План «Перехват»: как настроить гибридную DLP-систему. Борьба с утечками корпоративной информации

Эффективность средств защиты информации прямо пропорциональна зрелости связанных с ними процессов ИБ и их интеграции в бизнес-процессы компании. Особенно это заметно на примере DLP.

Павел Волчков
Ведущий консультант по информационной безопасности
Центра информационной безопасности компании “Инфосистемы Джет"

У любой коробочной DLP есть предустановленные словари и правила. И в большинстве случаев они не направлены на защиту от утечек.

Часто приходится наблюдать ситуацию, когда полнофункциональная система DLP используется в компании лишь эпизодически или для решения локальных задач. При этом поддержка ее является обязательной и финансово обременяет бюджет ИТ- или ИБ-подразделения. Как же заставить систему работать эффективнее? Давайте найдем решение этого вопроса, рассматривая при этом только организационную составляющую, не касаясь технической.

Основная причина возникновения проблем с DLP – завышенные ожидания. Многие ИБ-специалисты считают, что выстраивать процессы вокруг DLP нужно уже после внедрения. Наш опыт свидетельствует, что это не так. Для эффективного функционирования DLP должна выстраиваться вокруг уже существующих процессов ИБ, а не наоборот. Иными словами, чтобы эффективно использовать систему, организация должна иметь хотя бы начальный уровень зрелости ИБ и "дорасти" до системы.

В чем же заключаются главные риски, сопутствующие процессу внедрения DLP?

В первую очередь это то, что в системе DLP будут реализованы только шаблонные, не отражающие специфику бизнес-процессов правила. Согласно сервисному подходу, бизнес-подразделения компании являются "клиентами" служб ИБ. А те оказывают им различные сервисы, например защиту от утечек. Увы, слабым местом многих ИБ-служб в России является незнание своего бизнеса. И ситуация с DLP усугубляется тем, что понимание бизнеса должно быть не просто на уровне бизнес-процессов и потоков данных, а глубже – на уровне конкретных информационных активов.

Другой риск – система DLP "by design" покроет не все актуальные каналы утечки информации. Живой пример – установка безагентского DLP и отсутствие контроля съемных носителей. Подобная система может выявить сотрудника, отправившего себе на личную почту документы, чтобы поработать дома; или тех, кто бездельничает на рабочем месте, но, скорее всего, не сможет предотвратить или отследить злонамеренный слив информации.

Реализованные политики порождают большое количество ложных срабатываний, и их невозможно обработать за разумное время – есть и такая сложность. Часто подобная ситуация возникает при изначальной попытке реализации кастомных правил. Например, хотим отслеживать документы по грифу "Для служебного пользования", а получаем вал событий, содержащих безобидные фразы "машина для служебного пользования", "прошу выдать мне для служебного пользования" и т.д. Обработать все их служба ИБ не может, приходится отказываться от некоторых правил.

Еще один риск – DLP не используется для решения вопросов ИБ. У любой коробочной DLP есть предустановленные словари и правила. И в большинстве случаев они не направлены на защиту от утечек. Они могут найти сотрудников, нецензурно выражающихся в корпоративной почте, обсуждающих начальство или отправляющих кому-то резюме. Но все это имеет отношение к вопросам корпоративной этики, а не к защите информации ограниченного доступа.

И последний риск внедрения – то, что выстраивание процесса вокруг DLP, а не наоборот, может негативно сказаться на самом процессе и привести к тому, что организационные меры полностью подстроятся под доступный функционал внедряемой системы. На практике это выльется в достаточно распространенную ситуацию: "Зачем нам регламентировать правила работы со съемными носителями, если мы технически не сможем контролировать выполнение этого регламента".

Что же делать, если DLP в компании уже есть, а процессная составляющая отсутствует?

Решение есть. И оно в методологически верной реализации процессного подхода, учитывающего специфику DLP как средства защиты.

Если речь идет об организации процессного подхода, то наиболее подходящей моделью является классическая модель PDCA (Plan-Do-Check-Act):

• определяем цели системы, то, какую информацию будем защищать и как (планируем);
• реализуем политики DLP (делаем);
• эксплуатируем систему, анализируем полученное количество событий и реальных инцидентов, процент ошибок, результат тестов, технические показатели (проверяем);
• изменяем политики с учетом результатов анализа (корректируем);
• проводим новый цикл планирования, учитывая изменившиеся цели; актуализируем информацию, применяем новые подходы (планируем) и т.д.

Все просто? Но есть нюансы.

Планировать

Первые сложности на этом этапе могут возникнуть при попытке ответить на вопрос, а зачем нам DLP. Система может "все и сразу". Но стоит все же приоритизировать задачи.

Чтобы определить, а что же все-таки нужно от DLP, достаточно ответить на ряд вопросов:

• кто основные пользователи DLP и кто только планирует ей пользоваться;
• что ждут основные пользователи от применения DLP в ближайшие 1–3 года;
• что ждет само руководство компании, хочет ли оно получать регулярную статистику и в каком виде;
• есть ли нетиповые внешние требования к компании относительно процесса защиты от утечек информации (например, требования материнских компаний)?

Приоритеты расставлены. И следующая проблема: перейти от абстрактных понятий вроде "информация ограниченного доступа" или "информация о топах" к конкретным информационным активам, то есть опуститься на уровень конкретных документов, передаваемых между конкретными людьми. Как это сделать? С помощью классического анализа бизнес-процессов, в основе которого лежат инвентаризация и категоризация информационных активов. Это важная и сложная задача, представляющая собой отдельный проект по ИБ.

Тема, созвучная с процессом контроля утечек, – выстраивание режима коммерческой тайны. Этот режим существенно облегчает проведение анализа бизнес-процессов и инвентаризации информации. Применительно к настройке DLP он помогает преобразовать абстрактное понятие "информация ограниченного доступа" в набор вполне конкретных и осязаемых документов. Работая с ними, можно выделять их типовые признаки: формат сообщения, гриф, формат учетного номера, иные особенности оформления, типовые фразы/преамбулы/титульные листы, стандартизированные формы документов и т.д. Также можно осуществлять более "гранулированный" контроль сотрудников за счет их поименного или подолжностного допуска к коммерческой тайне.

Делать

Очень важной составляющей качественной работы DLP является тонкая настройка политик или создание нестандартных правил в системе. Она базируется на трех подходах контроля информации ограниченного доступа:

• по ее конкретным выявленным признакам;
• с помощью признаков типовых документов, одинаковых у всех компаний отрасли;
• с помощью правил, косвенно позволяющих выявлять инциденты ИБ/аномальное поведение сотрудников.

Реализация второго подхода происходит за счет постоянного накопления информации об уникальных правилах DLP и создания баз контентной фильтрации. Целесообразно привлечь к этому процессу вендора или компанию-исполнителя проекта внедрения DLP – у них уже имеются большие базы контентной фильтрации (типовые акты, формы, шаблоны регулярных отчетов, наборы ключевых слов и т.д.) по отраслям. Отдельно стоит выделить реализацию набора правил, косвенно позволяющих выявить аномальное поведение сотрудников, например классические отправки шифрованных архивов, пересылку информации на временные почтовые ящики, передачу сообщений большого объема и т.д.

Эффективность таких простых правил нельзя недооценивать: с их помощью с большей вероятностью можно обнаружить намеренный слив информации.

Контролировать

DLP – это лишь часть системы защиты от утечек наряду с процессами и персоналом, эффективность которой зависит от каждого ее элемента, создавая эффект синергии. Интеграция DLP в существующие процессы обеспечения ИБ ценна тем, что позволяет на практике оценить реализованные в DLP политики.

Независимо от того, какое DLP-решение и в какой конфигурации используется, на первом этапе планирования целесообразно озаботиться также пониманием того, какие каналы утечки наиболее реальны. По тем каналам, которые не покрываются DLP, необходимо в дальнейшем запланировать не менее тщательную работу с использованием других технических и организационных мер. Но помнить, что настройка DLP – это не самоцель, а инструмент контроля каналов утечки, причем один из многих.

DLP связана со следующими ИБ-процессами:

• внутренние коммуникации между службой ИБ и руководством;
• управление рисками ИБ;
• управление доступом к информационным ресурсам;
• регистрация и мониторинг событий ИБ;
• управление инцидентами ИБ;
• повышение осведомленности сотрудников;
• моделирование угроз и нарушителей.

Анализируя эффективность перечисленных процессов, можно сделать вывод об эффективности самой DLP и наметить пути дальнейшей модернизации политик. Особое внимание надо уделить борьбе с ложными срабатываниями. Избежать их поможет скрупулезный анализ подробностей детектированных инцидентов и конкретных условий срабатывания.

На данном этапе также можно получить подтверждение того, что для сопровождения системы недостаточно ранее выделенных человеческих ресурсов, что важно для дальнейшего развития DLP. Администрирование DLP и разбор возникающих инцидентов являются ресурсоемкими процессами, особенно если DLP установлено в разрыв. Прогнозировать необходимое количество ИБ-персонала невозможно, все индивидуально и зависит от числа реализованных правил. Наш опыт говорит, что необходим как минимум один специалист, главной обязанностью которого будет сопровождение системы и связанных с ней процессов.

Корректировать

Имея всю информацию о функционировании системы, можно реализовать мероприятия по корректировке имеющихся правил, разработке новых, внесению изменений ОРД по процессам ИБ, выделению дополнительных человеческих ресурсов и технической модернизации системы. Такие мероприятия целесообразно включить в ежегодный план ИБ-мероприятий.

Отдельный вопрос – каким по продолжительности должен быть цикл PDCA. Единого рецепта здесь нет, все зависит от сложившихся в компании практик обеспечения ИБ. Мы считаем, что первоначальный этап контроля должен проходить в течение двух кварталов, чтобы гарантированно покрыть собой активности, возникающие в рамках бизнес-процессов компании раз в квартал, например подготовку квартальной отчетности.

Введение

«Помощь должна совершаться не против воли того, кому помогают» (Георг Вильгельм Фридрих Гегель)

В отличие от начальных этапов развития , сегодня уже можно говорить об активном формировании пользовательского спроса на продукты класса DLP. Немало компаний успели познакомиться с системами предотвращения утечек информации, понимают механизм их работы и сформулировали требования к таким системам. Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, сравнивает модернизацию DLP-системы с покупкой автомобиля - если к первой машине требования невысоки («лишь бы ездила»), то ко второй будущий собственник предъявляет точные требования, основанные на опыте использования предыдущего автомобиля. Впрочем, компания, принявшая решение о внедрении, не обязательно должна иметь опыт эксплуатации продукта того же класса. Для определения требований этой компании может помочь опыт партнера или конкурента.

Можно ли говорить о всеобщей готовности компаний, решивших внедрять DLP-систему, к этому процессу? И что понимать под готовностью? Как показывает практика, в большинстве случаев заказчик представляет себе технические возможности продуктов данного класса, но не до конца понимает необходимый объем работ, благодаря которому в консоли управления DLP-системой начнет появляться действительно важная информация. А появляться она начнет, если подходить к процессу внедрения DLP-решения как к одному из методов реализации наиболее актуального в наши дни подхода к обеспечению информационной безопасности - Data-centric security, или комплексного подхода, ориентированного на защиту информационных активов. В рамках подхода Data-centric security данные, представляющие информационные активы, разделяются на три категории:

• Data at Rest - данные в режиме хранения; статично хранятся на отчуждаемых носителях, компьютерах, мобильных устройствах пользователей и т. д.;
• Data in Motion - данные в режиме движения: финансовые транзакции, передача аутентификационных данных и т. д.;
• Data in Use - данные, непосредственно используемые пользователями в рамках бизнес-процессов.

Решения класса DLP позволяют контролировать и защищать данные всех перечисленных категорий. Однако следует помнить, что успех такой серьезной операции как внедрение DLP напрямую зависит от понимания ценности защищаемых данных. Здесь мы вплотную подходим к описанию важнейшего этапа внедрения DLP-системы - подготовке.

Этап 1. Подготовка к внедрению

Обследование

Компания NSS Labs в своей статье «За 12 шагов - к успешному внедрению DLP » делится парой тезисов, с которыми сложно не согласиться:

• успешное внедрение DLP-системы - комплексное мероприятие, в рамках которого развертывание продукта - этап необходимый, но не достаточный;
• классификация документов и определение матрицы доступа - основа для политик безопасности DLP-систем.

Кто должен выполнять работы по обследованию? Как правило, за это отвечает компания, которая внедряет DLP-систему (исполнитель). Однако не все так просто. Если компания-заказчик не готова на запрос исполнителя предоставить, к примеру, описание процессов взаимодействия с защищаемой информацией, то необходимо понять, в чьей зоне ответственности будет находиться разработка этого документа.

У идеального заказчика, принявшего решение о внедрении DLP-системы, введен режим коммерческой тайны, подготовлен перечень информации ограниченного доступа, имеется описание бизнес-процессов, в рамках которых происходит обработка, хранение и передача такой информации. Другими словами, заказчик ясно понимает правила, по которым событие считается утечкой конфиденциальной информации, а также исключения их этих правил. В таком случае исполнителю остается лишь перенести правила в политики безопасности.

У реального заказчика может быть не определено ничего. В таком случае он должен осознавать важность своего участия в обследовании, ведь чем ответственнее заказчик подходит к этому процессу, тем реальнее описание бизнес-процессов компании, критерии отнесения сведений к категории защищаемых и т. д. В случае слабой вовлеченности заказчик полагается на видение безопасности своих бизнес-процессов глазами исполнителя, а это не всегда соответствует требованиям к защите данных.

Обычно работы в рамках обследования включают в себя следующие мероприятия:

• изучение организационно-распорядительных документов, относящихся к обеспечению безопасности и классификации информации;
• изучение перечня информационных ресурсов, схем сети, схем потоков данных и т. п., относящихся к формализации информационного взаимодействия;
• согласование признаков отнесения информации к информации ограниченного доступа;
• формализация перечня информации ограниченного доступа;
• обследование и описание процессов передачи, обработки и хранения информации ограниченного доступа в рамках бизнес-процессов.

По итогам перечисленных мероприятий разрабатываются документы, на основе которых впоследствии будут создаваться политики безопасности DLP-системы. К таким документам могут относиться:

• «Перечень информации ограниченного доступа»;
• «Схема потоков данных информации ограниченного доступа»;
• «Описание технологических процессов взаимодействия с информацией ограниченного доступа»;
• «Основные сценарии утечки конфиденциальной информации».

Имея понимание того, в рамках каких бизнес-процессов происходит работа с критичными данными, из каких действий с этими данными состоят вышеупомянутые процессы, не составляет труда определить необходимые механизмы работы DLP-системы и, соответственно, требования к ней. Опционально в рамках данного этапа могут быть разработаны эскизы политик безопасности в терминах конкретного продукта. Подробнее о выборе продукта будем говорить далее.

Юридическое сопровождение

Одними из важных вопросов, с которыми столкнется руководство компании, принявшее решение об использовании продукта класса DLP, - это вопросы юридического характера. К примеру:

• «Будет ли использование этой системы трактоваться как слежка за сотрудниками?»
• «Как будем защищаться от конфликтов, вызванных работой этой системы?»

Добавьте сюда не совсем очевидные вопросы, вроде «Как контролировать администратора DLP-системы, имеющего доступ ко всему архиву перехваченной информации?».

• компания имеет право защищать свою коммерческую тайну, вводя для этой цели режим коммерческой тайны, определяющий перечень информации ограниченного доступа, правила работы с ней и т. д.;
• средства обработки информации, переданные сотруднику для выполнения своих должностных обязанностей, а также созданные с их помощью информационные ресурсы, являются собственностью компании;
• компания не является оператором связи и не обеспечивает тайну связи при передаче по своим корпоративным каналам.

Создание грамотной стратегии использования DLP-системы в правовом контексте - вновь совместная задача для заказчика и исполнителя. Результатом этой работы должны стать шаги по организации режима коммерческой тайны или соответствующие дополнения к нему. В рамках данных работ исполнитель изучает организационно-распорядительные документы клиента, трудовые договоры, дополнительные соглашения и прочие кадровые документы, относящиеся к определению условий труда и обязательств работников, а также внутренние процедуры контроля заказчика. И по результатам анализа формирует рекомендации по внесению изменений в нормативную базу заказчика. В число документов, разрабатываемых исполнителем на данном этапе, могут войти:

• дополнительные соглашения к трудовым договорам;
• дополнения к правилам трудового распорядка;
• политика допустимого использования средств обработки информации;
• иные документы, регламентирующие работу с информацией ограниченного доступа.

Отдельно хочется напомнить про актуальность контроля эксплуатирующего персонала DLP-системы, имеющего неограниченный доступ к архиву перехваченной информации. Видится разумной попытка пресечь возможное использование этой информации в личных целях путем подписания соответствующих соглашений. И, немного забегая вперед, отметим: заказчику рекомендуется уже на данном этапе подумать над методом формирования архива перехваченной информации - сохранять все события или только события, нарушившие политику безопасности. В отличие от западных игроков отечественные DLP-системы пошли по пути сохранения всего трафика.

Здесь мы вплотную подходим к следующему этапу - выбору конкретного продукта.

Этап 2. Выбор продукта

Этот этап довольно условно расположен вторым номером, так как в ряде случаев продукт уже определен явно до начала внедрения, или этапу подготовки предшествует пилотный проект одного или нескольких решений. Таким образом, выбор конкретного продукта - этап, в зависимости от обстоятельств идущий либо первым, либо вторым, либо параллельно подготовке.

По завершению (или в процессе) этапа подготовки как у заказчика, так и у исполнителя уже имеется представление о том, как абстрактная DLP-система будет использоваться для контроля над утечками информации. Остается определить, какой именно продукт будет соответствовать требованиям оптимально. Говоря о требованиях, не стоит забывать о тех из них, которые напрямую не определяют процесс перехвата и анализа информации. К таковым относятся:

• Сложность развертывания и поддержки. Если в решении используется, к примеру, система управления базами данных Oracle, обладает ли заказчик специалистом, способным провести резервное копирование базы данных? Не стоит ли посмотреть в сторону решения, где эта процедура выполняется за три клика мыши, скажем, в планировщике заданий ОС Windows, где при установке создается соответствующее задание?
• Воздействие на инфраструктуру. Как сильно установленный агент будет влиять на работу компьютера пользователя или канал передачи данных? Возможна ли установка компонентов системы в среде виртуализации?
• Организация процессов работы эксплуатирующего персонала. Заказчик на данном этапе должен понять, что из себя будет представлять работа аналитика, ответственного за безопасность, или системного администратора, отвечающего за поддержку работоспособности решения.

Очевидным является требование к системе обладать механизмами сбора и анализа информации, удовлетворяющими потребностям заказчика в контроле бизнес-процессов, определенных на этапе обследования.

Нельзя забывать и о бюджете заказчика, который в том числе является весомым требованием. Помимо продуктов класса Enterprise, DLP-системы также представлены т. н. «легкими DLP» и Channel DLP, подразумевающими как ряд функциональных ограничений по сравнению со «старшим братом», так и вовсе направленные на контроль одного конкретного канала передачи данных. К примеру, в условиях ограниченного бюджета для заказчика может быть оптимально докупить DLP-функционал к существующему прокси-серверу и использовать только агентское решение стороннего продукта.

Данный этап характеризуется большой ответственностью исполнителя, задачей которого является предложить заказчику максимально подходящее решение. При этом возможная пассивность последнего сыграет с ним злую шутку на этапе эксплуатации и поддержки системы.

Выбор конкретного продукта сложно представить без понимания архитектуры решения, реализованного средствами этого продукта, поэтому можно утверждать, что на данном этапе уже берут свое начало работы по проектированию.

Этап 3. Проектирование и установка

Проектирование

Как правило, ключевые моменты в архитектуре решения к этому этапу уже определены. Работы по проектированию определяются как процесс детализации и расширения этих ключевых моментов до такой степени, при которой получившееся проектное решение полностью готово к реализации. Ключ к хорошему проектному решению - это детальное обследование инфраструктуры заказчика и макетирование решения «у себя дома». Эти мероприятия минимизируют риск технических сложностей на этапе установки. Очень желательно, чтобы заказчик это понимал и активно содействовал процессу.

Вид, в котором проектное решение будет представлено, обсуждается сторонами. В большинстве случаев это ­согласованный набор технических документов, описывающих окончательное проектное решение. На данном этапе также устанавливаются требования к эксплуатационной документации. В случае если официальных руководств производителя выбранной DLP-системы недостаточно, исполнитель готовит недостающий комплект. Примерами таких документов могут выступать как перевод официального руководства с иностранного языка, так и более экзотические документы вроде «Описания жизненного цикла программного обеспечения».

На этапе проектирования важно реализовать возможности для изменения системы в будущем, например, при потенциальном масштабировании или переходе с режима мониторинга на режим блокировки. Требования к оборудованию, программному обеспечению или даже к построению технологических процессов работы продукта должны быть заложены исполнителем исходя из такой необходимости.

Итак, исполнитель подготовил проектное решение, заказчик его согласовал, следующий этап - установка и первоначальная настройка DLP-системы.

Установка

Работы по установке DLP-системы тоже требуют тесного взаимодействия заказчика и исполнителя. Поскольку продукты такого класса решений связаны с рядом смежных систем (почтовыми, прокси-серверами, сетевым оборудованием), то сложно представить процесс установки без вовлечения специалистов заказчика.

Обычно установка продукта начинается с инсталляции серверных компонентов и настройки связи между ними и смежными системами. Однако бывают и исключения. Скажем, при сжатых сроках внедрения и значительном количестве устанавливаемых агентов процесс установки последних может быть инициирован еще до завершения работ по проектированию. Такой пример нестандартного решения еще раз напоминает про необходимость ведения диалога между сторонами на всех этапах внедрения.

Важный вопрос в рамках работ по установке, одновременно приближающий нас к работам по настройке - это вопрос сохранения в тайне от сотрудников заказчика факта внедрения продукта. Если степень вовлеченности пользователей в работу DLP-системы еще не определена, то самое время об этом подумать.

Этап 4. Настройка

К сожалению, в рамках этого этапа не будет описан универсальный алгоритм, следуя которому любой желающий получает грамотно настроенную DLP-систему. Хотя почему нет? Ведь если подумать, этот алгоритм состоит всего из одного легко формулируемого пункта - «Непрерывно настраивать систему и изменять политики безопасности на протяжении всего периода эксплуатации».

Как мы видим, речь идет не о длительной настройке, а о непрерывной - это ключевой момент, который необходимо понять заказчику. Выполненный «на отлично» этап подготовки будет являться незаменимым подспорьем на этапе настройки, и исполнитель непременно поможет в начале пути (а может и не только в начале, все определяется договоренностями). Но основная работа в рамках текущего этапа ложится на плечи заказчика (здесь не берем во внимание сервисную модель услуг, в рамках которой исполнитель может взять на себя значительную часть от этих работ).

Изменение бизнес-процессов, инфраструктуры, прием на работу сотрудников, делегирование обязанностей внутри существующих отделов, выпуск новых документов вроде приказов руководства, должностных инструкций - все эти события влекут за собой необходимость изменения политик безопасности. Вооружившись цифровыми отпечатками, словарями, а иной раз и технологиями машинного обучения, ответственный персонал должен успевать за всеми значимыми для DLP-системы изменениями в компании и нивелировать их возможные отрицательные последствия, чтобы избежать утечку информации. Причем под отрицательными последствиями здесь понимаются не только новые каналы для утечки, но и возможный рост ложноположительных срабатываний.

Если говорить об обязанностях сторон в рамках внедрения, то, заключая договор, они пытаются согласовать количественные и качественные характеристики работ по настройке DLP-системы, которые исполнитель обязуется выполнить. Как правило, речь идет о наполнении базы специальных терминов, написании регулярных выражений и создании на основе данных технологий политик защиты данных. Работы по настройке обычно сопровождаются консультациями персонала. В интересах обеих сторон сделать этот процесс максимально продуктивным, устраняя неспособность сотрудников самостоятельно работать с системой.

В ходе настройки необходимо держать в голове вопрос: «Хочет ли заказчик использовать DLP-систему как инструмент обучения пользователей работе с конфиденциальной информацией или как инструмент слежки?». Западные компании широко используют первый вариант. Его идея заключается не только в осведомленности пользователей о наличии DLP-системы, но и в вовлечении в организацию безопасности данных рядовых сотрудников. Как следствие - изменение их поведения в сторону большей ответственности. Чем больше организация, тем объективно более востребован для нее такой подход: численность собственного отдела ИБ ограничена, а DLP-системы могут требовать значительных трудозатрат на первых порах эксплуатации. Внутренний краудсорсинг может оказать ощутимую поддержку в таком трудоемком деле. Принцип геймификации добрался и до такой области применения, как эксплуатация DLP-систем. В рамках игровой парадигмы компания отказывается от так называемого «шлепка по рукам» - стандартного всплывающего окна с угрозами, оформленного в красных тонах, призванного вызвать максимальный стресс у пользователя. В случае непреднамеренного нарушения политики безопасности пользователь увидит описание причины блокирования его действия и сноску о том, как избежать нарушения в будущем. Другая важная часть геймификации - явная положительная мотивация. Присвоение пользователям значков отличия за соблюдение норм обеспечения безопасности данных, публикация красивых графических отчетов DLP-систем о тех, чье взаимодействие с данными является наиболее правильным, и т. п.

При кажущейся простоте подхода такой механизм помогает ввести и закрепить в рабочем обиходе сотрудников само понятие «защита от утечки данных», сделать защиту данных не чуждым пользователю понятием, а неотъемлемой и естественной (при этом не скучной) частью рабочего процесса. Второй вариант подразумевает максимальную скрытость присутствия продукта в информационной среде. Формулировку ответа на этот вопрос рекомендуется оформить как этап № 0.

Выводы

Внедрение DLP часто осложняется объективными факторами: различие в функционале, отсутствие единственно верного варианта внедрения и единого сценария использования. Даже само принятие решения о внедрении защиты от утечки данных может откладываться заказчиком из-за мифов, связанных с DLP-системами («на поддержание DLP уйдет весь ресурс ИБ», «внедрять DLP нужно не менее полутора лет или не внедрять вообще» и т. п.), а также из-за того, что для эффективного внедрения необходима вовлеченность представителей бизнеса и пр.

В таком случае, опираясь на опыт, исполнитель должен предложить сценарии, которые покажут ценность решения как представителям технического блока заказчика, так и представителям бизнеса. DLP способны показать быстрый и объективный результат, который поможет клиенту определиться с выбором.

Для организаций, которые ответственно подходят к безопасности собственных данных и данных своих клиентов, DLP - однозначно необходимое решение.

Добрый день!

Самым популярным способом обмена корпоративной информацией на сегодняшний день остается электронная почта. Именно там работники отправляют скан-копии документов, проекты на согласования, приглашают на встречи, информируют о событиях и т.д. Иногда переписку по электронной почте приравнивают к официальной переписке между организациями на уровне писем от первых лиц. Поэтому этот канал передачи информации является объектом пристального внимания со стороны представителей отделов/служб ИБ (они следят за утечкой конфиденциальной информации) и экономического блока безопасности (они следят за перепиской, ищут откаты, сговоры, поиски новой работы, подделку документов и т.д.)

Немного о теории. Вы наверняка замечали что ваша почта не доходит сразу до контрагентов и/или же злые дяди из службы безобразности интересуются той или иной вашей отправкой спустя какое-то время, особенно если вы отправляете какие либо персональные данные без использования принятых мер защиты. Эти обстоятельства говорят о том, что в вашей организации установлена какая либо так называемая DLP-система. Не вдаваясь в технические подробности приведу информацию из вики:

Система предотвращение утечек (англ. Data Leak Prevention, DLP ) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется или проходит но оставляет метку.

А вообще грубо говоря это средство слежения за действиями сотрудников и основная цель ее — «найти то, что запрещено». Законно ли это поговорим в следующей статье. А принцип работы системы можно сравнить с фильтром, то есть вы отправили письмо, и если оно попало в фильтр по критериям и, в зависимости от настроек системы, заблокировалось или ушло получателю, но при этом уведомив товарищей безопасников.

Давайте посмотрим как можно определить установлена ли одна из таких систем у Вас в организации. Для того чтобы узнать установлена ли у Вас в организации такая система слежения в первую очередь можно посмотреть заключенные договора на покупку или сопровождение таких систем. Среди них ищем самые популярные компании разработчики:

Инфосистемы джет

и менее популярные:

McAfee, Falcongaze, GTB, «Трафика», Iteranet, RSA, Trend Micro ,Verdasys, Стахановец.

Если нет доступа к договорам, то можно помониторить сайт госзакупок (если ваша контора государева). Как видно из изображения ниже предмет договора может быть различным — от приобретения неисключительных прав до технической поддержки, главное в поиске вбивайте название компаний разработчиков из списка, что я привел.

Если же и эти способы не помогают, то понять что за вами следят можно уточнив у получателя по телефону — долго ли к ним поступают письма (только в случае блокировки письма до отправки), а можно спросить у друзей-айтишников установлена ли система контроля почтовых сообщений в организации. Можно еще конечно попытаться найти запущенные процессы на вашем компьютере, т.к. агенты системы (компоненты системы) слежения устанавливаются персонально на все АРМ’ы работников, но дело в том, что эти процессы умело скрываются под стандартные процессы MS Windows и без должного уровня знаний определить процесс запущенный агентом будет довольно сложно.

Теперь давайте рассмотрим каким образом, мы сможем обойти эту систему. Помните, что реализация приемов из статьи зависит от конкретных настроек DLP и возможна к реализации только путем проб и ошибок. Так что на своей страх и риск.

Самое главное не пытайтесь обойти системы, попытавшись сделать шрифт документа белым или пытаясь скрыть листы и сроки в документах MS Exel, все это сразу увидят товарищи чекисты!

Итак, наша задача передать информацию в виде файлов или текста по электронной почте, зная, что в организации развернута и функционирует DLP- система. Конечно многие из Вас скажут зачем такие сложности — «я могу сфотографировать содержимое экрана на телефон и дело с концом», но где-то телефонами запрещено пользоваться, а где-то коллеги недобро посмотрят на это (особенно в офисах типа «опен-спейс») , а иной раз и сообщат куда следует, иногда же необходим именно документ в редактируемом формате, а не его фотография на мобильном телефоне, в общем-то вариантов много. Итак давайте приведем примеры передачи такой информации:

1. Отправка после окончания рабочего дня.

Самое простое и банальное, что может получится это просто отправить Ваше письмо на нужный адрес электронной почты после окончания рабочего дня. Данный метод успешен в случае, если система настроена на перехват почтовых сообщений, например, с 9-00 до 18-00 по рабочим дням и их блокировку в указанное время. Это связано с тем, что товарищи безопасники, которые смогут в случае чего разблокировать застрявшее письмо также как и Вы работают по трудовому договору те же часы, что и Вы, поэтому после окончания рабочего дня они отключают систему или она останавливается автоматически. Вы можете проверить актуальна ли эта настройка отправив пару безобидных сообщений после 18-00 и посмотреть дойдут ли сразу сообщения, которые например не доходили сразу втечении рабочего дня. Сразу скажу не самый лучший вариант , т.к. в независимости от результата отправки в системе останется след того, что Вы отправили, и в случае грамотного мониторинга системы безопасниками они увидят Вашу отправку.

2. Удаление слов маячков

Этот метод предполагает настройку DLP на поиск по ключевым словам, т.е. в отправленном документе он ищет совпадения по словарю. В случае мониторинга откатов такой словарь может содержать следующую группу слов: бабки, зелень, капуста и тд. В случае же предотвращения утечек конфиденциальной информации данный словарь может содержать следующий словарный набор: коммерческая тайна, секрет фирмы, конфиденциально, ДСП, персональные данные, снилс, доверенность, паспорт, серия номер и т.д. Метод заключается в удалении таких слов, которые явно будут присутствовать в конфиденциальном документе и идентифицировать его к закрытой информации. Просмотрите документ которых необходимо отправить на наличие таких слов и удалите. Метод также не самый лучший т.к. конкретный набор слов, содержащийся в словаре Вам никто никогда не скажет.

3. Архив с паролем.

Данный метод заключается в шифровании документа в стандартном *.rar архиве и направлении на электронную почту. Сразу отмечу, что архив под паролем сразу вызывает подозрения и во многих системах блокируется, и даже расшифровывается. Чтобы максимально обезопасить себя необходимо:

а) При установке пароля на архив поставить галочку на значении «шифровать имена файлов». Это необходимо для того чтобы имена файлов в архиве были не видны до открытия архива паролем.

б) При выборе пароля стоит обратить внимание на его длину и сложность. Да-да это необходимо для предотвращения перебора по словарю, если такой используется в системе. Используйте минимум 10 символов, содержащих буквы строчного и прописного регистров, специальные символы,пробелы, цифры. Например наш пароль будет таким $Op123KLM!987@. Не спешите набирать его в поле ввода, смотрите часть «в».

в) Самое главное правильно ввести пароль в поле ввода в архиваторе, сейчас объясню почему. Дело в том на агенты которые уставнолены на АРМ’ах работников могут содержать функционал клавиатурного шпиона и записывать все Ваши действия (нажатия клавиш) на клавиатуре. Стоит отметить что запись ввода клавиш привязана к определенному процессу где осуществляется набор (word, exel, winrar и тд.). Чтобы запутать следы можно сделать следующее (для примера будем использовать наш пароль $Op123KLM!987@ ): Например так: откроем блокнот и Введем первые 4 символа из середины пароля «KLM!» и после этого копируем и вставляем в winrar, затем в MS Word’e впишем первые 5 символов пароля «$Op123», копируем и вставляем в начало поля ввода winrar, последние 4 «987@» ,чтобы вообще не оставлять следов ввода, вводим в виртуальной клавиатуре онлайн клавиатуре используя мышку, и копируем в конец поля ввода пароля и нажимаем «ок», пароль записываем на бумажку, отправляем архив в письме и сообщаем по телефону принимающей стороне, а бумажку съедаем:

Таких виртуальных клавиатур полно в интернете. Стоит отметить что Вы можете как угодно экспериментировать — набирать неправильный пароль, стирать, перемещать символы, при этом в системе слежения будет отображаться полная каша.В поле отображать пароль при вводе галку лучше не ставить — так как в системе может быть установлен модуль фотографирования вашего монитора.

3. Кодируем онлайн

Для передачи документа проще всего использовать онлайн-сервисы обмена файлами, для примера мы рассмотрим www.rgho.st

Заливаем наш файл «База контрагентов.docx» туда и получаем ссылку:

Теперь нам необходимо зашифровать ссылку и передать ее письмом. Для примера шифрования используем онлайн-сервис http://crypt-online.ru/crypts/aes/ с симметричным антигоритом AES. В поле текста вставляем адрес нашей ссылки, выбираем размер ключа шифрования 128-256 бит. Вводим пароль, в данном случае «сайт», нажимаем кодировать и получаем шифрованный текст:

Копируем полученный результат и отправляем в электронном сообщении, сообщив пароль и длину ключа по альтернативному каналу связи (телефону). Получатель проделывает обратное преобразование, вводит шифрованный текст и пароль и получает ссылку:

4. Cтеганография онлайн

Для того чтобы не отправлять подозрительный зашифрованный текст мы также можем использовать стеганографию онлайн. Подумайте какие документы Вы чаще всего отправляете контрагентам (акты сверок, счета и т.д.) и вставляйте в тело этих файлов код. Для примера мы будем использовать карточку предприятия и онлайн сервис http://stylesuxx.github.io/steganography/. Карточка предприятия в формате обычной картинки, где указаны реквизиты организации. Загружаем карточку (файл karto4ka.png), вставляем текст, который хотим зашифровать (все та же наша ссылка) и жмем «Encode»

Получатель проделывает обратное действие. Загружает файл «karto4ka2.png» и нажимает «Decode» и получает желанную ссылку.

Вдобавок можно использовать portable утилиты стеганографии, рассмотрим их в следующих статьях

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Разработка нормативной документации – один из основных этапов внедрения систем безопасности, от которого напрямую зависит дальнейшая эффективность их использования в вашей компании. В данной статье мы разберем основные требования законодательства и регуляторов к использованию систем информационной безопасности в организации, которые следует предусмотреть в процессе внедрения DLP.

Итак, что же такое DLP-система? DLP-система представляет собой программный продукт, предназначенный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Помимо этого, современные системы защиты информации также способны обеспечить контроль репутации компании и вычислить неблагонадежных сотрудников.

Почему система защиты конфиденциальных данных – это незаменимый элемент в выстраивании эффективной политики безопасности в организации? Просто ознакомьтесь со статистикой, приведенной аналитическим центром Gemalto за 1-е полугодие 2018 года:

• 18,5 миллиона случаев утечки данных в сутки;

• 771,9 случаев утечки данных в час;

• 12,8 утечек данных в минуту;

• 214 случаев утечки данных каждую секунду.

Но это еще не все: по сравнению с первым полугодием 2017 года, случаи утечек конфиденциальных данных увеличились на 72% – с 938,8 млн до 3,3 млрд. Впечатляющие цифры, не правда ли?

Поэтому, внедрение средств защиты информации преследует следующие цели:

• Во-первых, защитить нематериальные активы и объекты интеллектуальной собственности от неправомерного использования третьими лицами;

• Во-вторых, заручиться поддержкой правовых институтов – суда и правоохранительных органов, в случае нарушений прав законного обладателя путем создания и предоставления доказательной базы в случае инцидентов;

• В-третьих, обеспечить возможность применить санкции к лицам, виновным в нарушении исключительных прав, а также взыскать с них убытки.

Итак, вы решили, что вашему бизнесу просто необходима DLP-система и намерены серьезно подойти к решению данного вопроса. С чего начать?

Проведите внутреннее исследование

Изучите имеющуюся организационно-распорядительную документацию;

Согласуйте список признаков, по которым потенциально важную информацию следует причислять к конфиденциальной;

Дайте оценку информационным ресурсам компании, распределите их по категориям:

1) установите список должностей и сотрудников, которым необходим доступ к конфиденциальной информации.

2) подробно опишите манипуляции, которым подвергается конфиденциальная информация в ходе бизнес-процессов.

Для чего это нужно? Проведение аудита позволит выявить наиболее слабые места в существующих бизнес-процессах и составить полную картину того, над чем еще предстоит поработать, чтобы в итоге получить прочный фундамент для развертывания DLP-системы в вашей организации.

Разработайте нормативную документацию

На основании полученной информации в рамках проведенного исследования, необходимо разработать нормативную документацию. Одним из базовых требований к внедрению политик безопасности является введение режима коммерческой тайны. Для установления режима, необходимо утвердить документ, описывающий перечень информации ограниченного доступа. Учитывая тот факт, что DLP-система является механизмом реализации исключительного права на интеллектуальную собственность и нематериальные активы, информация, причисляемая к конфиденциальной, должна быть определена в соответствии с законом. Так, согласно статье 1225 Гражданского кодекса, к охраняемым средствам интеллектуальной собственности относятся:

1) произведения науки, литературы и искусства;

2) программы для ЭВМ;

3) базы данных;

7) изобретения;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау)

15) наименования мест происхождения товаров;

Помимо этого, необходимо предусмотреть разработку документа с перечнем лиц, допущенных к работе с конфиденциальной информацией, причем каждый ответственный за соблюдение режима сотрудник должен быть ознакомлен с данным документом под роспись. Необходимым требованием к юридическому сопровождению введения режима коммерческой тайны также является разработка документа, регламентирующего обращение с конфиденциальной информацией внутри организации и описывающего механизмы ее защиты.

И, наконец, последним подготовительным пунктом является издание приказа о введении режима коммерческой тайны внутри организации.

Для чего это нужно? Приведем наглядный пример из судебной практики:

28 февраля 2012 года Двенадцатый арбитражный апелляционный суд (Саратов) отклонил апелляционную жалобу ООО «ЛюксуРита» на решение Арбитражного суда Саратовской области по иску Общества к индивидуальному предпринимателю Ю.Ю.В. о взыскании 491 474, 92 руб. убытков в виде упущенной выгоды (незаконное использование клиентской базы и переманивание клиентов)

Судом первой инстанции верно установлено, что истец в отношении клиентской базы Общества не принимал мер, установленных ч.1 статьи 10 Федерального закона «О коммерческой тайне». Истцом в материалы дела не представлено доказательств, подтверждающих введение режима коммерческой тайны в отношении своей клиентской базы.

При отсутствии оснований признать клиентскую базу истца секретом производства применительно к положениям ст.1465 Гражданского кодекса Российской Федерации, ответчик не может быть привлечён к гражданско-правовой ответственности по правилам ст.1472 Гражданского кодекса Российской Федерации.

Проведите беседу с сотрудниками

Как и любая прогрессивная технология, DLP-системы стали значительно совершеннее своих предшественников. Так современные DLP-системы могут совмещать в себе сразу несколько важных функций и быть не только инструментом для защиты конфиденциальных данных, но и, например, эффективной программой для мониторинга деятельности сотрудников. Такое решение оптимально подойдет для руководителей, заинтересованных в реальном анализе эффективности работы персонала, а также позволит оперативно вычислить неблагонадежных работников.

Однако, введение мониторинга в организации требует применения ряда мер, которые предусматривают:

Разработку регламента мониторинга, в котором должны быть подробно расписаны правила использования, обработки, хранения и передачи конфиденциальной информации внутри организации, а также какая ответственность предусмотрена за их нарушения;

Ознакомление всех сотрудников компании с содержанием регламента под роспись.

Помимо этого, регламент должен содержать пункт о том, каким образом полученные в ходе мониторинга сведения могут быть использованы в дальнейшем, причем заявленная информация должна соответствовать действительности. В случае необходимости проведения аудио и видеозаписи в рамках мониторинга, уведомление об этом также должно быть прописано в регламенте.

Несмотря на повсеместное использование подобных систем в различных сферах бизнеса, многих еще волнует вопрос законности внедрения систем мониторинга, ведь существует статья 23 Конституции РФ, повествующая о неприкосновенности частной жизни. Однако данная статья действительна только в отношении личной жизни физ. лица и не имеет никакого отношения к выполнению служебных обязанностей. Таким образом, при составлении документа, регламентирующего деятельность сотрудника в организации необходимо указать, что:

все средства коммуникации, переданные в пользование сотруднику, предназначены только для выполнения должностных обязанностей;

владельцем электронной почты и абонентом телефонной сети является организация , таким образом, они предоставляются работнику во временное пользование в период выполнения служебных обязанностей.

Однако, и со стороны работодателя есть определенные обязательства, которые он должен соблюдать. Например, не допустим умышленный тайный сбор личной информации сотрудников, для использования в собственных целях.

Соблюдение всех вышеупомянутых требований позволит вам эффективно использовать систему мониторинга, не нарушая права ваших сотрудников.

Для чего это нужно? Контроль над рабочей деятельностью - это отнюдь не нововведение, а обязательное условие для установления трудовых отношений, прописанное в трудовом кодексе. А если брать во внимание специфику современного бизнеса, системы мониторинга - это необходимость. Приведем пример из жизни, где мониторинг деятельности сотрудницы позволил уличить ее в незаконном использовании конфиденциальной информации: «28 мая 2008 года Пресненский суд отклонил иск о замене основания увольнения со ст. 81 п.6 на ст. 77 п. 3 (по собственному желанию).

