Современный мир построен на информации, контроль над бизнесом невозможен без контроля над информационными потоками. Политики DLP-систем, устанавливаемых на предприятии, призваны определить уровень безопасности и принципы работы с защитой информации. Основой системы защиты становится отнесение определенных данных к конфиденциальным и возможности DLP-систем выявлять ее фрагменты в потоке текстовой и визуальной (сканированные документы) информации.
Чем вызвана потребность в DLP-системах
Любая организация работает с данными, имеющими разную степень конфиденциальности. Это могут быть защищаемая нормами закона банковская или служебная тайна, персональные данные, сведения, которые руководством предприятия отнесены к коммерческой тайне.
Защита от утечек должна быть комплексной, и ее частью становится установка DLP-системы, которая решает следующие задачи:
- структурирование информационных активов с выделением тех, для которых установлен режим коммерческой тайны, или подлежащих охране на ином установленном законом основании;
- отслеживание всех операций с такими файлами – от копирования до создания снимков экрана компьютера;
- аудит потоков информации внутри компании и вне ее, в том числе на удаленных устройствах, как на мобильных, так и на ноутбуках;
- контроль максимально возможного количества каналов передачи информации – от записи на флеш-карты до мессенджеров, перехват и блокировка исходящих потоков данных.
Установить уровень контроля можно, задавая условия для политик информационной безопасности в DLP-системах.
Политики DLP
Перед тем, как перейти к внедрению DLP-системы, необходимо определить уровень защиты. Компания может быть заинтересована только в контроле за несанкционированными утечками, или сочтет целесообразным контролировать все действия пользователя. При настройке политики определяются следующие основные параметры:
- где именно компания хотела бы защищать данные. Это могут быть файлы на сетевых дисках, базы данных, каналы внутрисетевого общения, электронная почта, мессенджеры, взаимодействие с жесткими носителями, внешние хранилища информации. Так, сотрудники некоторых компаний приносят на работу собственные ноутбуки, и необходимо решить задачу защиты от утечек информации с этих устройств;
- условия, исходя из которых DLP-система отнесет сведения к подлежащим защите. Это должно быть изначально заданный объем информации. Выявление конфиденциальных данных, направляемых по каналам связи, происходит путем сравнения с эталонными. Это обеспечивается первоначальным наполнением системы цифровыми отпечатками или создания баз данных секретной информации;
- действия системы, предпринимаемые при выявлении инцидента информационной безопасности. Это могут быть блокировка операции, направление уведомления службе безопасности, иные меры, предусмотренные политикой;
- порядок формирования архива. В нем могут храниться или все операции, происходящие внутри системы, или только события информационной безопасности и реакция на них. Иностранные разработки ориентированы на хранение инцидентов, отечественные предпочитают сохранять весь трафик. Это генерирует дополнительные риски, в частности, связанные с защищенностью самой системы от внешнего воздействия или от инсайдерских действий системного администратора, отвечающего за работу с архивом.
Любая разработанная политика безопасности DLP-системы является сводом определенных правил, неукоснительно выполняемых программой. Каждое правило состоит из условия и действия. Правила имеют ранжирование, и программа начинает с анализа и выполнения тех, у которых наибольший приоритет.
Выглядит это следующим образом:
- выявление инцидента (например, отправка конфиденциальной информации через мессенджер);
- блокировка отправки;
- идентификация пользователя;
- генерация отчета об инциденте и отправка его по заданным адресам (службе безопасности и иногда самому пользователю).
Дополнительно в политике безопасности может быть запрограммирована фиксация действий сотрудника, например, запись видео его действий. Основой работы любой политики для DLP-системы становится текстовый анализатор, позволяющий вычислять конфиденциальную информацию в потоке различными способами, в том числе по наличию специальных меток. Степень защиты данных может ранжироваться.
Анализатор тестовой информации в DLP-системах может выявлять блоки данных, подлежащих защите, по следующим принципам:
- создание цифровых отпечатков защищаемой информации, например, стратегии развития компании, при реализации этого метода система способна составить данные, даже если они были частично изменены;
- проставление меток;
- использование ключевых слов;
- набор часто встречающихся в конкретных документах (договоры, бухгалтерская отчетность) слов и регулярных выражений;
- текстовой анализ.
Чем тоньше настроен текстовой анализатор в политике безопасности, тем меньше риск ложных срабатываний DLP-системы. Каждое такое срабатывание не только отвлекает ресурсы компании, но и провоцирует конфликты. Системы информационной безопасности в корпорациях с десятками тысяч сотрудников должны быть настроены таким образом, чтобы исключить ложные сигналы.
Этапы внедрения системы и разработки политики безопасности
Разработка политики безопасности становится первым важным этапом в процессе внедрения DLP-системы. Все данные, подлежащие контролю, должны быть классифицированы в зависимости от осуществляемых с ними бизнес-процессов:
- Data at Rest. Информация только хранится, с ней ничего не происходит, она находится в системе корпорации, на отчуждаемых носителях, на ноутбуках или мобильных устройствах сотрудников;
- Data in Motion. Сведения в движении. Передача информации контрагентам, платежные операции, управленческие команды;
- Data in Use. Данные в обработке. Пользователи работают с информацией, применяя ее в производственной деятельности.
Далее, в рамках разработки политики безопасности для DLP-системы, необходимо классифицировать документы и определить уровни доступа к ним сотрудников. Текст политики безопасности должен включать:
- перечень информации, относящейся к конфиденциальной;
- условия реализации режима коммерческой тайны с определением уровня доступа сотрудников к данным;
- выполненное в специальных программах описание бизнес-процессов, определяющих взаимодействие сотрудников с данными, отнесенными к конфиденциальным.
Если этих документов и стандартов нет, внедрение DLP-системы может затянуться до момента, когда они будут разработаны и утверждены. После анализа внутренней документации заказчика потребуется создание дополнительного пакета документов, отражающих отдельные аспекты работы с информацией и являющихся основой политик DLP.
Это:
- перечень информации, доступ к которой ограничен. Сюда попадут не только сведения, отнесенные к коммерческой тайне, но и персональные данные, и любые файлы, которые руководство компании сочтет необходимым защитить;
- схема движения потоков защищенной информации с определением разрешенных путей ее передачи;
- описание процессов взаимодействия с защищенными данными, включая условия их обработки, изменения, копирования, печати;
- модель угроз и сценарии возможных утечек.
При разработке политики безопасности в рамках внедрения DLP-системы возникают и вопросы юридического характера. Контроль за действиями сотрудника, запись его действий на видео в ряде случаев могут быть расценены как нарушение конституционных прав человека.
Необходимо однозначно ответить на следующие вопросы:
- Возможно ли расценить работу системы как слежку за работниками компании?
- Как планируется решать возникающие конфликты, особенно в случае ложных срабатываний?
Служба безопасности фирмы должна быть готова ответить на эти вопросы, и эта часть разработки политики безопасности DLP-системы полностью ложится на ее плечи. Разработка дополнительных соглашений к трудовым договорам и ознакомление сотрудников с политиками безопасности и правилами работы с электронно-вычислительным оборудованием, принадлежащим компании, снижает риски возникновения конфликтов.
Выбор системы
Созданная в компании политика безопасности определит подход к выбору системы для установки.
Принципы выбора подходящей DLP-системы:
- сложность установки и техподдержки. Решение, основанное на Oracle, не всегда подходят для фирм, специалисты которых имеют опыт работы только с Windows. Существуют программные продукты, установка которых занимает считанные минуты, а информация передается из базы несколькими движениями;
- взаимодействие с корпоративными информационными системами и иными программами, их совместимость. Некоторые решения могут устанавливаться не на сервер, где вопрос взаимодействия системы с уже установленным программным обеспечением может быть осложнен, а в виртуальной среде;
- необходимость обучения IT-персонала, степень его вовлеченности в процесс администрирования, количество рабочего времени, требуемого для обслуживания DLP-системы.
Настройка
После выбора и установки программного продукта возникает вопрос настройки, в процессе которой будет проверена работоспособность политик безопасности. Большая часть задач на этом этапе возлагается на персонал заказчика. Необходимо решить следующие задачи:
- изменение бизнес-процессов и иногда структуры компании;
- смена архитектуры информационной системы;
- перераспределение функций между сотрудниками и прием на работу новых;
- разработка внутренних документов, отражающих положения политик безопасности, и ознакомление с ними персонала.
Именно на этом этапе происходит настройка текстового анализатора. Необходимо выделить смысловые и текстовые блоки и насытить ими программу. Для этого используют цифровые отпечатки, словари, иногда технологии машинного обучения. При тестировании системы необходимо выявлять следующие значимые моменты:
- не предусмотренные при разработке модели внедрения DLP-системы каналы утечки информации;
- ложные срабатывания, вызванные недостаточным объемом или не конкретизацией информации в текстовом анализаторе или неверно выстроенной политикой безопасности.
Все эти ситуации требуют оперативной доработки программного продукта. Полное насыщение текстового анализатора, позволяющее учесть все текущие задачи компании и избежать ошибок, может занять несколько недель. Необходимо написать регулярные выражения и наполнить базу специальных терминов. Изучая особенности DLP-систем различных производителей, можно отметить, что некоторые из них способны к тонкой настройке политик информационной безопасности, адаптируемых под задачи конкретного клиента, и этой опцией нельзя пренебрегать.
Настройка должна ответить на главный вопрос: система используется как сложный механизм, позволяющий только избежать утечек информации, или как механизм тотального контроля за работой сотрудников. Второй вариант окажется не только дороже, и его установка займет больше времени, но он не всегда сможет полностью решить проблемы безопасности, так как далеко не все утечки имеют инсайдерские причины.
Потери данных могут быть связаны и с внешним вмешательством, и с недостатками защиты при взаимодействии с облачными программами. Грамотная и точная настройка политик безопасности, использование всех возможностей текстового анализатора иногда позволяет решить все поставленные задачи. При этом необходимо поставить сотрудников в известность о том, что передача информации контролируется при помощи DLP-систем, что создаст у них дополнительную степень ответственности за последствия своих действий. В крупных компаниях инциденты безопасности решаются на уровне службы безопасности, а работник может только получить сообщение по электронной почте о том, что его действия являются нарушением политик безопасности.