Настройка DLP

Этапы внедрения
DLP-системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

С установкой DLP-системы справится даже начинающий системный администратор. А вот тонкая настройка DLP требует некоторых навыков и опыта.

Фундамент стабильной работы продуктов класса DLP закладывается на этапе внедрения, который включает:

  • определение критической информации, которая подлежит защите;
  • разработку политики конфиденциальности;
  • настройку бизнес-процессов для решения вопросов информационной безопасности.

Выполнение подобных заданий требует узкой специализации и углубленного изучения DLP-системы.

Классификация систем защиты

Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).

Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP – удовлетворительная функциональность и невысокая стоимость. Среди минусов – низкие производительность, масштабируемость, устойчивость отказов.

У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.

При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно.

Функции мониторинга и анализа – важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».

С технической точки зрения современные DLP-решения во многом совпадают. Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.

Подходы к внедрению и настройке

Установка DLP-системы в компании чаще всего идет по одному из двух сценариев.

Классический подход означает, что компания-заказчик самостоятельно устанавливает перечень сведений, нуждающихся в защите, особенности их обработки и передачи, а система контролирует информационный поток.

Аналитический подход заключается в том, что система вначале анализирует информационные потоки, чтобы вычленить сведения, нуждающиеся в защите, а затем происходит тонкая настройка для более точного мониторинга и обеспечения защиты информационных потоков.

ЭТАПЫ ВНЕДРЕНИЯ DLP

по классической схеме:

по аналитической схеме:

  • анализ базовых бизнес-процессов и оформление перечня конфиденциальных данных;
  • создание проекта DLP-защиты;
  • «инвентаризация» носителей и маршрутов движения данных, которым угрожают несанкционированные действия;
  • установка минимальных разрешений конфиденциальной политики;
  • оформление процедуры работы с информационным сервисами, включая интернет-ресурсы, съемные устройства, ПК, ноутбуки, планшеты, принтеры, копировальную технику, печатные носители;
  • ознакомление ответственных за работу DLP специалистов с базовыми принципами функционирования системы;
  • ознакомление сотрудников с требованиями к обороту информации в компании;
  • запуск системы в опытном режиме;
  • создание проекта DLP с указанием способов реагирования системы на выявленные инциденты, а также способов внешнего управления;
  • анализ результатов опытного запуска;
  • запуск опытной системы в режиме наблюдения;
  • внесение изменений в настройки системы;
  • обучение специалистов, ответственных за работу DLP;
  • запуск системы в «промышленную» эксплуатацию;
  • анализ опытного запуска DLP-системы, при необходимости – дополнительная настройка;
  • регулярный анализ работы системы, корректировка параметров.
  • запуск системы в «промышленную» эксплуатацию;

 

  • регулярный анализ работы системы, корректировка параметров.

 

Проблемы в процессе эксплуатации DLP

Практика показывает: чаще всего проблемы функционирования DLP-систем кроются не в технических особенностях работы, а в завышенных ожиданиях пользователей. Поэтому гораздо лучше срабатывает аналитический подход к внедрению защиты, его еще называют консалтинговым. «Зрелые» в вопросах ИБ компании, которые уже сталкивались с внедрением инструментов защиты конфиденциальных сведений и знают, что и каким способом лучше защищать, повышают шансы построить отлаженную эффективную систему защиты на базе DLP.

Распространенные ошибки при наладке DLP

  • Реализация шаблонных правил

Нередко ИБ-подразделению отводится роль сервисной службы для других подразделений компании, которая оказывает «клиентам» услуги по предотвращению утечек информации. Тогда как для результативной работы ИБ-специалистам требуются доскональные знания операционной деятельности компании, чтобы «заточить» DLP-систему с учетом индивидуальных бизнес-процессов.

  • Охват не всех возможных каналов утечки конфиденциальных данных

Контроль электронной почты и HTTP-протоколов средствами DLP-системы при бесконтрольном использовании FTP или USB-портов едва ли обеспечит надежную защиту конфиденциальных данных. В подобной ситуации возможно установить сотрудников, пересылающих корпоративные документы на личную почту, чтобы поработать из дома, или бездельников, просиживающих рабочие часы на сайтах знакомств или в социальных сетях. Но против преднамеренного «слива» данных такой механизм бесполезен.