Сотрудница турфирмы «Интерсити сервис» (холдинг KPM Group) К.Б. в течение года отправляла конфиденциальную информацию в другую туристическую компанию как со своего компьютера, так и с компьютеров других сотрудниц.

Основанием увольнения за однократное грубое нарушение работником трудовых обязанностей – разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, – стали материалы внутреннего разбирательства с привлечением подразделения автоматизации.
В качестве доказательств суду были предъявлены электронные письма, направленные со служебного ящика электронной почты на внешние почтовые адреса.

Причина внутреннего разбирательства – рост исходящего трафика от работницы, обязанности которой не предусматривали ведение переписки большого объема с некорпоративными адресатами.

Уволена по статье 81 ч.6 Трудового Кодекса – разглашение коммерческой тайны».

Соблюдайте требования ФСТЭК к DLP -системам

Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющаяся общегосударственным органом исполнительной власти, уполномоченным в области обеспечения безопасности в ключевых элементах информационной инфраструктуры, предъявляет особые требования к DLP-системам.

Согласно рекомендациям методического документа «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014г., принимаемые организационные и технические меры защиты информации:

Должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);

Должны соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса;

Не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированной системы управления.

В соответствии с рекомендациями по обеспечению целостности информационной системы и информации (ОЦЛ), представленными в документе, в информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы (ОЦЛ. 5).

Для выполнения требований, функционал современной DLP-системы должен предусматривать:

• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;

• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;

• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;

• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;

• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования, предъявляемые ФСТЭК к усилению мер информационной защиты DLP-систем:

• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;

• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.

Для чего это нужно?

Несоблюдение требований регуляторов влечет за собой массу неприятностей, поэтому настоятельно рекомендуем, во-первых, тщательно проработать нормативно-правовую документацию, на основании которой заказчиком будет разработана политика информационной безопасности вашей компании, а во-вторых обращаться только к проверенным компаниям, предлагающим лицензированный программный продукт, соответствующий всем требованиям регуляторов, например, SecureTower.

Не останавливайтесь на достигнутом

DLP-систему нельзя отождествлять с универсальным решением всех проблем, связанных с кибербезопасностью. Выстраивание грамотной политики безопасности в компании – это, прежде всего, процесс, а не задача, который требует постоянного совершенствования. Поскольку ключевой характеристикой любого процесса является его непрерывность, любые изменения внутри организации – прием и увольнение сотрудников, оптимизация бизнес-процессов, введение новых документов и т.д. - должны быть также зафиксированы и отражены в DLP-системе.

Для чего это нужно? Внедряя DLP-систему в бизнес, важно понимать, что это просто инструмент, требующий постоянной настройки, поэтому только ответственный подход руководства к использованию системы и своевременное изменение политик безопасности может гарантировать максимальную защиту от утечек.

В современном мире одним из ключевых экономических ресурсов является информация. Кто ей владеет, тот будет иметь успех, в то же время утечка данных практически всегда означает потерю клиентов, а то и крах компании. Именно поэтому сегодня так велик интерес к DLP-решениям, позволяющим выявить и предотвратить передачу конфиденциальной информации. Выбор большой, лидеры еще четко не определены, а предложения часто схожи по функциям, но отличаются логикой работы и заложенными принципами, поэтому определиться не так просто.

Как выбрать DLP?

Информационная безопасность стала одной из составляющих деятельности любой компании, а соответствующие риски влияют на ее рейтинг и привлекательность для инвесторов. По статистике, вероятность утечки конфиденциальной информации из-за действий сотрудника организации (инсайдера) превышает вероятность утечки в результате взлома, причем это не обязательно умышленные действия, пользователь может случайно отправить файл не тому адресату. До появления интернета контролировать деятельность сотрудников было практически невозможно. Нет, установить контроль, конечно, было реально, но технических средств для автоматизации процесса не существовало. Сейчас всё изменилось. Деловая переписка ведется по электронной почте, пользователи общаются посредством IM и VoIP, обмениваются файлами, ведут блоги, публикуют сообщения в соцсетях и т. д. Все эти каналы легко контролировать автоматически, мощность современных серверов и емкость носителей позволяют собирать и обрабатывать данные в реальном времени. Чтобы обнаружить и предотвратить передачу конфиденциальных данных на разных этапах (при перемещении, использовании и хранении), применяется целый класс систем защиты - DLP (Data Leak Prevention). На сегодня существует еще с десяток терминов-синонимов для таких систем: ILDP (Information Leak Detection & Prevention), IPC (Information Protection and Control), ILP (Information Leak Prevention) и др. Задача у них, в общем-то, простая - мониторинг, идентификация и защита. Официальных стандартов, определяющих, какой должна быть DLP, пока не существует, поэтому разработчики по-разному смотрят на функции DLP. Часто можно встретить самые разные реализации, не всегда включающие действительно необходимое или, наоборот, напичканные ненужным функционалом, добавленным по заказу компании. Однако со временем определились некоторые требования, которыми должно обладать полнофункциональное DLP-решение. В первую очередь они касаются диапазона возможных каналов утечки:

• электронная почта (SMTP, POP3, IMAP);
• программы обмена IM/VoIP-сообщениями и P2P-клиенты;
• веб-ресурсы (социальные сети, форумы, блоги), а также передача файлов по протоколам HTTP, HTTPS и FTP;
• сетевая печать (SMB Printing, NCP Printing, LPD, и т. д.);
• внешние устройства (USB, CD/DVD, принтеры, Bluetooth, модемы и т. п.), сетевые папки.

Характер передаваемых данных определяется путем обнаружения специфических признаков (метки, хеш-функции, грифы) и анализа контента (статистический анализ, регулярные выражения и т. п.). Хорошие системы, как правило, используют все доступные технологии, а администратор может легко создавать правила самостоятельно на основе подготовленных шаблонов. Кроме того, DLP-система должна обеспечивать службу безопасности инструментом для анализа всех событий и архивом переданной информации. Еще одним критерием, определяющим выбор DLP, является возможность блокировать утечку данных в реальном времени. Однако специалисты по-разному относятся к этой функции, ведь ошибка в работе DLP (а ложные срабатывания случаются, особенно на этапе ввода в эксплуатацию) может привести к блокировке вполне легального трафика, а значит, помешать работе сотрудников. Поэтому многие администраторы предпочитают анализ по факту, а не блокировку.

INFO

Важный этап в развертывании DLP - внедрение, когда необходимо четко сформулировать требования и ожидания и «обеспечить» DLP всеми данными для контроля.

Websense Data Security Suite

• Сайт проекта: websense.com .
• Лицензия: проприетарная.
• ОС сервер: Windows Server 2003 R2.
• ОС клиенты: Windows Vista, 7, 2003, 2008/R2.
• Русификация: отсутствует.

Калифорнийская корпорация Websense хорошо известна как производитель систем фильтрации веб-трафика, в частности, в Facebook вскоре будет внедрена ее разработка для защиты при переходе по внешним ссылкам. Решения ориентированы в первую очередь на средние и крупные компании со штатом свыше 500 сотрудников и государственные учреждения. Комплекс Websense DSS за счет контроля основных каналов обмена данными позволяет в реальном времени остановить утечку конфиденциальной информации. Он работает на основе технологии цифровых отпечатков PreciseID, разработанной компанией PortAuthority Technologies, которую Websense купила в 2006 году. PreciseID обеспечивает высокую точность обнаружения конфиденциальных данных и не имеет некоторых недостатков лингвистических методов. Данные описываются при помощи «цифрового отпечатка», представляющего собой набор символов или слов документа или содержимого полей БД. Такой подход обеспечивает точную классификацию контента более чем для 400 форматов документов (включая таблицы СУБД и сжатые файлы), даже если данные перенесены или конвертированы в другой формат. Кроме PreciseID, используются другие алгоритмы: словари, точное и частичное совпадение, статистический анализ и т. д. Вместе с тем для анализа информации в продуктах Websense применяется несколько технологий «Deep Content Control» и ThreatSeeker (сканирование веб-сайтов и обнаружение новых угроз).

Производится мониторинг основных каналов передачи: электронной почты (SMTP), сообщений MS Exchange, HTTP/HTTPS, FTP, IM/MSN. Предусмотрена интеграция по ICAP с любым интернет-шлюзом, поддерживающим этот протокол. Для мониторинга сервер Websense может устанавливаться в разрыв или использовать зеркалирование трафика (SPAN).

Websense DSS автоматически определяет реакцию на инцидент либо требует подтверждения ответственного сотрудника. Система умеет блокировать передачу конфиденциальных данных, отправлять уведомление (специалисту службы безопасности, начальнику или владельцу контента), запускать внешнюю программу, отправлять запрос на подтверждение отправки и др. Система присваивает инциденту уникальный номер и прикрепляет к сообщению файл. Администратор задает гибкие политики с учетом бизнес-процессов компании, а в комплекте поставки уже имеется несколько десятков шаблонов и настроенных отчетов по инцидентам и активности пользователей. Продукты Websense позволяют ограничить доступ к определенным сведениям для отдельных сотрудников или групп, защищают корпоративную документацию от внесения несанкционированных изменений. Остальные возможности включают принудительное шифрование электронной почты (через шлюз) и совместную работу с другими продуктами Websense (например, со шлюзом безопасности Websense Web Security Gateway). Поддерживается интеграция с Active Directory, Novell eDirectory и Lotus Domino. Совместно с Websense DSS используется ряд других приложений, расширяющих возможности комплекса DLP:

• Data Endpoint - устанавливается на конечные ПК, где контролирует данные, передаваемые через USB и при печати, попытки сделать скриншоты экрана, сообщения IM и т. д.;
• Data Monitor - осуществляет мониторинг каналов передачи, чтобы определить, кто, куда, как и что отправляет, и сопоставить с политиками и бизнес-процессами, снижая риски;
• Data Protect - включает Data Monitor, автоматически блокирует утечку данных на основе политик;
• Data Discover - программа для поиска и классификации конфиденциальных данных, которую можно использовать как в составе DSS, так и отдельно, не требует установки агентов.

Для управления всеми решениями Websense используется единая консоль Websense TRITON Console (Java и Apache Tomcat). Websense DSS очень просто установить. В архив уже входит MS SQL Server Express 2008 R2, но для больших сред лучше использовать полную версию. Первоначальная настройка политик производится при помощи простого мастера, создающего шаблоны с учетом страны и характера деятельности организации, в том числе имеются и региональные настройки для России.

Falcongaze SecureTower

• Сайт проекта: falcongaze.ru .
• Лицензия: проприетарная.
• ОС сервер: Windows 2003/2008 (x86/x64).
• ОС клиенты: Windows XP/Vista/7/2003/2008 (x86/x64).
• Русификация: есть.

Относительно молодое решение, разрабатываемое российским OOO «Фальконгейз». Представляет собой программный продукт, использующий для поиска конфиденциальной информации технологии контентного, атрибутивного и статистического анализа (ключевые слова, регулярные выражения, отпечаток и т. д.). Обеспечивает контроль всех популярных каналов утечки данных, в том числе отслеживает зашифрованный трафик (HTTP/S, FTP/S, POP3/S, SMTP/S, IMAP, OSCAR, ММР, MSN, XMPP). Если в организации используется MS Exchange 2007/2010, то вся внутренняя и внешняя переписка также проверяется на соответствие политикам. Особо хочется выделить полную поддержку Skype, ведь SecureTower может перехватывать голосовой трафик, текстовые сообщения, файлы и отправляемые SMS. Не все DLP это умеют или обеспечивают в полном объеме (чаще установленный агент контролирует лишь текстовые сообщения). Перехват трафика может быть настроен выборочно: по IP-адресам или диапазонам, MAC-адресам, портам и протоколам, логинам, размеру файлов и т. д. Система распознает защищенные паролем документы MS Word/Excel, PDF и некоторые типы архивов. Когда пользователь отправляет документ или архив, защищенный паролем, она генерирует событие и предоставляет администратору полную информацию и копию файла. SecureTower контролирует данные, копируемые на внешние устройства, печать на локальных и сетевых принтерах. Чтобы избежать ошибки при определении отправителя, SecureTower, кроме общепринятой информации, полученной из домена, анализирует все контактные данные, IP-адрес и период его использования, логин в различных месседжерах и т. п. Далее система заводит персональные карточки, с помощью которых вся собранная информация привязывается к учетным записям (возможна интеграция с Active Directory).

Кроме того, SecureTower имеет функции, не специфичные для DLP, но весьма востребованные в большинстве организаций. Так, с ее помощью можно контролировать работу сотрудников - система периодически делает скрины экранов для последующего просмотра в хронологическом порядке, отслеживает внутренние и внешние контакты. При этом формируются наглядные интерактивные отчеты, позволяющие в динамике наблюдать за сетевыми событиями и активностью отдельных пользователей. На основе собранных данных очень легко выяснить, сколько времени сотрудник потратил на пустое общение, пренебрегая своими служебными обязанностями, и когда это имело место. Функционально SecureTower состоит из нескольких компонентов:

• cервер перехвата трафика - захватывает сетевой трафик и передает его в базу данных для хранения (наиболее требовательный к ресурсам компонент);
• сервер контроля рабочих станций - используется для развертывания агентов на рабочие станции, мониторинга их работы и сбора информации, перехваченной агентами (в том числе шифрованного трафика и данных о работе с внешними устройствами);
• cервер обработки информации - выполняет обработку, индексацию и анализ данных, поиск, отправку уведомлений, формирование отчетов и пр.

В качестве СУБД может быть использован MS SQL Server, Oracle, SQLite и PostgreSQL. Система легко масштабируется, при необходимости в сеть можно добавить новый сервер, отвечающий за перехват или обработку данных. Процесс развертывания очень прост, для управления, создания правил и анализа используется консоль администратора Falcongaze SecureTower Admin Console и консоль безопасности Falcongaze SecureTower Client. В установленной системе активно несколько общих правил, позволяющих выявить отправку ряда данных (номеров кредиток, ИНН), посещение соцсетей, отправку резюме для поиска новой работы и др.

Возможности OpenDLP

За плату предлагается Enterprise-версия, имеющая расширенные средства анализа, улучшенный интерфейс, карантин, функцию архивирования и обеспечиваемая поддержкой.

Заключение

Нужно помнить, что DLP - это прежде всего инструмент, позволяющий значительно снизить риски, наличие которого уже само по себе дисциплинирует сотрудников. Ожидать, что внедрение такой системы гарантированно защитит от утечек, возникающих в результате умышленных действий, тоже не стоит. Если инсайдер захочет передать или вынести ценную информацию, он наверняка найдет способ для этого, поэтому следует также использовать все традиционные методы защиты.