Современный мир построен на информации, контроль над бизнесом невозможен без контроля над информационными потоками. Политики DLP-систем, устанавливаемых на предприятии, призваны определить уровень безопасности и принципы работы с защитой информации. Основой системы защиты становится отнесение определенных данных к конфиденциальным и возможности DLP-систем выявлять ее фрагменты в потоке текстовой и визуальной (сканированные документы) информации.

Чем вызвана потребность в DLP-системах

Любая организация работает с данными, имеющими разную степень конфиденциальности. Это могут быть защищаемая нормами закона банковская или служебная тайна, персональные данные, сведения, которые руководством предприятия отнесены к коммерческой тайне.

Защита от утечек должна быть комплексной, и ее частью становится установка DLP-системы, которая решает следующие задачи: 

• структурирование информационных активов с выделением тех, для которых установлен режим коммерческой тайны, или подлежащих охране на ином установленном законом основании;
• отслеживание всех операций с такими файлами – от копирования до создания снимков экрана компьютера;
• аудит потоков информации внутри компании и вне ее, в том числе на удаленных устройствах, как на мобильных, так и на ноутбуках;
• контроль максимально возможного количества каналов передачи информации – от записи на флеш-карты до мессенджеров, перехват и блокировка исходящих потоков данных. 

Установить уровень контроля можно, задавая условия для политик информационной безопасности в DLP-системах.

Политики DLP

Перед тем, как перейти к внедрению DLP-системы, необходимо определить уровень защиты. Компания может быть заинтересована только в контроле за несанкционированными утечками, или сочтет целесообразным контролировать все действия пользователя. При настройке политики определяются следующие основные параметры:

• где именно компания хотела бы защищать данные. Это могут быть файлы на сетевых дисках, базы данных, каналы внутрисетевого общения, электронная почта, мессенджеры, взаимодействие с жесткими носителями, внешние хранилища информации. Так, сотрудники некоторых компаний приносят на работу собственные ноутбуки, и необходимо решить задачу защиты от утечек информации с этих устройств;
• условия, исходя из которых DLP-система отнесет сведения к подлежащим защите. Это должно быть изначально заданный объем информации. Выявление конфиденциальных данных, направляемых по каналам связи, происходит путем сравнения с эталонными. Это обеспечивается первоначальным наполнением системы цифровыми отпечатками или создания баз данных секретной информации;
• действия системы, предпринимаемые при выявлении инцидента информационной безопасности. Это могут быть блокировка операции, направление уведомления службе безопасности, иные меры, предусмотренные политикой;
• порядок формирования архива. В нем могут храниться или все операции, происходящие внутри системы, или только события информационной безопасности и реакция на них. Иностранные разработки ориентированы на хранение инцидентов, отечественные предпочитают сохранять весь трафик. Это генерирует дополнительные риски, в частности, связанные с защищенностью самой системы от внешнего воздействия или от инсайдерских действий системного администратора, отвечающего за работу с архивом.

Любая разработанная политика безопасности DLP-системы является сводом определенных правил, неукоснительно выполняемых программой. Каждое правило состоит из условия и действия. Правила имеют ранжирование, и программа начинает с анализа и выполнения тех, у которых наибольший приоритет.

Выглядит это следующим образом:

• выявление инцидента (например, отправка конфиденциальной информации через мессенджер);
• блокировка отправки;
• идентификация пользователя;
• генерация отчета об инциденте и отправка его по заданным адресам (службе безопасности и иногда самому пользователю).

Дополнительно в политике безопасности может быть запрограммирована фиксация действий сотрудника, например, запись видео его действий. Основой работы любой политики для DLP-системы становится текстовый анализатор, позволяющий вычислять конфиденциальную информацию в потоке различными способами, в том числе по наличию специальных меток. Степень защиты данных может ранжироваться.

Анализатор тестовой информации в DLP-системах может выявлять блоки данных, подлежащих защите, по следующим принципам:

• создание цифровых отпечатков защищаемой информации, например, стратегии развития компании, при реализации этого метода система способна составить данные, даже если они были частично изменены;
• проставление меток;
• использование ключевых слов;
• набор часто встречающихся в конкретных документах (договоры, бухгалтерская отчетность) слов и регулярных выражений;
• текстовой анализ.

Чем тоньше настроен текстовой анализатор в политике безопасности, тем меньше риск ложных срабатываний DLP-системы. Каждое такое срабатывание не только отвлекает ресурсы компании, но и провоцирует конфликты. Системы информационной безопасности в корпорациях с десятками тысяч сотрудников должны быть настроены таким образом, чтобы исключить ложные сигналы.

Этапы внедрения системы и разработки политики безопасности

Разработка политики безопасности становится первым важным этапом в процессе внедрения DLP-системы. Все данные, подлежащие контролю, должны быть классифицированы в зависимости от осуществляемых с ними бизнес-процессов:

1. Data at Rest. Информация только хранится, с ней ничего не происходит, она находится в системе корпорации, на отчуждаемых носителях, на ноутбуках или мобильных устройствах сотрудников;
2. Data in Motion. Сведения в движении. Передача информации контрагентам, платежные операции, управленческие команды;
3. Data in Use. Данные в обработке. Пользователи работают с информацией, применяя ее в производственной деятельности.

