Информационная безопасность

Решения «СёрчИнформ»:

Предотвращение утечек Выявление угроз Контроль персонала

Настройка DLP

С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.

Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:

  • определение критической информации, которая подлежит защите;
  • разработку политики конфиденциальности;
  • настройку бизнес-процессов для решения вопросов информационной безопасности.

Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.

Классификация систем защиты

Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).

Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP – удовлетворительная функциональность и невысокая стоимость. Среди минусов – низкие производительность, масштабируемость, устойчивость отказов.

У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.

При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.

Функции мониторинга и анализа – важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».

С технической точки зрения современные DLP-решения во многом совпадают. Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.

Подходы к внедрению и настройке

Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.

Классический подох означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.

Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков.

ЭТАПЫ ВНЕДРЕНИЯ DLP

по классической схеме:

по аналитической схеме:

  • анализ базовых бизнес-процессов и оформление перечня конфиденциальных данных;
  • создание проекта DLP-защиты;
  • «инвентаризация» носителей и маршрутов движения данных, которым угрожают несанкционированные действия;
  • установка минимальных разрешений конфиденциальной политики;
  • оформление процедуры работы с информационным сервисами, включая интернет-ресурсы, съемные устройства, ПК, ноутбуки, планшеты, принтеры, копировальную технику, печатные носители;
  • ознакомление ответственных за работу DLP специалистов с базовыми принципами функционирования системы;
  • ознакомление сотрудников с требованиями к обороту информации в компании;
  • запуск системы в опытном режиме;
  • создание проекта DLP с указанием способов реагирования системы на выявленные инциденты, а также способов внешнего управления;
  • анализ результатов опытного запуска;
  • запуск опытной системы в режиме наблюдения;
  • внесение изменений в настройки системы;
  • обучение специалистов, ответственных за работу DLP;
  • запуск системы в «промышленную» эксплуатацию;
  • анализ опытного запуска DLP-системы, при необходимости – дополнительная настройка;
  • регулярный анализ работы системы, корректировка параметров.
  • запуск системы в «промышленную» эксплуатацию;

 

  • регулярный анализ работы системы, корректировка параметров.

 

Проблемы в процессе эксплуатации DLP

Практика показывает: чаще всего проблемы функционирования DLP-систем кроются не в технических особенностях работы, а в завышенных ожиданиях пользователей. Поэтому гораздо лучше срабатывает аналитический подход к внедрению защиты, его еще называют консалтинговым. «Зрелые» в вопросах ИБ компании, которые уже сталкивались с внедрением инструментов защиты конфиденциальных сведений и знают, что и каким способом лучше защищать, повышают шансы построить отлаженную эффективную систему защиты на базе DLP.

Распространенные ошибки при наладке DLP

  • Реализация шаблонных правил

Нередко ИБ-подразделению отводится роль сервисной службы для других подразделений компании, которая оказывает «клиентам» услуги по предотвращению утечек информации. Тогда как для результативной работы ИБ-специалистам требуются доскональные знания операционной деятельности компании, чтобы «заточить» DLP-систему с учетом индивидуальных бизнес-процессов.

  • Охват не всех возможных каналов утечки конфиденциальных данных

Контроль электронной почты и HTTP-протоколов средствами DLP-системы при бесконтрольном использовании FTP или USB-портов едва ли обеспечит надежную защиту конфиденциальных данных. В подобной ситуации возможно установить сотрудников, пересылающих корпоративные документы на личную почту, чтобы поработать из дома, или бездельников, просиживающих рабочие часы на сайтах знакомств или в социальных сетях. Но против преднамеренного «слива» данных такой механизм бесполезен.

  • Ложные инциденты, которые ИБ-администратор не успевает обработать вручную

Сохранение настроенных по умолчанию на практике оборачивается лавиной ложных оповещений. Например, по запросу «банковские реквизиты» на ИБ-специалиста обрушивается информация обо всех транзакциях в компании, включая оплату канцелярских принадлежностей и доставки воды. Адекватно обработать большое количество ложных тревог система не может, поэтому приходится отключать некоторые правила, что ослабляет защиту и увеличивает риск пропустить инцидент.

  • Неспособность предупредить утечку данных

Стандартные настройки DLP позволяют выявить сотрудников, которые занимаются личными делами на рабочем месте. Чтобы система сопоставляла события в корпоративной сети и указывала на подозрительную активность, понадобится тонкая настройка.

  • Ухудшение эффективности DLP в связи с выстраиванием информационных потоков вокруг системы

Систему защиты информации следует «настраивать» поверх бизнес-процессов и принятых регламентов работы с конфиденциальной информации, а не наоборот – подгонять работу компании под возможности DLP.

Как решить проблемы?

Чтобы система защиты заработала как часы, нужно пройти все без исключения стадии внедрения и настройки DLP, а именно: планирование, реализация, проверка и корректировка.

  • Планирование

Заключается в точном определении программы защиты данных. Ответ на простой, казалось бы, вопрос: «Что будем защищать?» – есть не у каждого заказчика. Разработать план поможет чек-лист, составленный из ответов на более детализированные вопросы:

Кто будет использовать DLP-систему?

→ Кто будет администрировать данные?

→ Какие перспективы применения программы в течение трех лет?

→ Какие цели преследует руководство, внедряя DLP-систему?

→ С чем связаны нетипичные требования к предотвращению утечек данных в компании?

Важная часть планирования – уточнить объект защиты, или другими словами, конкретизировать информационные активы, которые передаются конкретными сотрудниками. Конкретизация включает распределение по категориям и учет корпоративных данных. Выполнение задачи обычно выделяют в отдельный проект по защите данных.

Следующий шаг – определение реальных каналов утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не «закрывают» DLP-комплексом, следует принять дополнительные технические меры защиты или выбрать DLP-решение с более полным охватом. Важно понимать, что DLP – действенный способов предотвратить утечку с доказанной эффективностью, но не может заменить все современные инструменты защиты данных.

  • Реализация

Отладка программы в соответствии с индивидуальными запросами конкретного предприятия базируется на контроле конфиденциальных сведений:

  • в соответствии с признаками особенной документации, принятой в компании;
  • в соответствии с признаками типовой документации, общей для всех организаций отрасли;
  • с использованием правил, направленных на выявление инцидентов (нетипичных действий сотрудников).

Трехступенчатый контроль помогает выявить преднамеренную кражу и несанкционированную передачу информации.

  • Проверка

DLP-комплекс входит в состав системы ИБ предприятия, а не заменяет ее. И эффективность работы DLP-решения напрямую связана с корректностью работы каждого элемента. Потому перед изменением «заводской» конфигурации под частные потребности компании проводят подробный мониторинг и анализ. На этом этапе удобно просчитать человеческий ресурс, необходимый для обеспечения стабильной работы DLP-программы.

  • Корректировка

Проанализировав информацию, собранную на этапе тестовой эксплуатации DLP-решения, приступают к перенастройке ресурса. Этот шаг включает уточнение существующих и установление новых правил; изменение тактики обеспечения безопасности информационных процессов; комплектация штата для работы с DLP-системой, техническое усовершенствованию программы (нередко – с участием разработчика).

Современные DLP-комплексы решают большое количество задач. Однако потенциал DLP полностью реализуется только на основе циклического процесса, где анализ результатов работы системы сменяется уточнением настройки DLP.