Avlyssningsplan: hur man ställer in ett hybrid DLP-system. Tillvägagångssätt för implementering och konfiguration

Det kan tyckas att under 2017 har DLP-system blivit så vanligt i informationssäkerhet att frågor om trafikavlyssning har bleknat i bakgrunden.

Närmar sig olika tillverkare DLP om vilken trafik som ska samlas in och var, som regel, är rotad i deras egen erfarenhet av de första framgångsrika projekten. Uppenbarligen varierade denna erfarenhet från leverantör till leverantör, eftersom företagsinfrastruktur är en ganska individuell sak, och de personliga preferenserna hos informationssäkerhetsspecialister hade också en inverkan.

Men som ett resultat kan nästan alla DLP-system idag samla in trafik till e-postservrar, nätverksgateway, proxyserver och slutarbetsstationer. Men denna sista punkt orsakar fortfarande en hel del kontroverser. För vissa är en DLP-agent ett universalmedel mot alla hot, för andra är det lidande. Detta är vad jag vill prata om i den här artikeln.

Varför installera agenter överhuvudtaget?

Enligt DLP-klassikerna krävs en agent för att ge kontroll över data i vila (Data-at-rest) och data som används (Data-in-use) på arbetsstationer. Data-in-motion täcks till 95 % på servernivå, vilket är goda nyheter.

I teorin tillåter addering av agent DLP dig inte bara att söka efter konfidentiell information på anställdas datorer, utan också att kontrollera dess cirkulation i situationer när maskinen inte är på nätverket eller när informationen används aktivt. Men i praktiken, tillsammans med de breda möjligheterna, för agenter också med sig många svårigheter.

Installationsproblem

För det första är agenter mycket problematiska att distribuera. Fällan här ligger i pilotprojekt: vanligtvis installeras agenter på flera dussin eller hundratals maskiner utan problem, men när det är dags för industriell implementering, och tusentals maskiner måste skaffa agentmoduler, börjar det roliga.

När en organisation har problem med att installera DLP-agenter är den första som får sin dos av negativitet naturligtvis en specifik tillverkare. Men pratar man med erfarna informationssäkerhetsspecialister visar det sig att problemet är globalt. Försök att söka efter något som "dlp-agent installeras inte" eller "dlp-agentproblem". Du hittar hundratals forumsidor där användare klagar på agentmodulerna hos världens DLP-jättar.

Konflikter med befintlig programvara

Det fanns en tid då alla anständiga antivirus omedelbart upptäckte en DLP-agent som skadlig kod. Med tiden lyckades de flesta tillverkare lösa detta problem. Men det är viktigt att komma ihåg att ju mer kraftfull agent och desto mer dolda funktioner OS det använder, desto högre är sannolikheten för en konflikt.

Under en tid gick det en historia på marknaden om en viss organisation i Republiken Vitryssland, där VirusBlokAda-antiviruset var installerat. För att distribuera agentdelen av DLP i en organisation var leverantören tvungen att omgående utveckla en "integrationslösning" med detta antivirusprogram. Därför, när du hör att en lösning har integration med ett eller annat antivirus, menas i de flesta fall inte det ömsesidiga utbytet av informationssäkerhetshändelser, utan snarare icke-konflikten med DLP-agenten.

Innehållsanalys på en arbetsstation

Agentmodulen tvingas nöja sig med de begränsade resurserna på den anställdes arbetsstation, som vanligtvis är en stationär eller bärbar dator avsedd för att arbeta med dokument, e-postklient och webbläsare. Med allt detta måste agenten utföra innehållsanalys direkt på arbetsstationen. Detta slår mot produktiviteten, och särskilt hårt om organisationen använder "breda" policyer som syftar till att skydda stora volymer känsliga uppgifter som nedladdningar från databaser eller grafiska dokument. Vet du hur OCR fungerar på en arbetsstation eller en stämpeldetektor fungerar i stor skala? Värt att se en gång att minnas för alltid.

Falska positiva

I Nyligen Det finns en märkbar trend mot kombinerad användning av olika DLP-system i en infrastruktur. Kunder hämtar Bästa egenskaperna från flera beslut, och sedan börjar det kreativ process inställningarna för denna djurpark. Problemet är att olika lösningar börjar fånga upp samma trafik och skickar 2-3 aviseringar för samma händelse – naturligtvis till olika konsoler. Det leder förstås till att utrymmet i arkiven tar slut väldigt snabbt. Och slutligen, när arbetsstation faller börjar en utredning för att fastställa vilken agent som är skyldig.

Agenter stöder inte alla plattformar

Den idealiska bilden av infrastrukturen ser ut så här: alla användare använder samma arbetsstationer, till exempel på Windows 7 eller till och med på Windows 8, alla kompatibilitetsproblem är ett minne blott. Detta ideal uppfylls sällan i verkligheten, men även om ditt företag är det sällsynta undantaget, är byte till Windows 10 redan på agendan.

Problemet är att inte alla tillverkare kan garantera stabil drift av agenten med detta operativsystem. Om du till exempel går till de officiella trådarna för supportgemenskaper för västerländska leverantörer kan du se stort antal klagomål om inkompatibilitet med den nya Microsoft-skapelsen. Om du kommer ihåg hur företaget skickligt vrider armarna på antivirustillverkare, med vars produkter operativsystemet i allt högre grad kommer i konflikt med, då får man intrycket att Microsoft är för detta och snart kommer att komma till andra endpoint-lösningar för att införa sina samarbetsvillkor. Användare möter sådan instabilitet i stöd med ständiga uppdateringar och plötsliga fel hos DLP-agenter.

Mobilagent - bättre döda

Runt 2012 inledde Symantec en ny era av DLP-utveckling – förebyggande av läckage på mobila enheter. Deras lösning var att konfigurera iPhone eller iPad för att fungera genom en VPN-tunnel, som dirigerar all enhetstrafik till en DLP-server där policykontroll sker. Tja, tekniskt är allt implementerat väldigt transparent. Har du någonsin försökt gå igenom hela dagen med din VPN uppe? Man kan bara gissa hur snabbt enhetens batteri laddas ur. Dessutom är det i detta exempel inte tal om någon agent DLP på en mobil enhet. Att veta hur skarpt negativt Apple är mot någon bakgrundsapplikationer, och i ännu högre grad de som stör databehandlingsprocessen, är en sådan agent inte avsedd att födas. Det är okänt varför Symantec inte utvecklade en DLP-lösning för Android. Kanske ligger problemet i segmenteringen av operativsystemet, och det kommer att vara mycket svårt för utvecklare att underhålla olika versioner agenter för alla telefonmodeller. Och för de flesta trafikavlyssningsprocedurer måste du rota enheten, och inte alla erfarna säkerhetsspecialister tillåter ens en pålitlig tillverkare att göra detta.

Slutsatser

Det är svårt att föreställa sig en fullskalig implementering av ett DLP-system utan endpoint-övervakning. Begränsning av användningen av USB-media, kontroll av urklipp - dessa kanaler kan endast kontrolleras på agentsidan.

Om vi ​​pratar om kommunikationstrafik, alltså modern teknik låter dig fånga upp nästan allt på nätverksgatewayen och proxyservern. Analysera till och med SSL-trafik transparent utan inställningar i webbläsarens egenskaper. Därför rekommenderar vi att du alltid väljer interceptorer med omtanke. Alltför ofta visar sig den "enklare för agenten"-lösningen vara djupt felaktig.

Effektiviteten hos informationssäkerhetsverktyg är direkt proportionell mot mognaden hos de associerade informationssäkerhetsprocesserna och deras integrering i företagets affärsprocesser. Detta är särskilt märkbart i exemplet med DLP.

Pavel Volchkov
Ledande informationssäkerhetskonsult
Informationssäkerhetscenter för Jet Infosystems

Alla förpackade DLP har förinstallerade ordböcker och regler. Och i de flesta fall syftar de inte till att skydda mot läckor.

Vi ser ofta en situation där ett fullt fungerande DLP-system används i ett företag endast sporadiskt eller för att lösa lokala problem. Samtidigt är dess stöd obligatoriskt och belastar budgeten för IT- eller informationssäkerhetsavdelningen ekonomiskt. Hur får man systemet att fungera mer effektivt? Låt oss hitta en lösning på det här problemet, bara med tanke på den organisatoriska komponenten, utan att beröra den tekniska.

Den främsta orsaken till problem med DLP är uppblåsta förväntningar. Många informationssäkerhetsspecialister anser att det är nödvändigt att bygga processer kring DLP efter implementering. Vår erfarenhet visar att så inte är fallet. För att fungera effektivt måste DLP byggas kring befintliga informationssäkerhetsprocesser och inte vice versa. Med andra ord, för att effektivt kunna använda systemet måste en organisation ha åtminstone en initial nivå av informationssäkerhetsmognad och "växa" in i systemet.

Vilka är de största riskerna med DLP-implementeringsprocessen?

Först och främst kommer DLP-systemet att implementera endast mallregler som inte återspeglar de specifika affärsprocesserna. Enligt servicemetoden är företagets affärsenheter "kunder" av informationssäkerhetstjänster. Och de förser dem med olika tjänster, till exempel skydd mot läckor. Tyvärr, den svaga punkten för många informationssäkerhetstjänster i Ryssland är okunnighet om deras verksamhet. Och situationen med DLP förvärras av det faktum att affärsförståelse inte bara bör ligga på nivån för affärsprocesser och dataflöden, utan djupare - på nivån för specifika informationstillgångar.

En annan risk är att DLP "by design"-systemet inte täcker alla nuvarande kanaler för informationsläckage. Ett levande exempel är installationen av agentlös DLP och bristen på kontroll över flyttbara media. Ett sådant system kan identifiera en anställd som har skickat dokument till sin personliga e-post för att kunna arbeta hemifrån; eller de som slappar av på arbetsplatsen men sannolikt inte kommer att kunna förhindra eller spåra skadliga läckor.

Implementerade policyer genererar Ett stort antal falska positiva, och de kan inte behandlas inom rimlig tid - det finns en sådan svårighet. Ofta uppstår en liknande situation när man initialt försöker implementera anpassade regler. Vi vill till exempel spåra dokument som klassificeras som "För officiellt bruk", men vi får en mängd händelser som innehåller ofarliga fraser "en bil för officiellt bruk", "vänligen ge mig den för officiellt bruk" osv. Informationssäkerhetstjänsten kan inte behandla dem alla. Vissa regler måste överges.

En annan risk är att DLP inte används för att lösa informationssäkerhetsproblem. Alla förpackade DLP har förinstallerade ordböcker och regler. Och i de flesta fall syftar de inte till att skydda mot läckor. De kan hitta anställda som använder fult språk i företagets e-post, diskuterar chefer eller skickar ett CV till någon. Men allt detta har att göra med frågor om företagsetik, och inte med informationssäkerhet begränsad åtkomst.

Den slutliga risken med implementering är att att bygga en process kring DLP, snarare än tvärtom, kan påverka själva processen negativt och leda till organisatoriska åtgärder helt i linje med tillgänglig funktionalitet implementerat system. I praktiken kommer detta att resultera i en ganska vanlig situation: "Varför ska vi reglera reglerna för att arbeta med flyttbara media om vi tekniskt inte kan kontrollera implementeringen av dessa regler."

Vad ska man göra om företaget redan har DLP, men processkomponenten saknas?

Det finns en lösning. Och det ligger i den metodologiskt korrekta implementeringen av processmetoden, med hänsyn till DLP:s särdrag som ett skyddsmedel.

Om vi pratar om om organisationen av processmetoden, då mest lämplig modellär den klassiska PDCA-modellen (Plan-Do-Check-Act):

• vi bestämmer målen för systemet, vilken information vi kommer att skydda och hur (vi planerar);
• vi implementerar DLP-policyer (det gör vi);
• Vi driver systemet, analyserar det resulterande antalet händelser och verkliga incidenter, andelen fel, testresultat, tekniska indikatorer (vi kontrollerar);
• vi ändrar policyer med hänsyn till resultaten av analysen (justerar);
• fullgöra ny cykel planering, med hänsyn till ändrade mål; vi uppdaterar information, tillämpar nya tillvägagångssätt (planerar) etc.

Är det enkelt? Men det finns nyanser.

Att planera

De första svårigheterna i detta skede kan uppstå när man försöker svara på frågan, varför behöver vi DLP? Systemet kan göra "allt på en gång". Men det är ändå värt att prioritera uppgifter.

För att avgöra vad du verkligen behöver från DLP räcker det med att svara på ett antal frågor:

• vem som är huvudanvändarna av DLP och som just planerar att använda det;
• vad förväntar sig huvudanvändarna av användningen av DLP under de kommande 1–3 åren;
• vad företagets ledning själv förväntar sig, om den vill få regelbunden statistik och i vilken form;
• Finns det några icke-standardiserade externa krav på företaget när det gäller processen för skydd mot informationsläckor (till exempel krav från moderbolag)?

Prioriteringar görs. Och nästa problem: gå från abstrakta begrepp som "begränsad åtkomstinformation" eller "toppinformation" till specifika informationstillgångar, det vill säga gå ner till nivån för specifika dokument som överförs mellan specifika personer. Hur man gör det? Använder klassisk affärsprocessanalys, som bygger på inventering och kategorisering av informationstillgångar. Detta är en viktig och komplex uppgift, som representerar ett separat informationssäkerhetsprojekt.

Ett ämne som är förenligt med läckagekontrollprocessen är att bygga en affärshemlighetsregim. Detta läge underlättar avsevärt analysen av affärsprocesser och informationsinventering. När den tillämpas på DLP-installation, hjälper den att omvandla det abstrakta konceptet "begränsad information" till en uppsättning mycket specifika och påtagliga dokument. När du arbetar med dem kan du identifiera deras typiska egenskaper: meddelandeformat, stämpel, kontonummerformat, andra designegenskaper, typiska fraser/ingresser/titelsidor, standardiserade dokumentformulär, etc. Det är också möjligt att utöva mer "granulär" kontroll av anställda genom deras namn eller befattningsspecifika tillgång till företagshemligheter.

Do

En mycket viktig komponent i högkvalitativt DLP-arbete är finjustering policyer eller skapa icke-standardiserade regler i systemet. Den är baserad på tre metoder för att kontrollera information om begränsad åtkomst:

• enligt dess specifika identifierade egenskaper;
• använda funktionerna i standarddokument som är desamma för alla företag i branschen;
• använder regler som indirekt tillåter identifiering av informationssäkerhetsincidenter/ onormalt beteende anställda.

Det andra tillvägagångssättet implementeras genom ständig ackumulering av information om unika DLP-regler och skapandet av innehållsfiltreringsdatabaser. Det är tillrådligt att involvera leverantören eller företaget som implementerar DLP-implementeringsprojektet i denna process - de har redan stora innehållsfiltreringsdatabaser (standardhandlingar, formulär, vanliga rapportmallar, uppsättningar av nyckelord etc.) efter bransch. Separat är det värt att lyfta fram implementeringen av en uppsättning regler som indirekt gör det möjligt att identifiera avvikande beteende hos anställda, till exempel klassisk sändning av krypterade arkiv, sändning av information till tillfälliga brevlådor, sändning av stora volymmeddelanden, etc.

Effektiviteten av sådana enkla regler kan inte underskattas: med deras hjälp är det mer sannolikt att upptäcka avsiktliga informationsläckor.

Kontrollera

DLP är bara en del av ett läckageskyddssystem, tillsammans med processer och människor, vars effektivitet beror på vart och ett av dess element, vilket skapar en synergieffekt. Integrering av DLP i befintliga informationssäkerhetsprocesser är värdefullt eftersom det gör att man i praktiken kan utvärdera de policyer som implementeras i DLP.

Oavsett vilken DLP-lösning som används och i vilken konfiguration, är det tillrådligt att i det första skedet av planeringen också ta hand om att förstå vilka läckagekanaler som är mest realistiska. För de kanaler som inte omfattas av DLP är det nödvändigt att planera ett lika noggrant arbete med andra tekniska och organisatoriska åtgärder i framtiden. Men kom ihåg att att sätta upp DLP inte är ett mål i sig, utan ett verktyg för att kontrollera läckagekanaler, och ett av många.

DLP är associerat med följande informationssäkerhetsprocesser:

• intern kommunikation mellan informationssäkerhetstjänsten och ledningen;
• riskhantering för informationssäkerhet;
• åtkomstkontroll informationsresurser;
• registrering och övervakning av informationssäkerhetshändelser;
• hantering av incidenter för informationssäkerhet;
• öka de anställdas medvetenhet;
• modellering av hot och inkräktare.

Genom att analysera effektiviteten av de listade processerna kan vi dra en slutsats om effektiviteten av själva DLP och skissera sätt för ytterligare modernisering av policyer. Särskild uppmärksamhet måste ägnas åt att bekämpa falska positiva. En noggrann analys av detaljerna i upptäckta incidenter och specifika triggerförhållanden hjälper dig att undvika dem.

I detta skede är det också möjligt att få en bekräftelse på att de tidigare tilldelade personalresurserna inte räcker till för att underhålla systemet, vilket är viktigt för ytterligare utveckling DLP. Att administrera DLP och hantera incidenter som uppstår är resurskrävande processer, speciellt om DLP är installerat i en lucka. Det är omöjligt att förutse det nödvändiga antalet informationssäkerhetspersonal allt är individuellt och beror på antalet implementerade regler. Vår erfarenhet tyder på att det krävs minst en specialist, vars huvudansvar kommer att vara att underhålla systemet och relaterade processer.

Justera

Med all information om systemets funktion är det möjligt att implementera åtgärder för att justera befintliga regler, utveckla nya, göra ändringar i operativa regler för informationssäkerhetsprocesser, allokera ytterligare mänskliga resurser och teknisk modernisering av systemet. Det är tillrådligt att inkludera sådana händelser i den årliga informationssäkerhetsplanen.

En separat fråga är hur lång PDCA-cykeln ska vara. Det finns inget enskilt recept här; allt beror på företagets etablerade informationssäkerhetspraxis. Vi anser att det inledande skedet av kontroll bör ske under två kvartal för att säkerställa att det omfattar aktiviteter som uppstår inom företagets affärsprocesser en gång per kvartal, till exempel upprättande av kvartalsrapporter.

Utvecklingen av regulatorisk dokumentation är ett av huvudstadierna i implementeringen av säkerhetssystem, på vilka den ytterligare effektiviteten av deras användning i ditt företag direkt beror på. I den här artikeln kommer vi att analysera de grundläggande kraven i lagstiftning och tillsynsmyndigheter för användning av informationssäkerhetssystem i en organisation, vilket bör beaktas under implementeringen av DLP.

Så, vad är ett DLP-system? Ett DLP-system är en mjukvaruprodukt utformad för att förhindra läckor av konfidentiell information utanför företagets nätverk. Dessutom kan moderna informationssäkerhetssystem också övervaka företagets rykte och identifiera opålitliga anställda.

Varför är ett konfidentiellt dataskyddssystem ett oumbärligt element för att bygga en effektiv säkerhetspolicy i en organisation? Kolla bara in statistiken från tankesmedjan Gemalto för första halvåret 2018:

• 18,5 miljoner fall av dataläckage per dag;

• 771,9 fall av dataläckage per timme;

• 12,8 dataläckor per minut;

• 214 dataläckor varje sekund.

Men det är inte allt: jämfört med första halvåret 2017, fall av konfidentiella dataläckor ökade med 72 %- från 938,8 miljoner till 3,3 miljarder Imponerande siffror, eller hur?

Därför eftersträvar introduktionen av informationssäkerhetsverktyg följande mål:

• För det första, att skydda immateriella tillgångar och immateriella rättigheter från missbruk av tredje part;

• För det andra, att ta stöd av juridiska institutioner - domstolen och rättsväsende, i händelse av kränkningar av den juridiska ägarens rättigheter genom att skapa och tillhandahålla bevis i händelse av incidenter;

• För det tredje, att säkerställa möjligheten att tillämpa sanktioner mot personer som gjort sig skyldiga till brott mot exklusiva rättigheter, samt att återkräva skadestånd från dem.

Så du har bestämt dig för att ditt företag helt enkelt behöver ett DLP-system och tänker ta detta problem på allvar. Var ska man starta?

Utföra intern forskning

Studera den befintliga organisatoriska och administrativa dokumentationen;

Kom överens om en lista över tecken som potentiellt kan viktig information bör klassificeras som konfidentiellt;

Utvärdera företagets informationsresurser, fördela dem i kategorier:

1) upprätta en lista över befattningar och anställda som behöver tillgång till konfidentiell information.

2) beskriv i detalj de manipulationer som konfidentiell information utsätts för under affärsprocesser.

Vad är det för? En revision hjälper till att identifiera det mesta svaga punkter i befintliga affärsprocesser och få en helhetsbild av vad som fortfarande behöver arbetas med, för att i slutändan få en solid grund för att implementera ett DLP-system i din organisation.

Utveckla regulatorisk dokumentation

Baserat på den information som erhållits som en del av studien är det nödvändigt att utveckla regulatorisk dokumentation. Ett av de grundläggande kraven för genomförandet av säkerhetspolicyer är införandet av en affärshemlighetsregim. För att upprätta ett system är det nödvändigt att godkänna ett dokument som beskriver listan över information om begränsad åtkomst. Med tanke på det faktum att DLP-systemet är en mekanism för att utöva ensamrätten till immateriell egendom och immateriella tillgångar, måste information som klassificeras som konfidentiell fastställas i enlighet med lagen. Så enligt artikel 1225 civillagen, skyddad immateriell egendom inkluderar:

1) vetenskaps-, litteratur- och konstverk;

2) datorprogram;

3) databaser;

7) uppfinningar;

8) bruksmodeller;

9) industriell design;

10) urvalsprestationer;

11) topologi integrerade kretsar;

12) produktionshemligheter (know-how)

15) namn på varornas ursprungsplatser;

Dessutom är det nödvändigt att tillhandahålla utveckling av ett dokument med en lista över personer som är behöriga att arbeta med konfidentiell information, och varje anställd som ansvarar för efterlevnaden av regimen måste bekanta sig med detta dokument mot underskrift. Nödvändigt krav I juridiskt stöd för införandet av en ordning för företagshemligheter ingår också att ta fram ett dokument som reglerar hanteringen av konfidentiell information inom organisationen och som beskriver mekanismerna för dess skydd.

Och slutligen, den sista förberedande punkten är utfärdandet av ett order om att införa en affärshemlighetsordning inom organisationen.

Vad är det för? Låt oss ge tydligt exempel från rättspraxis:

Den 28 februari 2012 avslog den tolfte skiljedomsdomstolen (Saratov) LuxuRita LLCs överklagande mot beslutet från skiljedomstolen i Saratov-regionen angående företagets anspråk mot enskild entreprenör Yu.Yu.V. om återvinning av 491 474,92 rubel. förluster i form av utebliven vinst (olaglig användning av kundbasen och tjuvjakt av kunder)

Domstolen i första instans fastställde korrekt att käranden inte vidtog de åtgärder som fastställdes i del 1 i artikel 10 i den federala lagen "om affärshemligheter" i förhållande till företagets kundbas. Käranden tillhandahöll inte bevis i ärendet som bekräftade införandet av en ordning för affärshemligheter i förhållande till sin kundbas.