Далее, в рамках разработки политики безопасности для DLP-системы, необходимо классифицировать документы и определить уровни доступа к ним сотрудников. Текст политики безопасности должен включать:

• перечень информации, относящейся к конфиденциальной;
• условия реализации режима коммерческой тайны с определением уровня доступа сотрудников к данным;
• выполненное в специальных программах описание бизнес-процессов, определяющих взаимодействие сотрудников с данными, отнесенными к конфиденциальным.

Если этих документов и стандартов нет, внедрение DLP-системы может затянуться до момента, когда они будут разработаны и утверждены. После анализа внутренней документации заказчика потребуется создание дополнительного пакета документов, отражающих отдельные аспекты работы с информацией и являющихся основой политик DLP.

Это:

• перечень информации, доступ к которой ограничен. Сюда попадут не только сведения, отнесенные к коммерческой тайне, но и персональные данные, и любые файлы, которые руководство компании сочтет необходимым защитить;
• схема движения потоков защищенной информации с определением разрешенных путей ее передачи;
• описание процессов взаимодействия с защищенными данными, включая условия их обработки, изменения, копирования, печати;
• модель угроз и сценарии возможных утечек.

При разработке политики безопасности в рамках внедрения DLP-системы возникают и вопросы юридического характера. Контроль за действиями сотрудника, запись его действий на видео в ряде случаев могут быть расценены как нарушение конституционных прав человека.

Необходимо однозначно ответить на следующие вопросы:

• Возможно ли расценить работу системы как слежку за работниками компании?
• Как планируется решать возникающие конфликты, особенно в случае ложных срабатываний?

Служба безопасности фирмы должна быть готова ответить на эти вопросы, и эта часть разработки политики безопасности DLP-системы полностью ложится на ее плечи. Разработка дополнительных соглашений к трудовым договорам и ознакомление сотрудников с политиками безопасности и правилами работы с электронно-вычислительным оборудованием, принадлежащим компании, снижает риски возникновения конфликтов. 

Выбор системы

Созданная в компании политика безопасности определит подход к выбору системы для установки.

Принципы выбора подходящей DLP-системы:

• сложность установки и техподдержки. Решение, основанное на Oracle, не всегда подходят для фирм, специалисты которых имеют опыт работы только с Windows. Существуют программные продукты, установка которых занимает считанные минуты, а информация передается из базы несколькими движениями;
• взаимодействие с корпоративными информационными системами и иными программами, их совместимость. Некоторые решения могут устанавливаться не на сервер, где вопрос взаимодействия системы с уже установленным программным обеспечением может быть осложнен, а в виртуальной среде;
• необходимость обучения IT-персонала, степень его вовлеченности в процесс администрирования, количество рабочего времени, требуемого для обслуживания DLP-системы.

Настройка

После выбора и установки программного продукта возникает вопрос настройки, в процессе которой будет проверена работоспособность политик безопасности. Большая часть задач на этом этапе возлагается на персонал заказчика. Необходимо решить следующие задачи:

• изменение бизнес-процессов и иногда структуры компании;
• смена архитектуры информационной системы;
• перераспределение функций между сотрудниками и прием на работу новых;
• разработка внутренних документов, отражающих положения политик безопасности, и ознакомление с ними персонала.

Именно на этом этапе происходит настройка текстового анализатора. Необходимо выделить смысловые и текстовые блоки и насытить ими программу. Для этого используют цифровые отпечатки, словари, иногда технологии машинного обучения. При тестировании системы необходимо выявлять следующие значимые моменты: 

• не предусмотренные при разработке модели внедрения DLP-системы каналы утечки информации;
• ложные срабатывания, вызванные недостаточным объемом или не конкретизацией информации в текстовом анализаторе или неверно выстроенной политикой безопасности.

Все эти ситуации требуют оперативной доработки программного продукта. Полное насыщение текстового анализатора, позволяющее учесть все текущие задачи компании и избежать ошибок, может занять несколько недель. Необходимо написать регулярные выражения и наполнить базу специальных терминов. Изучая особенности DLP-систем различных производителей, можно отметить, что некоторые из них способны к тонкой настройке политик информационной безопасности, адаптируемых под задачи конкретного клиента, и этой опцией нельзя пренебрегать.

Настройка должна ответить на главный вопрос: система используется как сложный механизм, позволяющий только избежать утечек информации, или как механизм тотального контроля за работой сотрудников. Второй вариант окажется не только дороже, и его установка займет больше времени, но он не всегда сможет полностью решить проблемы безопасности, так как далеко не все утечки имеют инсайдерские причины.

Потери данных могут быть связаны и с внешним вмешательством, и с недостатками защиты при взаимодействии с облачными программами. Грамотная и точная настройка политик безопасности, использование всех возможностей текстового анализатора иногда позволяет решить все поставленные задачи. При этом необходимо поставить сотрудников в известность о том, что передача информации контролируется при помощи DLP-систем, что создаст у них дополнительную степень ответственности за последствия своих действий. В крупных компаниях инциденты безопасности решаются на уровне службы безопасности, а работник может только получить сообщение по электронной почте о том, что его действия являются нарушением политик безопасности.