Plan presretanja: kako postaviti hibridni DLP sustav. Možete koristiti DLP agenta, ali malo je vjerojatno da ćete se na njega osloniti

Uvod

“Pomoć se ne smije pružati protiv volje osobe kojoj se pomaže.”(Georg Wilhelm Friedrich Hegel)

Za razliku od početnih faza razvoja, danas već možemo govoriti o aktivnom formiranju potražnje korisnika za proizvodima klase DLP. Mnoge tvrtke su se upoznale sa sustavima za sprječavanje curenja informacija, razumjele mehanizam njihovog rada i formulirale zahtjeve za takve sustave. Rustem Khairetdinov, zamjenik generalnog direktora InfoWatcha, uspoređuje nadogradnju DLP sustava s kupnjom automobila - ako su zahtjevi za prvi automobil niski ("sve dok vozi"), onda za drugi budući vlasnik ima točne zahtjeve na temelju iskustvo korištenja prethodnog automobila. Međutim, tvrtka koja ga je odlučila implementirati ne mora nužno imati iskustva u upravljanju proizvodom iste klase. Iskustvo partnera ili konkurenta može pomoći u određivanju zahtjeva tvrtke.

Može li se govoriti o općoj spremnosti tvrtki koje su odlučile implementirati DLP sustav za ovaj proces? A što mislite pod spremnošću? Kao što praksa pokazuje, u većini slučajeva kupac zamišlja tehničke mogućnosti proizvoda ove klase, ali ne razumije u potpunosti potrebnu količinu posla, zahvaljujući kojoj će se stvarno važne informacije početi pojavljivati ​​u konzoli za upravljanje DLP sustavom. A počet će se pojavljivati ​​ako procesu implementacije DLP rješenja pristupite kao jednoj od metoda za implementaciju najrelevantnijeg pristupa informacijskoj sigurnosti danas - Data-centric security, odnosno integriranog pristupa usmjerenog na zaštitu informacijske imovine. Unutar sigurnosnog pristupa usmjerenog na podatke, podaci koji predstavljaju informacijsku imovinu podijeljeni su u tri kategorije:

  • Podaci u mirovanju - podaci u načinu pohrane; statički su pohranjeni na otuđenim medijima, računalima, mobilnim uređajima korisnika i sl.;
  • Data in Motion - podaci u pokretu: financijske transakcije, prijenos autentifikacijskih podataka itd.;
  • Podaci u korištenju - podaci koje korisnici izravno koriste u sklopu poslovnih procesa.

Rješenja klase DLP omogućuju kontrolu i zaštitu podataka svih navedenih kategorija. Međutim, treba imati na umu da uspjeh tako ozbiljne operacije kao što je implementacija DLP-a izravno ovisi o razumijevanju vrijednosti zaštićenih podataka. Ovdje se približavamo opisu najvažnije faze implementacije DLP sustava – pripreme.

Faza 1. Priprema za provedbu

Pregled

Tvrtka NSS Labs u članku “U 12 koraka – do uspješne implementacije DLP-a” iznosi nekoliko teza s kojima se teško ne složiti:

  • uspješna implementacija DLP sustava složen je pothvat, unutar kojeg je implementacija proizvoda nužna, ali ne i dovoljna faza;
  • klasifikacija dokumenata i određivanje pristupne matrice temelj je sigurnosnih politika DLP sustava.

Tko bi trebao izvršiti anketni rad? Za to je u pravilu odgovorna tvrtka koja implementira DLP sustav (izvršitelj). Međutim, nije sve tako jednostavno. Ako tvrtka kupac nije spremna pružiti, na primjer, opis procesa interakcije sa zaštićenim informacijama na zahtjev izvođača, tada je potrebno razumjeti čija će zona odgovornosti biti razvoj ovog dokumenta.

Idealan kupac koji se odlučio za implementaciju DLP sustava ima uveden režim poslovne tajne, pripremljen popis informacija s ograničenim pristupom te ima opis poslovnih procesa unutar kojih se odvija obrada, pohrana i prijenos takvih informacija. Drugim riječima, korisnik jasno razumije pravila prema kojima se događaj smatra curenjem povjerljivih informacija, kao i iznimke od tih pravila. U tom slučaju izvođač može samo prenijeti pravila na sigurnosne politike.

Pravi kupac možda nema ništa definirano. U tom slučaju mora shvatiti važnost svog sudjelovanja u anketi, jer što kupac odgovornije pristupa ovom procesu, to je realniji opis poslovnih procesa tvrtke, kriteriji za klasifikaciju informacija kao zaštićenih itd. U slučaju slaba uključenost, kupac se oslanja na viziju sigurnosti svojih poslovnih procesa kroz oči izvođača, a to ne ispunjava uvijek zahtjeve zaštite podataka.

Obično anketni rad uključuje sljedeće aktivnosti:

  • proučavanje organizacijskih i upravnih akata vezanih uz osiguranje sigurnosti i klasifikacije podataka;
  • proučavanje popisa informacijskih izvora, mrežnih dijagrama, dijagrama protoka podataka itd., povezanih s formalizacijom informacijske interakcije;
  • sporazum o kriterijima za klasifikaciju podataka kao ograničenih podataka;
  • formaliziranje popisa informacija s ograničenim pristupom;
  • ispitivanje i opis procesa prijenosa, obrade i pohrane informacija s ograničenim pristupom unutar poslovnih procesa.

Na temelju rezultata ovih aktivnosti izrađuju se dokumenti na temelju kojih će se naknadno kreirati sigurnosne politike za DLP sustav. Takvi dokumenti mogu uključivati:

  • “Popis informacija s ograničenim pristupom”;
  • “Dijagram toka podataka informacija s ograničenim pristupom”;
  • “Opis tehnoloških procesa interakcije s ograničenim informacijama”;
  • "Glavni scenariji za curenje povjerljivih informacija."

Imajući razumijevanje o tome koji poslovni procesi rade s kritičnim podacima i od kojih se radnji s tim podacima sastoje gore navedeni procesi, nije teško odrediti potrebne mehanizme za rad DLP sustava i, sukladno tome, zahtjeve za njega. Po izboru, kao dio ove faze, mogu se razviti skice sigurnosnih politika za određeni proizvod. Kasnije ćemo više govoriti o odabiru proizvoda.

Pravna podrška

Jedno od važnih pitanja s kojima će se menadžment tvrtke susresti kada odluči koristiti DLP proizvod su pravna pitanja. Npr.

  • “Hoće li se korištenje ovog sustava tumačiti kao nadzor zaposlenika?”
  • “Kako ćemo se zaštititi od sukoba izazvanih radom ovog sustava?”

Ovdje dodajte ne sasvim očita pitanja, poput "Kako kontrolirati administratora DLP sustava koji ima pristup cijeloj arhivi presretnutih informacija?"

