Применение DLP-систем как инструмент обеспечения информационной безопасности организации.

1.1 Цели и основные угрозы информационной безопасности

История передачи информации растянулась на протяжении более десятка лет, поскольку своевременное получение конфиденциальных данных является ключом к взаимодействию между сторонами. И чем важнее информация, тем больше необходимость ее защищать.
Основная цель информационной безопасности, согласно ISO / IEC IS 27001: 2005, которая определяет информационную безопасность как сохранение конфиденциальности, целостности и доступности информации, заключается в защите информационных ресурсов компании от внутренних и внешних преднамеренных и непреднамеренных угроз.
Безопасность данных должна обеспечиваться повсеместно, поэтому цель информационной безопасности – обеспечить непрерывность бизнеса компании и минимизировать бизнес-риски, предотвращая инциденты и уменьшая размер потенциального ущерба.
…

1.2 Основные каналы утечки информации

Источник информации постоянно расползается во внешнюю среду. Каналы распространения информации несут в себе объективный характер, чрезвычайно активны и включают в себя: партнерские, организационные, коммерческие, научные, коммуникативно-контролируемые коммуникации; информационные и коммуникационные сети.
Канал распространения информации – это способ передачи ценной информации из одного источника в другой, санкционированно или же несанкционированно.
Термин «утечка конфиденциальной информации», вероятно, не самый гармоничный, но он более лаконично, чем другие термины, отражает суть явления. Он давно утвердился в научной литературе, нормативных документах.
…

2.1 Анализ объекта исследования

Публичное акционерное общество «МАЗ» входит в группу предприятий ПАО МАЗ и является крупнейшим в России заводом по производству специальных надстроек на шасси МАЗ.
В состав завода входят три основных корпуса: корпус автосамосвалов, корпус вахтовых автомобилей и цистерн, корпус автобусного производства и вспомогательные цеха. Предприятие выпускает:
• автосамосвалы;
• вахтовые автобусы;
• автоцистерны, прицепы и полуприцепы-цистерны;
• тентовые прицепы и полуприцепы;
• пассажирские автобусы;
• сельхозмашины;
• другую технику.
Предприятие серийно выпускает широкий модельный ряд автобусов – городские, пригородные, междугородные, междугородные в северном исполнении, автобус с двигателем, работающим на газе метане, автобус повышенной комфортабельности туристического класса, низкопольные и полунизкопольные автобусы. Производится также коллаборация автобусов с европейской корпорацией VDL7.
…

2.1.1 Обеспечение информационной безопасности

Организационно-правовая, программно-аппаратная и инженерно-техническая поддержка информационной безопасности ПАО «МАЗ» осуществляется с помощью следующих подразделений:
• отдела информационных и коммуникационных технологий;
• службы безопасности ПАО «МАЗ»;
• отдела экономической безопасности.
Ответственным за разработку мер и контроля над обеспечением защиты информации является руководитель отдела информационных и коммуникационных технологий. Специалистами отдела информационных и коммуникационных технологий должны осуществляться следующие виды работ по защите информации:
Контроль безопасности ИТ-инфраструктуры компании от угроз ИБ осуществляется путем:
• проведение аудита безопасности ИС;
• контроль за соблюдением правил, утвержденных политик безопасности пользователями корпоративной сети;
• контроль доступа к сетевым ресурсам.
…

2.1.2 Политика информационной безопасности

Организационно-правовые меры состоят из административных и процедурных мер по защите информации. Основой мер административного уровня, то есть мер, которые принимаются администрацией организации, является политика информационной безопасности. Политика информационной безопасности – это набор документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов.
Политика информационной безопасности предприятия определяет идеологию информационной безопасности, а также некую степень внимания и число ресурсов, которые администрация считает необходимым выделить.
Политика информационной безопасности предприятия определяется концепцией, а также иными правовыми и организационными документами предприятия.
…

2.1.3 Программно-аппаратные средства защиты информации

Электронный документооборот между пользователями информационных сетей содержит различную информацию, которая по своим признакам и характеристикам имеет свою ценность – государственную, коммерческую или частную и обладает конфиденциальным статусом.
В данной ситуации возникает проблема безопасности информации и ее защиты от несанкционированного доступа с использованием различных злоумышленных действий.
Для контроля сотрудников используется программный комплекс (ПК) «Стахановец». ПК «Стахановец» — программный комплекс, предназначенный для руководителей, HR-директоров, службы информационной безопасности, IT-специалистов.
…

2.2. Исследование принципов работы DLP-систем

DLP-системы (Data Leak Prevention) представляют собой совокупность технологий и технических устройств (программного или программно-аппаратного обеспечения), направленные на предотвращение утечки конфиденциальной информации за пределы информационной системы организации14.
Организации, внедряющие систему DLP, как правило, руководствуются следующими целями:
• снизить финансовые потери от разглашения конфиденциальной информации;
• избежать нанесения ущерба репутации;
• соответствовать отраслевым стандартам безопасности.
Функции DLP-систем:
• контроль перемещения информации как на уровне коммуникаций с внешней сетью, так и на уровне оконечных устройств пользователей (рисунок 2);
• сканирование хранимых файлов и баз данных для поиска конфиденциальной информации;
• предотвратить утечку конфиденциальных данных, заблокировав процесс передачи в случае обнаружения нарушения политики безопасности15.
…

2.2.1 Преимущества DLP-систем

В современном информационном мире задача защиты ценной информации становится не просто прихотью, а насущной необходимостью.
Корпоративный шпионаж и получение несанкционированного доступа к данным становится обыденным явлением, а ценность информации растет с каждым годом.
Даже такой банальный пример, как отправка электронного письма с внутренней бизнес-информаций по неправильному адресу может привести к непоправимым последствиям. К ним относятся, например, огласка данных в СМИ и надлежащее внимание со стороны налоговой и прочих инспекций.
Система DLP контролирует данные, которые передаются по различным каналам и определяет уровень ее конфиденциальности. Это своего рода фильтр, в который поступает вся возможная информация, после чего проводится ее анализ.
По завершению анализа система принимает решение – нужно ли пропустить эти данные либо заблокировать их. Возможен и третий вариант – отправка сомнительных данных контролеру.
…

2.3 Технологии категоризации информации

Лингвистический анализ. Данный метод является одним из самых распространенных контентных способов обнаружения утечек конфиденциальной информации. Суть этого метода заключается в поиске в передаваемом тексте определенных слов или словосочетаний. И, хотя это звучит очень просто, на самом деле он относится к числу самых сложных в реализации методов. Дело в том, что строгий поиск только указанных выражений сам по себе бесполезен, необходим поиск, в котором учитываются всевозможные формы заданных слов.
Главным преимуществом рассматриваемого метода является его универсальность. С одной стороны, лингвистический анализ может использоваться для контроля любых каналов связи, начиная с файлов, копируемых на съемные накопители, и заканчивая сообщениями в мессенджерах и социальных сетях и пр. А с другой – с его помощью могут исследоваться любые тексты и искаться любая информация.
…

2.4 Сравнительный анализ DLP-систем

Выбор любой корпоративной системы защиты информации зачастую занимает столько же времени, сколько внедрение и последующая эксплуатация. Системы DLP только подтверждают это: в настоящее время на рынке имеется несколько десятков различных продуктов с более чем сотней различных параметров, затрудняющих выбор18. Некоторые из них:
• Falcon Gaze Secure Tower;
• Search Inform;
• Perimetrix;
• DeviceLock;
• McAfee;
• Websense;
• Symanteс;
• Forsepoint;
• Digital Guardian;
• Intel Security;
• Clearswift и т.д.
Ниже будут рассмотрены три DLP-системы отечественного производителя.
Zecurion Data Loss Prevention. Отечественная компания, занимающаяся разработкой DLP систем. Компания создана в 2001 году и имела название SecureIT. В 2012 году была переименована в Zecurion. Компания выпускает комплексную DLP систему, состоящую из трех частей Zgate, Zlock, Zdiscovery.
…

2.4.1 Режимы работы

Два основных режима работы систем DLP – активный и пассивный. Обычно активным является основной режим работы, в котором блокируются действия, нарушающие политики безопасности, такие как отправка конфиденциальной информации во внешний почтовый ящик. Пассивный режим чаще всего используется во время настройки системы для проверки и корректировки настроек, когда доля ложных срабатываний высока. В этом случае нарушения правил фиксируются, но ограничения на перемещение информации не накладываются (Таблица 1).

Таблица 1− Режимы работы
DLP-системы

Режим работы
Активный / Пассивный
Активный / Пассивный
Активный / Пассивный
Работа в режиме мониторинга
+
+
+
Работа в режиме блокировки
+
+
+
Возможность контроля пользователей вне сети компании
+
+
+

Глядя на таблицу, можно увидеть, что каждая из анализируемых DLP-решений, работает как в активном режиме, так и в пассивном.

2.4.
…

2.4.2 Технологии распознавания информации

Технологии распознавания позволяют классифицировать информацию, передаваемую по электронным каналам, и выявлять конфиденциальную информацию. Сегодня существует несколько базовых технологий и их разновидностей, похожих по сути, но разных по реализации. Каждая технология имеет свои преимущества и недостатки. Кроме того, различные типы технологий подходят для анализа информации разных классов. Поэтому производители решений DLP пытаются интегрировать максимальное количество технологий в свои продукты (см. Таблицу 2).
…

2.4.3 Контролируемые каналы

Каждый канал данных является потенциальным каналом утечки. Даже один открытый канал может свести на нет все усилия службы информационной безопасности, управляющей потоками информации. Вот почему так важно блокировать каналы, которые не используются сотрудниками для работы, и контролировать оставшиеся каналы с помощью систем предотвращения утечек.
Несмотря на то, что лучшие современные системы DLP способны управлять большим количеством сетевых каналов (см. Таблицу 3), рекомендуется блокировать ненужные каналы. Например, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить его доступ в Интернет.

Таблица 3− Контролируемые каналы
DLP-системы

Каналы
SMTP
POP3
IMAP
MAPI
Контроль веб-почты
SMTP
POP3
IMAP
MAPI
S/MIME
Контроль веб почты
SMTP
POP3
IMAP
Контроль веб-почты
Контроль мобильных устройств
–
Android устройства (до версии ОС Android 6.
…

2.4.4 Возможности DLP-систем для проактивного предотвращения утечек

Чтобы избежать утечки, важно не только идентифицировать конфиденциальные данные в процессе передачи, но также ограничить распространение информации в корпоративной среде. Для этого производители используют системные инструменты DLP, которые можно использовать для идентификации и классификации информации, хранящейся на серверах и рабочих станциях в сети (см. таблицу 5). Данные, нарушающие политики информационной безопасности, должны быть удалены или перемещены в безопасное хранилище.

Таблица 5− Возможности DLP- систем
DLP-системы

Сканирование хранилищ данных в режиме реального времени
+
–
–
Сканирование по расписанию
+
–
–
Перемещение / удаление файлов нарушающих Политику ИБ
+
–
–

Для обнаружения конфиденциальной информации на узлах корпоративной сети используются те же технологии, что и для контроля утечек по сетевым каналам. Основное отличие – архитектурное.
…

2.4.6 Журналирование и отчеты

Архив DLP – это база данных, в которой аккумулируются и хранятся события и объекты (файлы, письма, http-запросы и т. д.), фиксируемые датчиками системы в процессе ее работы. Собранная в базе информация может применяться для различных целей, в том числе для анализа действий пользователей, для сохранения копий критически важных документов, в качестве основы для расследования инцидентов ИБ. Кроме того, база всех событий чрезвычайно полезна на этапе внедрения DLP-системы, поскольку помогает проанализировать поведение компонентов DLP-системы.
Отчетность – немаловажная часть любой деятельности. Информационная безопасность – не исключение. Отчеты в DLP-системах выполняют сразу несколько функций. Во-первых, краткие и понятные отчеты позволяют руководителям служб ИБ оперативно контролировать состояние защищенности информации, не вдаваясь в детали. Во-вторых, подробные отчеты помогают офицерам безопасности корректировать политики безопасности и настройки систем.
…

2.4.7 Сертификация

Вопрос о необходимости сертификации для средств обеспечения информационной безопасности и DLP в частности является открытым, и в рамках профессиональных сообществ эксперты часто спорят на эту тему. Обобщая мнения сторон, следует признать, что сама по себе сертификация не дает серьезных конкурентных преимуществ. В то же время, существует некоторое количество заказчиков, прежде всего, государственные организации, для которых наличие того или иного сертификата является обязательным.
Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители оказываются перед выбором: купить уже устаревшую, но сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Стандартный выход в этой ситуации – приобретение сертифицированного продукта и использование нового продукта в реальной среде (см. таблицу 7).
…

2.4.8 Результаты сравнения

Проведенный сравнительный анализ позволяет сделать вывод, что в процессе развития своих продуктов производители стараются перенимать лучшие практики друг у друга, обогащая функционал как на основании общих тенденций рынка, так и с учетом пожеланий своих заказчиков. Однако есть и интересные моменты, связанные с собственной уникальной технологической стратегией и особенностями позиционирования, характерные для каждого решения. Остановимся на некоторых из них.
В качестве плюсов DLP-системы InfoWatch можно выделить следующие:
• предотвращение большинства угроз информационной системы предприятия;
• гибкая система лицензирования продукта — позволяет приобрести только необходимые модули, что в итоге снижает общую стоимость решения;
• высокая скорость анализа данных;
• поддержка большого числа протоколов для перехвата и анализа данных;
• контроль мобильных устройств и удаленных пользователей.
…

2.5 Выбор DLP-системы для внедрения в ПАО «МАЗ»

Сегодня все большее число предприятий начинают осознавать преимущества и необходимость использования систем DLP в общих чертах внутреннего рынка DLP. В настоящее время лидирующую позицию на российском рынке сохраняет продукт компании InfoWatch, которая приложила значительные усилия для популяризации идей по работе с инсайдерами. Продукт представляет собой мощный набор инструментов для мониторинга каналов передачи данных и предотвращения утечки конфиденциальной информации. Использование системы позволяет значительно снизить риски утечки информации и инцидентов, связанных с незаконными действиями сотрудников организации, в том числе при использовании мобильных устройств в корпоративной среде. Кроме того, решение DLP InfoWatch предоставляет компаниям необходимый набор инструментов как для внутренних расследований, так и для дальнейшей правовой защиты их собственных интересов.
…

2.5.1 Принципиальная схема работы

InfoWatch Traffic Monitor Enterprise Edition 6.5, предназначена для предотвращения утечек конфиденциальной информации через электронную почту, социальные сети, интернет-пейджеры и любые другие сетевые каналы передачи данных. А также решает следующие задачи23:
◦ анализ содержимого пересылаемых сообщений и файлов на предмет наличия в них конфиденциальных данных;
◦ категоризация всей перехваченной информации;
◦ блокирование утечек конфиденциальных данных в режиме подозрительного поведения сотрудников еще на ранней стадии;
◦ создание архива всех сообщений и файлов, пересылаемых законодательством и отраслевыми стандартами.
Продукт InfoWatch Traffic Monitor Enterprise Edition 6.5 состоит из нескольких модулей:
InfoWatch Traffic Monitor — модуль для контроля сетевых каналов передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений).
…

2.5.2 Возможности выбранной DLP-системы

InfoWatch Traffic Monitor Enterprise — единственное решение, которое рассчитано на крупные организации с большим объемом анализируемого трафика и территориально распределенной структурой24:
• предотвращение всех внутренних угроз организации;
• мощное высокопроизводительное решение класса данного;
• точное детектирование конфиденциальных данных, автоматическая классификация информации;
• идентификация сотрудников-нарушителей: карточки сотрудников и связей;
• сбор юридически значимой доказательной базы для расследования инцидентов;
• максимальная гибкость и управляемость: задачи бизнеса меняются, поэтому службе ИБ необходимы надежные инструменты для адаптации политик информационной безопасности, отражающих весь спектр рисков и угроз потерь информации, защиты предприятия от внутренних угроз;
• высокая надежность и отказоустойчивость решения;
• сертификация: НДВ 4, ИСПДн до 1 класса включительно, ФСТЭК.
…