I avsaknad av skäl att erkänna kärandens kundbas som en affärshemlighet i förhållande till bestämmelserna i artikel 1465 i civillagen Ryska Federationen, kan svaranden inte ställas till civilrättsligt ansvar enligt reglerna i artikel 1472 i den ryska federationens civillagstiftning.

Ha ett samtal med anställda

Liksom all progressiv teknologi har DLP-system blivit betydligt mer avancerade än sina föregångare. Således kan moderna DLP-system kombinera flera viktiga funktioner samtidigt och inte bara vara ett verktyg för att skydda konfidentiell data, utan även t.ex. effektivt program att övervaka de anställdas aktiviteter. Denna lösning är optimal för chefer som är intresserade av verklig analys av personalens prestationer, och kommer också att tillåta dem att snabbt identifiera opålitliga medarbetare.

Men införandet av övervakning i en organisation kräver användning av ett antal åtgärder, som inkluderar:

Utveckling av övervakningsbestämmelser, som bör specificera reglerna för användning, bearbetning, lagring och överföring av konfidentiell information inom organisationen, samt vilket ansvar som föreskrivs för överträdelse av dessa;

Bekantskap med alla anställda på företaget med innehållet i regelverket mot underskrift.

Dessutom ska föreskrifterna innehålla en klausul om hur den information som inhämtats vid övervakning kan användas i framtiden och den angivna informationen ska stämma överens med verkligheten. Om det är nödvändigt att genomföra ljud- och bildupptagningar som ett led i övervakningen ska även anmälan om detta anges i föreskrifterna.

Trots den utbredda användningen liknande system inom olika affärsområden är många fortfarande oroade över lagligheten av att implementera övervakningssystem, eftersom det finns artikel 23 i Ryska federationens konstitution, som talar om integritet. Denna artikel är dock endast giltig i förhållande till personlig livet fysiskt person och har ingenting att göra med utförandet av officiella uppgifter. Sålunda, när man utarbetar ett dokument som reglerar en anställds verksamhet i en organisation, är det nödvändigt att ange att:

alla kommunikationsmedel som överförs till den anställde för användning är avsedda endast för utförande jobbansvar;

ägare E-post och abonnent telefonnätär organisation Således tillhandahålls de till den anställde för tillfälligt bruk under utförandet av officiella uppgifter.

Arbetsgivaren har dock även vissa skyldigheter som han ska uppfylla. Till exempel avsiktlig hemlig insamling av personlig information anställda för sina egna syften.

Efterlevnad av alla ovanstående krav gör att du effektivt kan använda övervakningssystemet utan att kränka dina anställdas rättigheter.

Vad är det för? Kontroll över arbetsaktivitet- detta är inte på något sätt en innovation, utan ett obligatoriskt villkor för att upprätta arbetsrelationer, som föreskrivs i arbetslagen. Och om vi tar hänsyn till särdragen i modern verksamhet, är övervakningssystem en nödvändighet. Låt oss ge ett exempel från livet, där övervakning av en anställds aktiviteter gjorde det möjligt för henne att fångas i olaglig användning av konfidentiell information: " Den 28 maj 2008 avslog Presnensky-domstolen yrkandet om att ersätta grunderna för uppsägning från art. 81 klausul 6 i art. 77 punkt 3 (på egen begäran).

En anställd på resebyrån "Intercity Service" (KPM Group holding) K.B. Under loppet av ett år skickade hon konfidentiell information till ett annat reseföretag både från sin dator och från andra anställdas datorer.

Grunden för uppsägning på grund av en anställds grova brott mot arbetsuppgifter - röjande av en lagskyddad hemlighet som blev känd för den anställde i samband med utförandet av hans arbetsuppgifter - baserades på material från en intern utredning som involverade automationsavdelningen.
Som bevis presenterades domstolen för e-postmeddelanden som skickats från ett företags e-postkonto till externa e-postadresser.

Anledningen till internutredningen var en ökning av utgående trafik från en anställd vars arbetsuppgifter inte innefattade att föra storskalig korrespondens med icke-företagsmottagare.

Avskedad enligt artikel 81 del 6 i arbetslagen – avslöjande av företagshemligheter.”

Följ FSTEC krav förDLP-system

federal tjänst för teknisk och exportkontroll (FSTEC), som är ett nationellt verkställande organ som är auktoriserat inom området för att säkerställa säkerhet i viktiga delar av informationsinfrastrukturen, presenterar speciella krav till DLP-system.

Enligt rekommendationerna i det metodologiska dokumentet "Åtgärder för att skydda information i statliga informationssystem", godkänd av Rysslands FSTEC den 11 februari 2014, är de organisatoriska och tekniska åtgärderna för att skydda information som vidtagits:

Måste säkerställa tillgängligheten av information som behandlas i ett automatiserat ledningssystem (uteslutning av olaglig blockering av information), dess integritet (uteslutning av olaglig förstörelse, ändring av information) och, om nödvändigt, konfidentialitet (uteslutning av obehörig åtkomst, kopiering, tillhandahållande eller distribution av information);

Måste korreleras med åtgärder för industriell, fysisk, brand-, miljö-, strålningssäkerhet och andra åtgärder för att säkerställa säkerheten för det automatiserade kontrollsystemet och det kontrollerade (kontrollerade) objektet och (eller) processen;

Bör inte ha en negativ inverkan på den normala driften av det automatiserade styrsystemet.

I enlighet med integritetsriktlinjer informationssystem och information (OTL) som presenteras i dokumentet, måste informationssystemet kontrollera innehållet i information som överförs från informationssystemet (behållarebaserat, baserat på egenskaperna hos åtkomstobjektet, och innehåll baserat på sökningen efter information som är förbjuden för överföring användning av signaturer, masker och andra metoder ), och uteslutning av olaglig överföring av information från informationssystemet (OTSL. 5).

För att uppfylla kraven måste funktionaliteten hos ett modernt DLP-system inkludera:

• identifiera fakta om olaglig överföring av skyddad information från informationssystemet genom Olika typer nätverksanslutningar, inklusive kommunikationsnät allmänt bruk, och svar på dem;

• identifiera fakta om olaglig inspelning av skyddad information på oredovisade flyttbara datorlagringsmedia och svara på dem;

• identifiera fakta om olaglig utskrift av dokument som innehåller skyddad information och svara på dem;

• identifiering av fakta om olaglig kopiering av skyddad information till ansökan programvara från klippbordet och svara på dem;

• kontroll av lagring av skyddad information på servrar och automatiserade arbetsstationer;

• identifiera fakta om informationslagring på delade nätverksresurser ( delade mappar, dokumenthanteringssystem, databaser, e-postarkiv och andra resurser).

Krav på förstärkningsåtgärder från FSTEC informationssäkerhet DLP-system:

• informationssystemet måste lagra all information som överförs från informationssystemet och (eller) information med innehåll som är oacceptabelt för överföring från informationssystemet under en tidsperiod som bestäms av operatören;

• informationssystemet ska blockera överföringen av information med oacceptabelt innehåll från informationssystemet.

Vad är det för?

Underlåtenhet att följa regulatoriska krav innebär många problem, så vi rekommenderar starkt att du för det första noggrant studerar den regulatoriska dokumentationen, på grundval av vilken kunden kommer att utveckla en informationssäkerhetspolicy för ditt företag, och för det andra, kontakta endast betrodda företag som erbjuder en licensierad mjukvaruprodukt som uppfyller alla regulatoriska krav, till exempel SecureTower.

Sluta inte där

DLP-systemet kan inte identifieras med universell lösning alla problem relaterade till cybersäkerhet. Att bygga en kompetent säkerhetspolicy i ett företag är för det första en process, inte en uppgift som kräver ständig förbättring. Eftersom den nyckelegenskap varje process är dess kontinuitet, eventuella förändringar inom organisationen - anställning och uppsägning av anställda, optimering av affärsprocesser, införande av nya dokument, etc. - måste också registreras och återspeglas i DLP-systemet.

Vad är det för? När du introducerar ett DLP-system i en verksamhet är det viktigt att förstå att det bara är ett verktyg som kräver konstant konfiguration, så endast ett ansvarsfullt tillvägagångssätt från ledning till användning av systemet och snabba ändringar av säkerhetspolicyer kan garantera maximalt skydd mot läckor.

DLP-system är lätta att implementera, men att ställa in dem för att ge påtagliga fördelar är inte så lätt. På det här ögonblicket vid implementering av övervaknings- och kontrollsystem informationsflöden(min beskrivning av termen DLP) använder oftast något av följande tillvägagångssätt:

1. Klassisk . Med detta tillvägagångssätt har företaget redan definierat kritisk information och krav för dess bearbetning, och DLP-systemet kontrollerar endast implementeringen av dem.
2. Analytisk . Samtidigt har företaget en allmän förståelse för att det är nödvändigt att kontrollera spridningen av kritisk information (oftast konfidentiell information), men förståelsen för informationsflöden och de nödvändiga kraven på dem har ännu inte definierats. Då fungerar DLP-systemet som en slags verktygslåda som samlar in nödvändig data, vars analys kommer att göra det möjligt att tydligt formulera kraven för informationsbehandling och sedan dessutom, mer exakt, konfigurera själva systemet.

Jag kommer kort att ge exempel på steg för implementering av DLP som är karakteristiska för varje tillvägagångssätt.

Klassiskt sätt att implementera DLP:

1. Bestäm de huvudsakliga affärsprocesserna och analysera dem . Vid utgången måste du få ett dokument " " (ibland kan detta vara en mer utökad lista, något som ett arbetsdokument " Lista över kontrollerad information", för att man till exempel vill kontrollera och förebygga e-postkorrespondens användning av svordomar) och arbetsdokumentet "List of Information Owners". Att förstå vem som äger den eller den informationen är nödvändig för att i efterhand kunna fastställa kraven för dess behandling.
2. Identifiera de viktigaste medierna och överföringsmetoderna. Det är nödvändigt att förstå på vilka medier kontrollerad information kan finnas i organisationens IT-infrastruktur. Samtidigt är det god praxis att utveckla sådana arbetsdokument som " Lista över lagringsmedia"och" Skrolla möjliga kanaler informationsläckor".
3. Bestäm krav för användning av information och tjänster . Det händer ofta att sådana krav formuleras i separata policyer, till exempel i dokumenten "E-postanvändningspolicy", "Internetanvändningspolicy" och andra. Det är dock bekvämare att utveckla en enda " Policy för acceptabel resursanvändning". Det är vettigt att ange kraven för följande block: arbeta med e-post och internet, använda flyttbara media; använda arbetsstationer och bärbara datorer, bearbeta information om personliga enheter(PDA, smartphones, surfplattor etc.), användning av kopieringsutrustning och nätverkslagring data, kommunikation på sociala nätverk och bloggar, användning av tjänster snabbmeddelanden, bearbetning av information fixerad på hårda media (papper).
4. Bekanta medarbetarna med kraven för att använda information och tjänster definierade i föregående steg.
5. Designa ett DLP-system . Ur synvinkel teknisk design, jag rekommenderar att du utvecklar åtminstone " Teknisk uppgift"och" Testprogram och metodik". dokument som " kommer också att vara ytterligare användbara ", där du måste specificera i detalj hur systemet kommer att filtrera information och svara på händelser och incidenter, och " ", där du kommer att registrera roller och ansvarsgränser för att hantera DLP.
6. Implementera och konfigurera DLP-systemet, sätt det i provdrift. Till en början görs detta bäst i övervakningsläge.
7. Genomför utbildning för personal som ansvarar för att hantera och underhålla DLP . I detta skede är det tillrådligt för dig att utvecklas Set med rollspelsinstruktioner för DLP(ledning och support) .
8. Analysera resultaten och resultaten av försöksverksamheten, gör korrigeringar (om nödvändigt) och sätt i kommersiell drift.
10. Analysera regelbundet incidenter och förbättra DLP-konfigurationspolicyn.

AnalytiskDLP implementeringsmetod:

Designa ett DLP-system . I detta skede, en enkel " Tekniska specifikationer "och" Testa program och metoder".

Definiera och konfigurera lägsta DLP-policyer. Vår uppgift är inte att övervaka och blockera några aktiviteter, utan snarare att samla in analytisk information om vilka kanaler och medel som används för att överföra det eller det. företagsinformation.

Genomför utbildning för personal som ansvarar för att hantera och underhålla DLP. Här kan du använda standardinstruktioner för "leverantör".

Implementera och konfigurera DLP-systemet, sätt det i provdrift (i övervakningsläge).

Analysera resultat och resultat av provdrift. Uppgiften är att identifiera och analysera de huvudsakliga informationsflödena.

Göra ändringar (utveckla) grundläggande dokument som reglerar övervakning och kontroll av information, bekanta medarbetarna med dem. Dokumentation " Lista över konfidentiell information"och" Policy för acceptabel användning".

Gör ändringar i DLP-inställningarna, bestäm förfarandet för att hantera och underhålla DLP, sätt det i kommersiell drift. Utveckla dokument" Företagsstandard för att sätta upp DLP-policyer", "Föreskrifter om rollfördelning för förvaltning och underhåll av DLP", "DLP rollspelsbok".

Gör ändringar (om de inte är tillgängliga, utveckla) i incidenthanteringsproceduren (eller analoger).

Analysera regelbundet incidenter och förbättra DLP-konfigurationspolicyn.

Tillvägagångssätten skiljer sig åt, men båda är ganska lämpliga för att implementera DLP-system. Jag hoppas att informationen som presenteras ovan kan leda dig till nya framgångsrika tankar om att skydda information från läckor.

Även en nybörjare kan hantera att installera ett DLP-system Systemadministratör. Men finjustering av DLP kräver viss kompetens och erfarenhet.

Grunden för stabil drift av DLP-klassprodukter läggs i implementeringsstadiet, vilket inkluderar:

• identifiering av kritisk information som måste skyddas;
• utveckling av en integritetspolicy;
• sätta upp affärsprocesser för att hantera informationssäkerhetsproblem.

Att utföra sådana uppgifter kräver snäv specialisering och djupgående studier av DLP-systemet.

Klassificering av skyddssystem

Valet av ett DLP-system beror på de uppgifter som ett visst företag behöver lösa. I den mest allmänna formen är uppgifter uppdelade i flera grupper, inklusive övervakning av rörelsen av konfidentiell information, övervakning av anställdas aktivitet under dagen, nätverksövervakning (gatewayanalys) och komplex övervakning (nätverk och slutarbetsstationer).

För de flesta företags syften är det optimalt att välja en heltäckande DLP-lösning. Hosted system är lämpliga för små och medelstora företag. Fördelarna med värd DLP är tillfredsställande funktionalitet och låg kostnad. Bland minusen - låg prestanda, skalbarhet, feltolerans.

Nätverks-DLP har inte sådana nackdelar. De integrerar enkelt och interagerar med lösningar från andra leverantörer. Detta är en viktig aspekt, eftersom DLP-systemet måste fungera sömlöst tillsammans med de produkter som redan är installerade på företagsnätverket. Lika viktigt är DLP:s kompatibilitet med de databaser och programvara som används.

Vid val av DLP beaktas de dataöverföringskanaler som används i företaget och behöver skydd. Oftast är dessa e-post, IP-telefoni och HTTP-protokoll; trådlöst nätverk,Blåtand, flyttbara media, skriva ut på skrivare, nätverk eller arbeta offline.

Övervaknings- och analysfunktioner är viktiga komponenter korrekt funktion DLP-system. Minimikrav Analytiska verktyg inkluderar morfologisk och språklig analys, förmågan att korrelera kontrollerad data med ordböcker eller sparade "standardfiler".

Ur teknisk synvinkel är moderna DLP-lösningar i stort sett desamma. Systemets effektivitet beror på korrekt automatiseringsinställning sökalgoritmer. Därför kommer fördelen med produkten att vara en enkel och förståelig process för att ställa in DLP, som inte kräver regelbundna samråd med tekniska specialister Säljare.

Tillvägagångssätt för implementering och konfiguration

Installation av ett DLP-system i ett företag följer oftast ett av två scenarier.

Klassiskt tillvägagångssätt innebär att kundföretaget självständigt upprättar en lista över information som behöver skydd, funktionerna i dess bearbetning och överföring, och systemet styr informationsflödet.

Analytiskt förhållningssätt ligger i att systemet först analyserar informationsflöden för att isolera information som behöver skydd, och sedan sker finjusteringar för att mer exakt övervaka och säkerställa skyddet av informationsflöden.

STEDER FÖR IMPLEMENTERING AV DLP
enligt det klassiska schemat:	enligt analysschemat:
analys av grundläggande affärsprocesser och upprättande av en lista med konfidentiella data;	skapande av ett DLP-skyddsprojekt;
"inventering" av media och datavägar som hotas av obehöriga handlingar;	ställa in minimibehörigheter för integritetspolicy;
registrering av procedurer för att arbeta med informationstjänster, inklusive internetresurser, flyttbara enheter, datorer, bärbara datorer, surfplattor, skrivare, kopieringsutrustning, tryckta medier;	bekantskap med specialister som ansvarar för DLP-arbetet grundläggande principer systemets funktion;
bekanta anställda med kraven för informationscirkulation i företaget;	starta systemet i testläge;
skapa ett DLP-projekt som indikerar hur systemet kommer att reagera på identifierade incidenter, såväl som metoder för extern hantering;	analys av resultaten av pilotlanseringen;
lansering av det experimentella systemet i observationsläge;	göra ändringar i systeminställningar;
utbildning av specialister som ansvarar för DLP-arbete;
analys av en provlansering av ett DLP-system, om nödvändigt - ytterligare anpassning;
lansering av systemet i "industriell" drift;
regelbunden analys av systemdrift, justering av parametrar.

Problem under DLP-drift

Praxis visar: oftast ligger inte problemen med DLP-systemens funktion i tekniska funktioner fungerar, men i användarnas höga förväntningar. Därför fungerar ett analytiskt tillvägagångssätt för att implementera säkerhet mycket bättre. Företag som är ”mogna” i informationssäkerhetsfrågor, som redan har stött på implementering av verktyg för att skydda konfidentiell information och vet vad och hur man bäst skyddar, ökar chanserna att bygga ett välfungerande effektivt system DLP-baserat skydd.

Vanliga misstag vid inställning av DLP

• Implementera mallregler

Ofta tilldelas informationssäkerhetsavdelningen rollen som en serviceavdelning för andra divisioner av företaget, som förser ”klienter” med tjänster för att förhindra informationsläckor. För effektivt arbete kräver informationssäkerhetsspecialister en grundlig kunskap om företagets operativa aktiviteter för att "skräddarsy" DLP-systemet med hänsyn till individuella affärsprocesser.

• Inte alla möjliga kanaler för konfidentiellt dataläckage täcks

Kontroll av e-post- och HTTP-protokoll med DLP-system i avsaknad av kontroll använder FTP eller USB-portar ger sannolikt inte tillförlitligt skydd för konfidentiell data. I en sådan situation är det möjligt att identifiera anställda som skickar företagsdokument till personlig e-post för att arbeta hemifrån, eller slackers som spenderar arbetstimmar på dejtingsajter eller sociala nätverk. Men en sådan mekanism är värdelös mot avsiktligt "läckage" av data.

• Falska incidenter som informationssäkerhetsadministratören inte hinner hantera manuellt

Att spara standardinställningarna i praktiken resulterar i en lavin av falska varningar. Till exempel på begäran " bankuppgifter”Informationssäkerhetsspecialisten bombarderas med information om alla transaktioner i företaget, inklusive betalningar för kontorsmaterial och vattenleverans. Systemet kan inte hantera ett stort antal falsklarm på ett adekvat sätt, så vissa regler måste inaktiveras, vilket försvagar skyddet och ökar risken att missa en incident.

• Misslyckande med att förhindra dataläckage

Standard DLP-inställningar låter dig identifiera anställda som är engagerade i personliga skäl på jobbet. För att systemet ska kunna jämföra händelser på företagsnätverket och indikera misstänkt aktivitet krävs finjustering.

• Försämring av DLP-effektiviteten på grund av anpassningen av informationsflöden runt systemet

Informationssäkerhetssystemet bör "anpassas" ovanpå affärsprocesser och accepterade regler för att arbeta med konfidentiell information, och inte vice versa - anpassa företagets arbete till DLP:s kapacitet.

Hur löser man problem?

För att skyddssystemet ska fungera som en klocka måste du gå igenom varje steg av DLP-implementering och konfiguration, nämligen: planering, implementering, verifiering och justering.

• Planera

Den består av en exakt definition av dataskyddsprogrammet. Svaret på en till synes enkel fråga: "Vad ska vi skydda?" - inte alla kunder har det. En checklista som består av svar på mer detaljerade frågor hjälper dig att utveckla en plan:

→ Vem kommer att använda DLP-systemet?

→ Vem ska administrera uppgifterna?

→ Vilka är utsikterna för att använda programmet inom tre år?

→ Vilka mål eftersträvar ledningen när de implementerar ett DLP-system?

→ Vilka är orsakerna till de atypiska kraven för att förhindra dataläckor i ett företag?

En viktig del av planeringen är att tydliggöra skyddsobjektet, eller med andra ord att precisera vilka informationstillgångar som överförs av specifika anställda. Specifikationen inkluderar kategorisering och registrering av företagsdata. Uppgiften delas vanligtvis upp i ett separat dataskyddsprojekt.

Nästa steg är att fastställa de verkliga kanalerna för informationsläckage. Detta är vanligtvis en del av en informationssäkerhetsrevision i ett företag. Om upptäckta potentiellt farliga kanaler inte "stängs" av DLP-komplexet, bör du vidta ytterligare tekniska skyddsåtgärder eller välja en DLP-lösning med mer fullständig täckning. Det är viktigt att förstå att DLP är ett effektivt sätt att förhindra läckage med bevisad effektivitet, men inte kan ersätta allt moderna instrument dataskydd.

• Genomförande

Felsökning av programmet i enlighet med individuella förfrågningar från ett visst företag baseras på kontroll av konfidentiell information:

• i enlighet med egenskaperna hos särskild dokumentation som antagits av företaget;
• i enlighet med egenskaperna hos standarddokumentation som är gemensam för alla organisationer i branschen;
• använda regler som syftar till att identifiera incidenter (atypiska handlingar av anställda).

Trestegskontroll hjälper till att identifiera avsiktlig stöld och obehörig överföring av information.

• Undersökning

DLP-komplexet är en del av företagets informationssäkerhetssystem och ersätter det inte. Och effektiviteten hos en DLP-lösning är direkt relaterad till korrekt drift av varje element. Därför, innan företag ändrar "fabriks"-konfigurationen för att passa individuella behov, utför företag detaljerad övervakning och analys. I detta skede är det bekvämt att beräkna de mänskliga resurser som krävs för att säkerställa en stabil drift av DLP-programmet.

• Justering

Efter att ha analyserat informationen som samlats in under testdriftsfasen av DLP-lösningen börjar vi konfigurera om resursen. Detta steg inkluderar att förtydliga befintliga och upprätta nya regler; ändra taktik för att säkerställa säkerheten för informationsprocesser; bemanning för att arbeta med DLP-systemet, teknisk förbättring av programmet (ofta med deltagande av utvecklaren).

Moderna DLP-system löser ett stort antal problem. Den fulla potentialen hos DLP realiseras dock endast genom en iterativ process, där analys av systemprestandaresultat följs av förfining av DLP-inställningar.