  • tvrtka ima pravo zaštititi svoje poslovne tajne uvođenjem u tu svrhu režima poslovne tajne koji definira popis informacija s ograničenim pristupom, pravila za rad s njima itd.;
  • alati za obradu informacija preneseni zaposleniku za obavljanje njegovih radnih dužnosti, kao i informacijski resursi stvoreni uz njihovu pomoć, vlasništvo su tvrtke;
  • tvrtka nije komunikacijski operater i ne osigurava tajnost komunikacije kada se prenosi kroz njezine korporativne kanale.

Stvaranje kompetentne strategije za korištenje DLP sustava u pravnom kontekstu ponovno je zajednički zadatak naručitelja i izvođača. Rezultat ovog rada trebali bi biti koraci za organiziranje režima poslovne tajne ili njegove odgovarajuće dopune. U sklopu ovih poslova, izvođač pregledava organizacijske i upravne dokumente naručitelja, ugovore o radu, dodatne ugovore i druge kadrovske dokumente koji se odnose na utvrđivanje uvjeta rada i obveza zaposlenika, kao i postupke interne kontrole naručitelja. I na temelju rezultata analize oblikuje preporuke za izmjene regulatornog okvira kupca. Dokumenti koje razvija izvođač u ovoj fazi mogu uključivati:

  • dodatni sporazumi uz ugovore o radu;
  • dopune pravilnika o radu;
  • Politika prihvatljivog korištenja za alate za obradu informacija;
  • drugi dokumenti kojima se uređuje rad s informacijama s ograničenim pristupom.

Zasebno vas želim podsjetiti na važnost praćenja operativnog osoblja DLP sustava, koje ima neograničen pristup arhivi presretnutih informacija. Čini se razumnim nastojati spriječiti moguće korištenje ovih podataka u osobne svrhe potpisivanjem odgovarajućih ugovora. I, gledajući malo unaprijed, napominjemo: kupcu se preporučuje da u ovoj fazi razmisli o načinu stvaranja arhive presretnutih informacija - spremanje svih događaja ili samo događaja koji su prekršili sigurnosnu politiku. Za razliku od zapadnih igrača, domaći DLP sustavi krenuli su putem uštede cjelokupnog prometa.

Ovdje se približavamo sljedećoj fazi - odabiru određenog proizvoda.

Faza 2. Odabir proizvoda

Ova faza prilično je proizvoljno postavljena kao broj dva, budući da je u nekim slučajevima proizvod već eksplicitno definiran prije implementacije ili fazi pripreme prethodi pilot projekt jednog ili više rješenja. Dakle, izbor konkretnog proizvoda je faza koja se, ovisno o okolnostima, odvija ili prva, ili druga, ili paralelno s pripremom.

Po završetku (ili u procesu) pripremne faze, i kupac i izvođač već imaju ideju o tome kako će se apstraktni DLP sustav koristiti za kontrolu curenja informacija. Ostaje utvrditi koji će proizvod najbolje zadovoljiti zahtjeve. Govoreći o zahtjevima, ne treba zaboraviti na one koji izravno ne određuju proces presretanja i analize informacija. To uključuje:

  • Teško za implementaciju i podršku. Ako rješenje koristi, na primjer, Oracle sustav za upravljanje bazom podataka, ima li kupac stručnjaka sposobnog napraviti sigurnosnu kopiju baze podataka? Ne bismo li trebali pogledati rješenje gdje se ta procedura izvodi u tri klika mišem, recimo u Windows OS task planeru, gdje se odgovarajući zadatak kreira tijekom instalacije?
  • Utjecaj na infrastrukturu. Koliko će instalirani agent utjecati na rad korisničkog računala ili kanala prijenosa podataka? Je li moguće instalirati komponente sustava u virtualizacijskom okruženju?
  • Organizacija procesa rada operativnog osoblja. U ovoj fazi korisnik mora razumjeti kakav će biti rad analitičara odgovornog za sigurnost ili administratora sustava odgovornog za održavanje funkcionalnosti rješenja.

Očigledan je zahtjev da sustav ima mehanizme za prikupljanje i analizu informacija koji zadovoljavaju potrebe korisnika u kontroli poslovnih procesa identificiranih u fazi istraživanja.

Ne smijemo zaboraviti na budžet kupca, koji je također značajan zahtjev. Osim proizvoda klase Enterprise, DLP sustavi zastupljeni su i tzv. “light DLP” i Channel DLP, koji podrazumijevaju niz funkcionalnih ograničenja u odnosu na “velikog brata” te su čak usmjereni na kontrolu jednog specifičnog kanala prijenosa podataka. Na primjer, u uvjetima ograničenog proračuna, za kupca može biti optimalno kupiti dodatnu DLP funkcionalnost za postojeći proxy poslužitelj i koristiti samo agentsko rješenje proizvoda treće strane.

Ovu fazu karakterizira velika odgovornost izvođača, čija je zadaća naručitelju ponuditi najprikladnije rješenje. U isto vrijeme, moguća pasivnost potonjeg će se okrutno šaliti s njim u fazi rada i podrške sustavu.

Odabir određenog proizvoda teško je zamisliti bez razumijevanja arhitekture rješenja implementiranog pomoću ovog proizvoda, pa se može tvrditi da je u ovoj fazi projektiranje već počelo.

Faza 3. Dizajn i instalacija

Oblikovati

U pravilu su ključne točke u arhitekturi rješenja već određene u ovoj fazi. Rad na dizajnu definiran je kao proces detaljiziranja i proširenja ovih ključnih točaka do te mjere da je rezultirajuće dizajnersko rješenje u potpunosti spremno za implementaciju. Ključ dobrog dizajnerskog rješenja je detaljan pregled infrastrukture korisnika i izrada prototipa rješenja "kod kuće". Ove mjere smanjuju rizik od tehničkih poteškoća tijekom faze instalacije. Vrlo je poželjno da kupac to razumije i aktivno pridonosi procesu.

O obliku u kojem će projektno rješenje biti predstavljeno raspravljaju stranke. U većini slučajeva radi se o dogovorenom skupu tehničke dokumentacije koja opisuje konačno projektno rješenje. U ovoj fazi također se utvrđuju zahtjevi za operativnu dokumentaciju. Ukoliko službeni priručnici proizvođača odabranog DLP sustava nisu dovoljni, izvođač priprema nedostajući komplet. Primjeri takvih dokumenata mogu biti prijevod službenog priručnika sa stranog jezika, kao i egzotičniji dokumenti poput “Opisa životnog ciklusa softvera”.

Tijekom faze dizajna, važno je razmotriti mogućnosti za buduće promjene sustava, kao što je potencijalno skaliranje ili prebacivanje iz načina praćenja u način blokiranja. Zahtjeve za opremu, softver ili čak za konstrukciju tehnoloških procesa za upravljanje proizvodom mora postaviti izvođač na temelju te potrebe.

Dakle, izvođač je pripremio idejno rješenje, naručitelj ga odobrio, sljedeća faza je instalacija i početna konfiguracija DLP sustava.

Montaža

Ugradnja DLP sustava također zahtijeva blisku suradnju između naručitelja i izvođača. Budući da su proizvodi ove klase rješenja povezani s nizom srodnih sustava (pošta, proxy poslužitelji, mrežna oprema), teško je zamisliti proces instalacije bez uključivanja stručnjaka za korisnike.

Obično instalacija proizvoda počinje instalacijom poslužiteljskih komponenti i postavljanjem komunikacije između njih i susjednih sustava. Međutim, postoje iznimke. Na primjer, uz kratko razdoblje implementacije i značajan broj instaliranih agenata, postupak instaliranja potonjih može se pokrenuti čak i prije završetka projektiranja. Ovaj primjer nestandardnog rješenja još jednom nas podsjeća na potrebu dijaloga strana u svim fazama provedbe.

Važno pitanje u okviru instalacijskih poslova, koje nas ujedno približava radu konfiguracije, je pitanje tajnosti činjenice implementacije proizvoda od zaposlenika kupca. Ako stupanj uključenosti korisnika u DLP sustav još nije određen, onda je vrijeme da razmislite o tome.

Faza 4. Postavljanje

Nažalost, ova faza neće opisati univerzalni algoritam, nakon kojeg će svatko dobiti kompetentno konfiguriran DLP sustav. Zašto ne? Uostalom, ako razmislite o tome, ovaj se algoritam sastoji od samo jedne lako formulirane točke - "Kontinuirano konfigurirajte sustav i mijenjajte sigurnosne politike tijekom cijelog razdoblja rada."

Kao što vidimo, ovo nije dugoročno postavljanje, već kontinuirano - to je ključna točka koju kupac treba razumjeti. Savršeno odrađena pripremna faza bit će neizostavna pomoć u fazi postavljanja, a izvođač će sigurno pomoći na početku puta (a možda i ne samo na početku, sve se određuje dogovorom). Ali glavni posao u trenutnoj fazi pada na ramena kupca (ovdje ne uzimamo u obzir uslužni model usluga, unutar kojeg izvođač može preuzeti značajan dio ovog posla).

Promjena poslovnih procesa, infrastrukture, zapošljavanje zaposlenika, delegiranje odgovornosti unutar postojećih odjela, izdavanje novih dokumenata kao što su nalozi rukovodstva, opis poslova – svi ti događaji povlače za sobom potrebu promjene sigurnosnih politika. Naoružani digitalnim otiscima prstiju, rječnicima, a ponekad i tehnologijama strojnog učenja, odgovorno osoblje mora pratiti sve promjene u tvrtki koje su značajne za DLP sustav i ublažiti njihove moguće negativne posljedice kako bi se izbjeglo curenje informacija. Štoviše, negativne posljedice ovdje ne znače samo nove kanale za curenje, već i mogući porast lažno pozitivnih rezultata.

Ako govorimo o odgovornostima stranaka u okviru realizacije, tada se prilikom sklapanja ugovora nastoje dogovoriti kvantitativna i kvalitativna obilježja radova na postavljanju DLP sustava koje se izvođač obvezuje izvesti. U pravilu je riječ o popunjavanju baze posebnih pojmova, pisanju regularnih izraza i izradi politika zaštite podataka temeljenih na tim tehnologijama. Rad na postavljanju obično je popraćen konzultacijama osoblja. U najboljem je interesu obje strane da ovaj proces bude što produktivniji, eliminirajući nemogućnost zaposlenika da sami rade sa sustavom.

Tijekom postavljanja morate imati na umu pitanje: "Želi li kupac koristiti DLP sustav kao alat za obuku korisnika za rad s povjerljivim informacijama ili kao alat za nadzor?" Zapadne tvrtke naširoko koriste prvu opciju. Njegova ideja nije samo informirati korisnike o prisutnosti DLP sustava, već i uključiti obične zaposlenike u organizaciju sigurnosti podataka. Kao rezultat toga, njihovo ponašanje se mijenja prema većoj odgovornosti. Što je veća organizacija, to je objektivnije potreban ovaj pristup: broj vlastitih odjela za informacijsku sigurnost je ograničen, a DLP sustavi mogu zahtijevati značajne troškove rada u ranim fazama rada. Interni crowdsourcing može pružiti značajnu podršku u takvom radno intenzivnom zadatku. Načelo gamifikacije doseglo je i takvo područje primjene kao što je rad DLP sustava. Kao dio gaming paradigme, tvrtka odustaje od takozvanog "udaranja po rukama" - standardnog skočnog prozora s prijetnjama, dizajniranog u crvenim bojama, dizajniranog da izazove maksimalan stres kod korisnika. U slučaju nenamjernog kršenja sigurnosne politike, korisnik će vidjeti opis razloga za blokiranje svoje akcije i bilješku o tome kako izbjeći kršenje u budućnosti. Drugi važan dio gamifikacije je eksplicitna pozitivna motivacija. Dodjela bedževa korisnicima za usklađenost sa standardima sigurnosti podataka, objavljivanje prekrasnih grafičkih izvješća iz DLP sustava o onima čija je interakcija s podacima najispravnija itd.

Unatoč prividnoj jednostavnosti pristupa, takav mehanizam pomaže u uvođenju i konsolidaciji samog koncepta „zaštite od curenja podataka“ u radni vijek zaposlenika, čime zaštita podataka nije strani koncept korisniku, već integralni i prirodni ( a ne dosadan) dio procesa rada. Druga opcija podrazumijeva maksimalnu tajnost prisutnosti proizvoda u informacijskom okruženju. Preporuča se da se odgovor na ovo pitanje formulira kao faza br. 0.

zaključke

Implementacija DLP-a često je komplicirana objektivnim čimbenicima: razlikama u funkcionalnosti, nedostatkom jedne ispravne mogućnosti implementacije i jedinstvenog slučaja upotrebe. Čak i odluku o implementaciji zaštite od curenja podataka korisnik može odgoditi zbog mitova povezanih s DLP sustavima ("održavanje DLP-a će uzeti cijeli resurs informacijske sigurnosti", "potrebno je najmanje godinu i pol za implementaciju DLP-a ili ne na svi, itd.), itd.), kao i zato što učinkovita provedba zahtijeva uključivanje poslovnih predstavnika itd.

U tom slučaju, na temelju iskustva, izvođač mora ponuditi scenarije koji će pokazati vrijednost rješenja i predstavnicima tehničke jedinice kupca i poslovnim predstavnicima. DLP može pokazati brze i objektivne rezultate koji će pomoći klijentu da napravi izbor.

Za organizacije koje odgovorno pristupaju sigurnosti vlastitih podataka i podataka svojih klijenata, DLP je jasno potrebno rješenje.

Na temelju engleskog naziva ove klase proizvoda, mnogi još uvijek vjeruju da su DLP sustavi dizajnirani isključivo za zaštitu od curenja informacija. Takva zabluda tipična je za one koji nisu imali priliku upoznati se sa svim mogućnostima takvih sredstava zaštite. U međuvremenu, suvremeni sustavi su složeni analitički alati uz pomoć kojih djelatnici IT, informacijske i ekonomske sigurnosti, interne kontrole, kadrovskih i drugih strukturnih odjela mogu rješavati različite probleme.

DESET ZADATAKA

U ovom članku nećemo se doticati poslovnih ciljeva najviše razine, koji su prema COBIT5 metodologiji određeni na temelju odnosa poslovnih i IT ciljeva: ostvarivanje koristi, optimizacija resursa (uključujući troškove), optimizacija rizika. Spustit ćemo se jednu razinu niže i pogledati specifične probleme aplikacije, ističući među njima one koje moderni DLP sustavi mogu pomoći riješiti.

I. Razotkrivanje beskrupuloznih zaposlenika:

  • otkrivanje činjenica prijenosa zaštićenih podataka;
  • identifikacija gospodarskog kriminala;
  • bilježenje činjenica o neetičkoj komunikaciji;
  • arhiviranje događaja i upravljanje incidentima.

II. Smanjenje rizika i povećanje ukupne razine informacijske sigurnosti:

  • blokiranje kanala curenja i/ili određenih informacijskih poruka;
  • utvrđivanje sustavnog kršenja usvojene sigurnosne politike od strane zaposlenika.

III. Osiguravanje usklađenosti sa zakonskim i drugim zahtjevima:

  • kategorizacija informacija;
  • Usklađenost s regulatornim propisima i pomoć u postizanju usklađenosti sa standardima i najboljom praksom.

IV. Analiza i poboljšanje učinkovitosti procesa:

  • predviđanje i prepoznavanje mogućih problema sa zaposlenicima;
  • analiza tokova podataka i pohranjenih informacija.

TUĐAC MEĐU SVOJIMA

Izlaganje beskrupuloznih zaposlenika omogućuje vam da pravodobno donesete potrebne upravljačke odluke (uključujući pravno kompetentan rastanak s takvim ljudima). Za to je potrebno detektirati činjenicu događaja, ispravno je protumačiti i klasificirati te osigurati pohranu pronađenih dokaza.

Detekcija prijenosa zaštićenih informacija nelegitimnim primateljima je najtraženija značajka DLP sustava. Obično je sustav konfiguriran za prepoznavanje informacija koje predstavljaju poslovnu tajnu, osobnih podataka, brojeva kreditnih kartica i drugih povjerljivih informacija (ovisno o djelatnosti i specifičnostima određene organizacije).

Prema podacima analitičkog centra InfoWatch, najčešće dolazi do curenja osobnih podataka, a na drugom mjestu su informacije koje predstavljaju poslovnu tajnu (vidi sliku 1).

Ovisno o konkretnom rješenju, DLP sustavi mogu pratiti i analizirati sljedeće glavne kanale prijenosa informacija: e-pošta, prijenos podataka putem interneta (društvene mreže i forumi, usluge dijeljenja datoteka i pohrana u oblaku, web pristup e-pošti i drugi), kopiranje na vanjski mediji, ispis dokumenata.

Otkrivanje gospodarskog kriminala nije glavna svrha DLP sustava. Ipak, vrlo često analiza korespondencije omogućuje otkrivanje priprema za njih ili činjenicu počinjenja protupravne radnje. Na taj je način obično moguće otkriti razgovore o povratnim shemama i druge neovlaštene pregovore koji bi mogli naštetiti tvrtki.

Osim toga, tiskanje praznih obrazaca s pečatima i potpisima ili njihovo slanje nekome također može neizravno ukazivati ​​na moguću pripremu za krivotvorenje isprave. Ali ne biste se trebali oslanjati na DLP sustave kao lijek - pripremu ove vrste zločina lako je sakriti.

Bilježenje činjenica o neetičkoj komunikaciji nastaje kao rezultat analize korespondencije između zaposlenika i s vanjskim primateljima. Suvremeni DLP sustavi sposobni su identificirati agresivno i destruktivno ponašanje - primjerice, poticanje i pozive na sabotažu, "psihološki teror", "trolanje", prijetnje i uvrede. Nedavno je jedan moj kolega uspio spriječiti potencijalni zločin: DLP sustav je u prepisci dvoje zaposlenika otkrio zavjeru za nanošenje tjelesnih ozljeda trećem zaposleniku.

Arhiviranje i sistematizacija svih informativnih poruka nužna za daljnju istragu incidenata i osiguranje pravne važnosti dokaza. Nije dovoljno moći identificirati incidente, potrebno je i spremiti dobivene informacije i osigurati prikladan mehanizam za njihovu analizu.

“BRTVLJENJE” KANALA

Smanjenje rizika od curenja zaštićenih informacija postiže se stalnim nadzorom i blokiranjem kanala curenja, kao i upozoravanjem korisnika za koje se utvrdi da krše sigurnosne politike.

Studija Instituta Ponemon (izvješće ''Is Your Company Ready For a Big Data Breach?'') pokazala je da je u posljednje dvije godine trećina anketiranih tvrtki zabilježila više od 1000 slučajeva curenja povjerljivih informacija: 48% ih je imalo podatke kršenje samo jednom, 27% - dva puta, 16% se susrelo sa sličnim incidentima do pet puta, 9% je zabilježilo više od pet slučajeva curenja. Ovo ukazuje na relevantnost prijetnji koje se razmatraju.

Blokiranje kanala curenja i/ili određenih informativnih poruka mogu značajno smanjiti rizike od curenja informacija. Postoji nekoliko pristupa tome: blokiranje I/O portova, blokiranje pristupa određenim kategorijama stranica (usluge za dijeljenje datoteka, e-pošta) i/ili analiza sadržaja poslanih poruka i naknadno blokiranje prijenosa.

U nekim slučajevima, DLP sustavi mogu pružiti utvrđivanje sustavnog kršenja usvojene sigurnosne politike od strane zaposlenika: prijenos poruka trećim stranama u jasnom (nekriptiranom) obliku, ispis dokumenata bez stavljanja određenih pečata, slučajno slanje e-pošte neovlaštenim primateljima.

STROGO U FORMI

Ispunjavanje formalnih regulatornih zahtjeva i/ili preporuka najbolje prakse može se povezati sa zadacima prve i druge skupine, ali se razmatraju odvojeno.

Automatizirana kategorizacija informacija je izborna značajka koju pružaju neki DLP sustavi. Kako radi? DLP sustav skenira radne stanice i poslužitelje kako bi identificirao određene vrste datoteka te pomoću različitih tehnologija analize donosi odluku o dodjeli dokumenata određenim kategorijama.

Ova značajka može biti vrlo korisna, budući da, prema našem iskustvu, samo mali dio tvrtki ima ažurne popise povjerljivih podataka, bez kojih je nemoguće razumjeti koji su dokumenti povjerljivi, a koji nisu.

Korištenje DLP sustava omogućuje postizanje ispunjavanje nekih regulatornih zahtjeva(na primjer, naredbe FSTEC-a Rusije br. 21 i br. 17, propisi Banke Rusije br. 382-P) i najbolje prakse (GOST/ISO 27001, STO BR IBBS, COBIT5, ITIL). DLP sustavi pomažu u kategorizaciji informacija, ograničavanju lokacija za pohranjivanje, upravljanju događajima i incidentima, upravljanju vanjskim medijima, kontroli prenesenih poruka i u mnogim drugim slučajevima.

ŠTO STOJIMO, ŠTO ČEKAMO?

DLP sustavi se mogu koristiti za analiza tokova podataka i pohranjenih informacija- na primjer, utvrditi činjenice pohranjivanja informacija s ograničenim pristupom na neovlaštenim mjestima, utvrditi prekomjerno opterećenje e-pošte u prisutnosti pohrane datoteka i drugo. Identificiraju potencijalna uska grla u poslovnim procesima koja proizlaze iz lošeg ponašanja i neispunjenih očekivanja osoblja, kao i neučinkovitih načina pohranjivanja, prijenosa i obrade informacija.

Predviđanje i prepoznavanje mogućih sukoba interesa provodi se analizom dopisivanja zaposlenika i drugih aktivnosti na društvenim mrežama i raznim internetskim izvorima. Ako je potrebno, DLP sustavi mogu "razumjeti" tko će napustiti tvrtku (traženje posla ili razgovor o pristiglim ponudama), neprikladno korištenje korporativnih IT resursa (pretjerana komunikacija na društvenim mrežama, ispis osobnih dokumenata, knjiga i fotografija, posjećivanje igraćih stranica i slično), negativno reagira na odluke uprave. Ova pitanja više spadaju u nadležnost kadrovske službe i linijskih rukovoditelja, a ne zaštitarske službe.

KOJI SU IZAZOVI?

Prilikom implementacije DLP sustava ili samo razmišljanja o njegovoj implementaciji, važno je imati jasnu predodžbu o tome koje će zadatke riješiti. Bez toga je teško ne samo odabrati proizvođača rješenja, već i ispravno formulirati zahtjeve za funkcionalnost i postavke. Ako se usredotočite posebno na rješavanje problema, a ne na popis funkcionalnosti, onda će to jasno opravdati izvedivost implementacije DLP-a i za IT odjel i za poduzeće u cjelini.

Andrej Prozorov- vodeći stručnjak za informacijsku sigurnost u InfoWatchu, bloger.

Može se činiti da su 2017. DLP sustavi postali toliko uobičajena pojava u informacijskoj sigurnosti da su pitanja presretanja prometa izblijedjela u drugi plan.

Pristupi različitih DLP dobavljača tome koji promet treba prikupljati i gdje, u pravilu, temelje se na vlastitom iskustvu prvih uspješnih projekata. Očito je to iskustvo variralo od dobavljača do dobavljača, budući da je infrastruktura poduzeća prilično individualna stvar, a osobne preferencije stručnjaka za informacijsku sigurnost također su imale utjecaja.

Međutim, kao rezultat toga, danas je gotovo svaki DLP sustav sposoban prikupljati promet na poslužiteljima pošte, mrežnom pristupniku, proxy poslužitelju i krajnjim radnim stanicama. Međutim, ova posljednja točka još uvijek izaziva mnogo kontroverzi. Za neke je DLP agent lijek za sve prijetnje, za druge je patnja. O tome želim govoriti u ovom članku.

Zašto uopće instalirati agente?

Prema klasici DLP-a, agent je dužan osigurati kontrolu podataka u mirovanju (Data-at-rest) i podataka u upotrebi (Data-in-use) na radnim stanicama. Data-in-motion pokriven je 95% na razini poslužitelja, što je dobra vijest.

U teoriji, dodavanje agenta DLP omogućuje vam ne samo traženje povjerljivih informacija na osobnim računalima zaposlenika, već i kontrolu njihovog kruženja u situacijama kada stroj nije na mreži ili kada se informacije aktivno koriste. No, u praksi, uz široke mogućnosti, agenti sa sobom nose i brojne poteškoće.

Problemi s instalacijom

Prvo, agente je vrlo problematično implementirati. Zamka ovdje leži u pilot projektima: obično se agenti instaliraju na nekoliko desetaka ili stotina strojeva bez problema, ali kada dođe vrijeme za industrijsku implementaciju i tisuće strojeva moraju nabaviti agentske module, zabava počinje.

Kada organizacija ima problema s instaliranjem DLP agenata, prvi koji dobiva svoju dozu negativnosti je, naravno, određeni proizvođač. Ali ako razgovarate s iskusnim stručnjacima za informacijsku sigurnost, ispada da je problem globalan. Pokušajte pretražiti nešto poput "dlp agent not install" ili "dlp agent problem". Naći ćete stotine forumskih stranica na kojima se korisnici žale na agentske module svjetskih DLP divova.

Sukob s postojećim softverom

Postojalo je vrijeme kada bi svaki pristojan antivirus odmah otkrio DLP agenta kao zlonamjerni softver. S vremenom je većina proizvođača uspjela riješiti ovaj problem. No važno je upamtiti da što je agent moćniji i što više skrivenih OS funkcija koristi, to je veća vjerojatnost sukoba.

Tržištem je neko vrijeme kružila priča o određenoj organizaciji u Republici Bjelorusiji, gdje je instaliran antivirus VirusBlokAda. Kako bi implementirao agentski dio DLP-a u organizaciji, dobavljač je morao hitno razviti "integracijsko rješenje" s ovim antivirusnim softverom. Stoga, kada čujete da rješenje ima integraciju s jednim ili drugim antivirusom, u većini slučajeva ne misli se na međusobnu razmjenu informacijskih sigurnosnih događaja, već na nekonfliktnost s DLP agentom.

Analiza sadržaja na radnoj stanici

Modul agenta prisiljen je zadovoljiti se ograničenim resursima radne stanice zaposlenika, koja je obično uredsko stolno ili prijenosno računalo dizajnirano za rad s dokumentima, klijent e-pošte i preglednik. Uz sve to, agent mora izvršiti analizu sadržaja izravno na radnoj stanici. To utječe na produktivnost, a posebno teško ako organizacija koristi "labave" politike usmjerene na zaštitu velikih količina povjerljivih podataka, poput preuzimanja iz baza podataka ili grafičkih dokumenata. Znate li kako OCR radi na radnoj stanici ili detektor pečata radi u velikoj mjeri? Vrijedi vidjeti jednom i pamtiti zauvijek.

Lažno pozitivni

U posljednje vrijeme primjetan je trend kombiniranog korištenja različitih DLP sustava u jednoj infrastrukturi. Kupci prikupljaju najbolje karakteristike iz nekoliko rješenja, a zatim počinje kreativni proces prilagođavanja ovog zoološkog vrta. Problem je što različita rješenja počinju presretati isti promet i slati 2-3 obavijesti za isti događaj - naravno, na različite konzole. Naravno, to dovodi do toga da mjesta u arhivi vrlo brzo ponestaje. Konačno, kada se radna stanica sruši, počinje istraga kako bi se utvrdilo koji je agent kriv.

Agenti ne podržavaju sve platforme

Idealna slika infrastrukture izgleda ovako: svi korisnici koriste iste radne stanice, na primjer, na Windows 7 ili čak na Windows 8, s kojima su svi problemi s kompatibilnošću stvar prošlosti. Ovaj ideal rijetko se sreće u stvarnosti, ali čak i ako je vaša tvrtka rijetka iznimka, prelazak na Windows 10 već je na dnevnom redu.

Problem je u tome što svi proizvođači ne mogu jamčiti stabilan rad agenta s ovim OS-om. Na primjer, ako odete na službene teme zajednica podrške za zapadne dobavljače, možete vidjeti veliki broj pritužbi o nekompatibilnosti s novom Microsoftovom kreacijom. Ako se prisjetite kako tvrtka vješto okreće ruke proizvođačima antivirusnih programa, s čijim se proizvodima OS sve više sukobljava, stječe se dojam da je Microsoftu za to i da će uskoro doći i do drugih endpoint rješenja da nametnu svoje uvjete suradnje. Korisnici se suočavaju s takvom nestabilnošću podrške uz stalna ažuriranja i iznenadne kvarove DLP agenata.

Mobilni agent - bolje ubiti

Otprilike 2012. Symantec je uveo novu eru razvoja DLP-a—sprečavanje curenja na mobilnim uređajima. Njihovo rješenje bilo je konfigurirati iPhone ili iPad za rad kroz VPN tunel, koji usmjerava sav promet uređaja na DLP poslužitelj gdje se vrši provjera pravila. Pa, tehnički se sve provodi vrlo transparentno. Jeste li ikada pokušali provesti cijeli dan s uključenim VPN-om? Može se samo nagađati koliko se brzo prazni baterija uređaja. Štoviše, u ovom primjeru nema govora o DLP-u agenta na mobilnom uređaju. Znajući koliko snažno Apple gleda na sve pozadinske aplikacije, a posebno one koje ometaju proces obrade podataka, takav agent nije predodređen da se pojavi. Nepoznato je zašto Symantec nije razvio DLP rješenje za Android. Možda je problem u segmentaciji operativnog sustava, a programerima će biti vrlo teško podržati različite verzije agenata za sve modele telefona. A za većinu postupaka presretanja prometa morat ćete rootati uređaj, a neće svaki iskusni stručnjak za sigurnost dopustiti da to učini čak ni proizvođač od povjerenja.

zaključke

Teško je zamisliti potpunu implementaciju DLP sustava bez nadzora krajnje točke. Ograničenje korištenja USB medija, kontrola međuspremnika - tim se kanalima može upravljati samo na strani agenta.

Ako govorimo o komunikacijskom prometu, onda moderne tehnologije omogućuju presretanje gotovo svega na mrežnom pristupniku i proxy poslužitelju. Čak i transparentno analizirajte SSL promet bez postavki u svojstvima preglednika. Stoga preporučamo da presretače uvijek birate mudro. Prečesto se rješenje "lakše agentu" pokaže duboko pogrešnim.

DLP sustave je lako implementirati, ali njihovo postavljanje da isporučuju opipljive prednosti nije tako jednostavno. Trenutno se kod implementacije sustava za nadzor i kontrolu protoka informacija (moja verzija opisa pojma DLP) najčešće koristi jedan od sljedećih pristupa:

  1. Klasična . Ovakvim pristupom tvrtka već ima definirane kritične informacije i zahtjeve za njihovu obradu, a DLP sustav samo kontrolira njihovu implementaciju.
  2. Analitički . Istovremeno, tvrtka ima opće razumijevanje da je potrebno kontrolirati širenje kritičnih informacija (obično povjerljivih informacija), ali razumijevanje tokova informacija i potrebni zahtjevi za njih još nisu definirani. Tada DLP sustav djeluje kao neka vrsta alata koji prikuplja potrebne podatke, čijom analizom će biti moguće jasno formulirati zahtjeve za obradu informacija, a zatim dodatno, preciznije, konfigurirati sam sustav.

Ukratko ću dati primjere koraka za implementaciju DLP-a koji su karakteristični za svaki pristup.

Klasičan pristup implementaciji DLP-a:

  1. Odrediti glavne poslovne procese i analizirati ih . Na izlazu morate dobiti dokument " " (ponekad ovo može biti prošireniji popis, nešto poput radnog dokumenta " Popis kontroliranih informacija", jer npr. želite kontrolirati i suzbiti upotrebu psovki u elektroničkom dopisivanju) i radni dokument "Popis vlasnika informacija". Razumijevanje tko je vlasnik ove ili one informacije potrebno je kako bi se naknadno odredili zahtjevi za njegovu obradu.
  2. Odredite glavne medije i načine prijenosa. Potrebno je razumjeti koji mediji kontrolirani podaci mogu biti prisutni unutar IT infrastrukture organizacije. U isto vrijeme, dobra je praksa razvijati takve radne dokumente kao što su " Popis medija za pohranu"I" Popis mogućih kanala curenja informacija".
  3. Odrediti zahtjeve za korištenje informacija i usluga . Često se događa da su takvi zahtjevi formulirani u zasebnim pravilima, na primjer, u dokumentima „Pravila korištenja e-pošte“, „Pravila korištenja interneta“ i drugima. Međutim, prikladnije je razviti jedan " Politika prihvatljivog korištenja resursa". Ima smisla navesti zahtjeve za sljedeće blokove: rad s e-poštom i internetom, korištenje prijenosnih medija; korištenje radnih stanica i prijenosnih računala, obrada podataka na osobnim uređajima (PDA, pametni telefoni, tableti itd.), korištenje tehnologije strojeva za kopiranje i mrežna pohrana podataka, komunikacija na društvenim mrežama i blogovima, korištenje usluga instant poruka, obrada informacija fiksiranih na tvrdi medij (papir).
  4. Upoznati zaposlenike sa zahtjevima za korištenje informacija i usluga definiranih u prethodnom koraku.
  5. Projektirajte DLP sustav . Iz perspektive tehničkog dizajna, preporučujem razvoj barem " Tehnički zadatak"I" Program i metodologija ispitivanja". dokumenti poput " također će biti dodatno korisni ", u kojem morate detaljno navesti kako će sustav filtrirati informacije i reagirati na događaje i incidente, i " “, u kojem ćete zabilježiti uloge i granice odgovornosti za upravljanje DLP-om.
  6. Implementirati i konfigurirati DLP sustav, pustiti ga u probni rad. U početku je to najbolje učiniti u načinu rada za praćenje.
  7. Provesti obuku za osoblje odgovorno za upravljanje i održavanje DLP-a . U ovoj fazi preporučljivo je da se razvijate Skup uputa za igranje uloga za DLP(upravljanje i podrška) .
  8. Analizirati rezultate i rezultate probnog rada, izvršiti korekcije (po potrebi) i pustiti u komercijalni rad.
  10. Redovito analizirajte incidente i poboljšajte politiku konfiguracije DLP-a.

AnalitičkiDLP pristup implementaciji:

    Projektirajte DLP sustav . U ovoj fazi, jednostavan " Tehničke specifikacije"I" Programi i metode ispitivanja".

    Definirajte i konfigurirajte minimalne DLP politike. Naš zadatak nije nadzirati i blokirati bilo kakve aktivnosti, već prikupljati analitičke informacije o tome koji se kanali i sredstva koriste za prijenos ovih ili onih korporativnih informacija.

    Provesti obuku za osoblje odgovorno za upravljanje i održavanje DLP-a. Ovdje možete koristiti standardne upute "dobavljača".

    Implementirati i konfigurirati DLP sustav, pustiti ga u probni rad (u načinu praćenja).

    Analizirati rezultate i rezultate probnog rada. Zadatak je identificirati i analizirati glavne tokove informacija.

    Izvršiti izmjene i dopune (izraditi) temeljne dokumente koji reguliraju praćenje i kontrolu informacija, upoznati zaposlenike s njima. dokumentacija" Popis povjerljivih podataka"I" Politika prihvatljivog korištenja".

    Promjeniti postavke DLP-a, odrediti postupak upravljanja i održavanja DLP-a, staviti ga u komercijalni rad. Razviti dokumente" Korporacijski standard za postavljanje DLP pravila", "Pravilnik o raspodjeli uloga za upravljanje i održavanje DLP-a", "DLP priručnik o ulogama".

    Napravite promjene (ako nisu dostupne, razvijte) u postupku upravljanja incidentom (ili analognim).

    Redovito analizirajte incidente i poboljšajte politiku konfiguracije DLP-a.

Pristupi se razlikuju, ali oba su sasvim prikladna za implementaciju DLP sustava. Nadam se da vas gore navedene informacije mogu dovesti do novih uspješnih razmišljanja o zaštiti informacija od curenja.

Čak i administrator sustava početnik može se nositi s instaliranjem DLP sustava. Ali fino podešavanje DLP-a zahtijeva neke vještine i iskustvo.

Temelj za stabilan rad proizvoda klase DLP postavljen je u fazi implementacije, što uključuje:

  • identifikaciju kritičnih informacija koje se moraju zaštititi;
  • razvoj politike privatnosti;
  • postavljanje poslovnih procesa za rješavanje pitanja informacijske sigurnosti.

Obavljanje takvih zadataka zahtijeva usku specijalizaciju i dubinsko proučavanje DLP sustava.

Klasifikacija sustava zaštite

Odabir DLP sustava ovisi o zadacima koje određena tvrtka treba riješiti. U najopćenitijem obliku zadaci su podijeljeni u nekoliko skupina, uključujući praćenje kretanja povjerljivih informacija, praćenje aktivnosti zaposlenika tijekom dana, praćenje mreže (analiza pristupnika) i složeno praćenje (mreža i krajnjih radnih stanica).

Za potrebe većine tvrtki odabir sveobuhvatnog DLP rješenja bit će optimalan. Hostirani sustavi pogodni su za male i srednje tvrtke. Prednosti hostiranog DLP-a su zadovoljavajuća funkcionalnost i niska cijena. Među nedostacima su niska izvedba, skalabilnost i tolerancija kvarova.

Mrežni DLP nema takvih nedostataka. Lako se integriraju i komuniciraju s rješenjima drugih dobavljača. Ovo je važan aspekt, budući da DLP sustav mora raditi besprijekorno u tandemu s proizvodima koji su već instalirani na korporativnoj mreži. Jednako je važna kompatibilnost DLP-a s bazama podataka i softverom koji se koristi.

Pri odabiru DLP-a uzimaju se u obzir kanali prijenosa podataka koji se koriste u tvrtki i trebaju zaštitu. Najčešće su to e-pošta, IP telefonija i HTTP protokoli; bežične mreže, Bluetooth, prijenosni mediji, ispis na pisačima, umreženi ili rade izvan mreže.

Funkcije praćenja i analize važne su komponente ispravnog rada DLP sustava. Minimalni zahtjevi za analitičke alate uključuju morfološku i lingvističku analizu, sposobnost korelacije kontroliranih podataka s rječnicima ili spremljenim "standardnim" datotekama.

S tehničkog stajališta, suvremena DLP rješenja uglavnom su ista. Učinkovitost sustava ovisi o ispravnoj konfiguraciji automatizacije algoritama pretraživanja. Stoga će prednost proizvoda biti jednostavan i razumljiv postupak postavljanja DLP-a, koji neće zahtijevati redovite konzultacije s tehničkim stručnjacima dobavljača.

Pristupi implementacije i konfiguracije

Instalacija DLP sustava u poduzeću najčešće slijedi jedan od dva scenarija.

Klasičan pristup znači da tvrtka kupac samostalno utvrđuje popis informacija koje trebaju zaštitu, karakteristike njihove obrade i prijenosa, a sustav kontrolira protok informacija.

Analitički pristup leži u činjenici da sustav prvo analizira tokove informacija kako bi izolirao informacije koje trebaju zaštitu, a zatim dolazi do finog podešavanja kako bi se točnije pratio i osigurala zaštita tokova informacija.

FAZE IMPLEMENTACIJE DLP-a

prema klasičnoj shemi:

prema analitičkoj shemi:
  • analiza osnovnih poslovnih procesa i izrada popisa povjerljivih podataka;
  • izrada projekta DLP zaštite;
  • “inventar” medija i putova podataka koji su ugroženi neovlaštenim radnjama;
  • postavljanje minimalnih dopuštenja politike privatnosti;
  • registracija postupaka za rad s informacijskim uslugama, uključujući internetske resurse, prijenosne uređaje, osobna računala, prijenosna računala, tablete, pisače, opremu za kopiranje, tiskane medije;
  • upoznavanje stručnjaka odgovornih za rad DLP-a s osnovnim principima rada sustava;
  • upoznavanje zaposlenika sa zahtjevima za cirkulaciju informacija u poduzeću;
  • pokretanje sustava u probnom načinu rada;
  • kreiranje DLP projekta koji ukazuje na to kako će sustav odgovoriti na identificirane incidente, kao i metode vanjskog upravljanja;
  • analiza rezultata probnog lansiranja;
  • pokretanje eksperimentalnog sustava u modu promatranja;
  • izmjene postavki sustava;
  • osposobljavanje stručnjaka odgovornih za rad DLP-a;
  • analiza probnog pokretanja DLP sustava, po potrebi dodatna konfiguracija;
  • puštanje sustava u "industrijski" rad;
  • redovita analiza rada sustava, podešavanje parametara.

Problemi tijekom DLP rada

Praksa pokazuje da najčešće problemi s funkcioniranjem DLP sustava ne leže u tehničkim značajkama rada, već u prenapuhanim očekivanjima korisnika. Stoga analitički pristup implementaciji sigurnosti djeluje mnogo bolje; Tvrtke koje su „zrele“ u pitanjima informacijske sigurnosti, koje su se već susrele s implementacijom alata za zaštitu povjerljivih podataka i znaju što i kako najbolje zaštititi, povećavaju svoje šanse za izgradnju dobro funkcionirajućeg, učinkovitog sustava zaštite temeljenog na DLP-u.

Uobičajene pogreške prilikom postavljanja DLP-a

  • Implementacija pravila predloška

Odjelu za informacijsku sigurnost često se dodjeljuje uloga servisnog odjela za druge odjele tvrtke, koji "klijentima" pruža usluge za sprječavanje curenja informacija. Dok za učinkovit rad stručnjaci za informacijsku sigurnost zahtijevaju temeljito poznavanje operativnih aktivnosti tvrtke kako bi „krojili“ DLP sustav uzimajući u obzir pojedinačne poslovne procese.

  • Ne pokriva sve moguće kanale curenja povjerljivih podataka

Malo je vjerojatno da će kontrola e-pošte i HTTP protokola pomoću DLP sustava uz nekontrolirano korištenje FTP ili USB priključaka pružiti pouzdanu zaštitu povjerljivih podataka. U takvoj situaciji moguće je identificirati zaposlenike koji šalju korporativne dokumente na osobni e-mail kako bi radili od kuće ili lijenčine koji radno vrijeme provode na stranicama za upoznavanje ili društvenim mrežama. Ali takav mehanizam je beskoristan protiv namjernog "curenja" podataka.

  • Lažni incidenti koje administrator informacijske sigurnosti nema vremena obraditi ručno

Spremanje zadanih postavki u praksi rezultira lavinom lažnih dojava. Na primjer, nakon traženja “bankovnih podataka”, stručnjak za informacijsku sigurnost bombardiran je informacijama o svim transakcijama u tvrtki, uključujući plaćanja za uredski materijal i isporuku vode. Sustav ne može adekvatno obraditi veliki broj lažnih alarma, pa neka pravila moraju biti onemogućena, što slabi zaštitu i povećava rizik od propuštanja incidenta.

  • Neuspjeh u sprječavanju curenja podataka

Standardne DLP postavke omogućuju vam da identificirate zaposlenike koji se bave osobnim stvarima na poslu. Kako bi sustav mogao usporediti događaje na korporativnoj mreži i ukazati na sumnjive aktivnosti, bit će potrebno fino podešavanje.

  • Pogoršanje učinkovitosti DLP-a zbog usklađivanja tokova informacija oko sustava

Sustav informacijske sigurnosti trebao bi biti “prilagođen” povrh poslovnih procesa i prihvaćenih propisa za rad s povjerljivim informacijama, a ne obrnuto – prilagođavati rad tvrtke mogućnostima DLP-a.

Kako riješiti probleme?

Kako bi sustav zaštite radio kao sat, potrebno je proći sve pojedine faze DLP implementacije i konfiguracije, a to su: planiranje, implementacija, verifikacija i prilagodba.

  • Planiranje

Sastoji se od precizne definicije programa zaštite podataka. Odgovor na naizgled jednostavno pitanje: “Što ćemo štititi?” - nema ga svaki kupac. Kontrolni popis sastavljen od odgovora na detaljnija pitanja pomoći će vam da razvijete plan:

Tko će koristiti DLP sustav?

Tko će upravljati podacima?

Kakvi su izgledi za korištenje programa u roku od tri godine?

Kojim ciljevima menadžment teži pri implementaciji DLP sustava?

Koji su razlozi netipičnih zahtjeva za sprječavanje curenja podataka u tvrtki?

Važan dio planiranja je razjasniti predmet zaštite, odnosno specificirati informacijsku imovinu koju prenose pojedini zaposlenici. Specifikacija uključuje kategorizaciju i evidentiranje korporativnih podataka. Zadatak je obično odvojen u poseban projekt zaštite podataka.

Sljedeći korak je utvrđivanje stvarnih kanala curenja informacija; to je obično dio revizije informacijske sigurnosti u tvrtki. Ako otkriveni potencijalno opasni kanali nisu “zatvoreni” DLP kompleksom, trebali biste poduzeti dodatne mjere tehničke zaštite ili odabrati DLP rješenje s potpunijom pokrivenošću. Važno je razumjeti da je DLP učinkovit način za sprječavanje curenja s dokazanom učinkovitošću, ali ne može zamijeniti sve moderne alate za zaštitu podataka.

  • Provedba

Otklanjanje pogrešaka programa u skladu s individualnim zahtjevima određenog poduzeća temelji se na kontroli povjerljivih informacija:

  • u skladu s karakteristikama posebne dokumentacije koju donosi društvo;
  • u skladu sa karakteristikama standardne dokumentacije zajedničke svim organizacijama u industriji;
  • korištenje pravila usmjerenih na prepoznavanje incidenata (atipičnih postupaka zaposlenika).

Trostupanjska kontrola pomaže u prepoznavanju namjerne krađe i neovlaštenog prijenosa informacija.

  • Ispitivanje

DLP kompleks dio je sustava informacijske sigurnosti poduzeća i ne zamjenjuje ga. A učinkovitost DLP rješenja izravno je povezana s ispravnim radom svakog elementa. Stoga, prije promjene "tvorničke" konfiguracije kako bi odgovarala individualnim potrebama, tvrtke provode detaljan nadzor i analizu. U ovoj fazi prikladno je izračunati ljudske resurse potrebne za osiguranje stabilnog rada DLP programa.

  • Podešavanje

Nakon analize informacija prikupljenih tijekom faze testnog rada DLP rješenja, počinjemo rekonfigurirati resurs. Ovaj korak uključuje pojašnjenje postojećih i uspostavljanje novih pravila; mijenjanje taktike za osiguranje sigurnosti informacijskih procesa; osoblje za rad s DLP sustavom, tehničko poboljšanje programa (često uz sudjelovanje programera).

Moderni DLP sustavi rješavaju veliki broj problema. Međutim, puni potencijal DLP-a ostvaruje se samo kroz iterativni proces, gdje analizu rezultata performansi sustava prati usavršavanje DLP postavki.