DLP-система (от англ. Data Leak Prevention – предотвращение утечки данных) представляет собой комплексный программный продукт, цель которого – предотвратить кражу, изменение и распространение конфиденциальной информации. Принцип работы DLP-систем заключается в анализе всего трафика, который находится в пределах защищаемой корпоративной сети. Внедрение DLP-системы помогает контролировать входящие и исходящие потоки данных и блокировать попытки несанкционированной передачи важных корпоративных данных.
DLP работает по принципу data-centric security. Он подразумевает не защиту серверов, программного обеспечения или сетей, а контроль безопасности данных, которые обрабатываются в системе. Согласно этому принципу, все потоки информации разделяют на три категории:
Data-in-use – вся информация, с которой работают пользователи (создание и редактирование документов, медиа-контента).
Data-at-rest –информация, которая статично хранится на конечных устройствах пользователей и в местах общего доступа.
Data-in-motion – данные в процессе движения, передаваемые информационные потоки (транзакции, информация об авторизации, запросы «сервер-клиент» и другие).
Для обеспечения максимально возможной защиты информации в процессе внедрения DLP следует выполнять все рекомендации и использовать сразу несколько блоков защиты. Это позволит создать экономически выгодный, рабочий защитный контур. Внедрение DLP-системы должно выполняться поэтапно от подготовки до проектирования и настройки компонентов для работы под нагрузкой в компании.
На первом этапе внедрения DLP важно провести подготовительные процедуры. Процесс подготовки компании к установке системы защиты включает:
Аудит подразумевает оценку реальной степени защиты информации. На этом подготовительном отрезке идет поиск всех возможных каналов утечки данных и уязвимостей в IT-«экосистеме». Как правило, подготовку и внедрение системы сопровождает специалист компании, которая производит DLP, хотя в этой роли может выступать и посредник – фирма, предоставляющая услуги интегрирования DLP.
В любом случае обследование информационных потоков компании включает:
1. Оценку уровня безопасности при работе с внутренними документами компании.
2. Детальное изучение всех технических ресурсов компании, от серверов до сетевых потоков.
3. Создание перечня данных, которые относятся к группе информации с ограниченным доступом.
4. Разработка правил разграничения доступа.
5. Изучение и описание процессов обработки, создания, передачи и хранения информации в рамках компании.
Оценка риска и создание правил разграничения доступа – обязательные шаги на этапе внедрения экономически эффективной DLP-системы. Риски оцениваются наряду с обследованием потенциальных каналов утечки. В зависимости от вероятного ущерб принимается решение о необходимости защиты канала утечки.
Исполнитель составляет схему или детальное описание информационных потоков компании и способов обработки данных. Далее исполнитель и специалисты департамента информационной безопасности компании совместными усилиями создают правила разграничения доступа – набор прав, которые получает пользователь системы в зависимости от занимаемой должности. Если в организации нет ИБ-отдела, который занимается вопросами защиты, исполнитель согласовывает правила разграничения доступа с уполномоченным лицом компании. В процессе создания учитывают режим коммерческой тайны и регламент работы с конфиденциальной информацией.
Чаще всего, как показывает практика, у заказчиков нет заранее подготовленного описания бизнес-процессов, поэтому первый этап внедрения DLP-системы занимает больше всего времени.
Сигналом завершения первого этапа служит перечень нормативных документов, без которых невозможно дальнейшее внедрение системы. Список включает документы, где содержатся вероятные сценарии и каналы утечки информации; перечисление типов и видов данных с ограниченным доступом; схема потоков информации, доступ к которой ограничен; описание взаимодействия пользователей и технических компонентов с информацией, доступ к которой ограничен.
Задокументированные особенности жизненного цикла конфиденциальной информации в копании позволяют понять, как происходит работа с потоками данных и какие системы необходимы для их защиты от несанкционированного доступа или утечки.
При внедрении DLP-системы важно придерживаться не только принципов защиты информации, но и норм законодательства. Контроль за соблюдением правил работы с конфиденциальной информацией не должен нарушать личные права пользователей, поэтому стоит отказаться от действия, которые могут быть расценены как слежка. Дополнительно стоит предусмотреть механизмы контроля администраторов системы, у которых есть доступ ко всем типам данных.
Чтобы избежать недовольства и возмущения в коллективе, в общие сведения о работе системы рекомендуется включить пункты, где четко обозначить цели внедрения DLP-контроля и описать, как использование системы защиты информации способствует финансовому благополучию компании. Отдельно стоит подчеркнуть, что руководитель имеет право на защиту коммерческой тайны организации, а компьютеры и другая техника, которую предоставляет работнику, являются собственностью компании, и для защиты собственности может применяться любая система защиты.
Грамотный выбор системы DLP требует предварительного анализа ценности данных, нуждающихся в защите. Защита должна быть выгодна с экономической точки зрения. Другими словами, стоимость вероятного финансового ущерба от утечки информации не должна превышать стоимости внедрения и эксплуатации DLP-системы.
После завершения первого шага внедрения DLP-системы исполнитель имеет четкое представление о том, какие функции должна выполнять система защиты. Предварительно следует оговорить не только максимальную цену самой системы в нужной комплектации, но и стоимость работ по установке, настройке, тестированию и технической поддержке.
При выборе DLP-решения, стоит выяснить у разработчика:
Если выбранная или рекомендованная разработчиком DLP-система не соответствует бюджету заказчика, можно выбрать упрощенные версии системы. К примеру, системы класса Channel DLP, которые блокируют каналы передачи информации без анализа контента или поставляются с ограниченным набором функций для анализа.
Основные параметры архитектуры технических каналов и информационных процессов компании очерчиваются на первом этапе внедрения системы DLP. На этапе проектирования происходит более детальное обследование существующей инфраструктуры с упором на каналы, выбранные для защиты. Это требование является обязательным и позволяет свести к минимуму неполадки или сбои в процессе установки и начальной эксплуатации.
Для создания корректной схемы взаимодействия модуля защиты и всех серверов, баз данных, прокси в процесс установки DLP вовлекают технических специалистов компании-заказчика.
Для настройки DLP не существует единого алгоритма действий, поскольку более результативный подход заключается в постоянной поддержке работы системы и тонка перенастройка на протяжении всего срока использования.
Важно установить систему таким образом, чтобы при необходимости без проблем делегировать права доступа одного пользователя другому. Также следует создать набор функций для возможного расширения системы технического обеспечения компании без нарушения целостности DLP-продуктов.
Настройка DLP – это, по сути, проверка работы и тестирование установленных компонентов модуля защиты под реальной нагрузкой. Необходимо в первую очередь проверить корректность обработки запросов сервера и принципов разграничения доступа.
Для компании, где безопасность данных входит в число бизнес-приоритетов, внедрение DLP – оптимальный выбор. Успешная интеграция DLP позволит контролировать все потоки информации, а также вовремя выявлять и устранять угрозы безопасности.
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных