способны показать быстрый и объективный результат, который поможет клиенту определиться с выбором.
Для организаций, которые ответственно подходят к безопасности собственных данных и данных своих клиентов, DLP - однозначно необходимое решение.