  • Ложные инциденты, которые ИБ-администратор не успевает обработать вручную

Сохранение настроенных по умолчанию на практике оборачивается лавиной ложных оповещений. Например, по запросу «банковские реквизиты» на ИБ-специалиста обрушивается информация обо всех транзакциях в компании, включая оплату канцелярских принадлежностей и доставки воды. Адекватно обработать большое количество ложных тревог система не может, поэтому приходится отключать некоторые правила, что ослабляет защиту и увеличивает риск пропустить инцидент.

  • Неспособность предупредить утечку данных

Стандартные настройки DLP позволяют выявить сотрудников, которые занимаются личными делами на рабочем месте. Чтобы система сопоставляла события в корпоративной сети и указывала на подозрительную активность, понадобится тонкая настройка.

  • Ухудшение эффективности DLP в связи с выстраиванием информационных потоков вокруг системы

Систему защиты информации следует «настраивать» поверх бизнес-процессов и принятых регламентов работы с конфиденциальной информации, а не наоборот – подгонять работу компании под возможности DLP.

Как решить проблемы?

Чтобы система защиты заработала как часы, нужно пройти все без исключения стадии внедрения и настройки DLP, а именно: планирование, реализация, проверка и корректировка.

  • Планирование

Заключается в точном определении программы защиты данных. Ответ на простой, казалось бы, вопрос: «Что будем защищать?» – есть не у каждого заказчика. Разработать план поможет чек-лист, составленный из ответов на более детализированные вопросы:

Кто будет использовать DLP-систему?

→ Кто будет администрировать данные?

→ Какие перспективы применения программы в течение трех лет?

→ Какие цели преследует руководство, внедряя DLP-систему?

→ С чем связаны нетипичные требования к предотвращению утечек данных в компании?

Важная часть планирования – уточнить объект защиты, или другими словами, конкретизировать информационные активы, которые передаются конкретными сотрудниками. Конкретизация включает распределение по категориям и учет корпоративных данных. Выполнение задачи обычно выделяют в отдельный проект по защите данных.

Следующий шаг – определение реальных каналов утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не «закрывают» DLP-комплексом, следует принять дополнительные технические меры защиты или выбрать DLP-решение с более полным охватом. Важно понимать, что DLP – действенный способов предотвратить утечку с доказанной эффективностью, но не может заменить все современные инструменты защиты данных.

  • Реализация

Отладка программы в соответствии с индивидуальными запросами конкретного предприятия базируется на контроле конфиденциальных сведений:

  • в соответствии с признаками особенной документации, принятой в компании;
  • в соответствии с признаками типовой документации, общей для всех организаций отрасли;
  • с использованием правил, направленных на выявление инцидентов (нетипичных действий сотрудников).

Трехступенчатый контроль помогает выявить преднамеренную кражу и несанкционированную передачу информации.

  • Проверка

DLP-комплекс входит в состав системы ИБ предприятия, а не заменяет ее. И эффективность работы DLP-решения напрямую связана с корректностью работы каждого элемента. Потому перед изменением «заводской» конфигурации под частные потребности компании проводят подробный мониторинг и анализ. На этом этапе удобно просчитать человеческий ресурс, необходимый для обеспечения стабильной работы DLP-программы.

  • Корректировка

Проанализировав информацию, собранную на этапе тестовой эксплуатации DLP-решения, приступают к перенастройке ресурса. Этот шаг включает уточнение существующих и установление новых правил; изменение тактики обеспечения безопасности информационных процессов; комплектация штата для работы с DLP-системой, техническое усовершенствованию программы (нередко – с участием разработчика).

Современные DLP-комплексы решают большое количество задач. Однако потенциал DLP полностью реализуется только на основе циклического процесса, где анализ результатов работы системы сменяется уточнением настройки DLP.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними