Ұстау жоспары: гибридті DLP жүйесін қалай орнату керек. Сіз DLP агентін пайдалана аласыз, бірақ оған сену екіталай

Кіріспе

«Көмек көрсетілетін адамның еркіне қарсы көмек көрсетпеу керек».(Георг Вильгельм Фридрих Гегель)

Дамудың бастапқы кезеңдерінен айырмашылығы, бүгінде DLP класындағы өнімдерге пайдаланушы сұранысының белсенді қалыптасуы туралы айтуға болады. Көптеген компаниялар ақпараттың ағып кетуін болдырмау жүйелерімен таныс болды, олардың жұмыс істеу механизмін түсінді және мұндай жүйелерге қойылатын талаптарды тұжырымдады. Рүстем Хайретдинов, InfoWatch бас директорының орынбасары, DLP жүйесін жаңартуды автокөлік сатып алумен салыстырады - егер бірінші көлікке қойылатын талаптар төмен болса («ол жүргізіп жатқанда»), екіншісіне болашақ иесіне нақты талаптар қойылады. алдыңғы көлікті пайдалану тәжірибесі. Дегенмен, оны жүзеге асыруға шешім қабылдаған компанияның бір кластағы өнімді пайдалану тәжірибесі болуы міндетті емес. Серіктестің немесе бәсекелестің тәжірибесі компанияның талаптарын анықтауға көмектеседі.

Осы процеске DLP жүйесін енгізуге шешім қабылдаған компаниялардың жалпы дайындығы туралы айтуға болады ма? Ал дайын болу дегенді қалай түсінесіңдер? Тәжірибе көрсеткендей, көп жағдайда тұтынушы осы сыныптағы өнімдердің техникалық мүмкіндіктерін елестетеді, бірақ қажетті жұмыс көлемін толық түсінбейді, соның арқасында шын мәнінде маңызды ақпарат DLP жүйесін басқару консолінде пайда бола бастайды. Егер сіз DLP шешімін енгізу үдерісіне бүгінгі күні ақпараттық қауіпсіздікке қатысты ең өзекті тәсілді енгізу әдістерінің бірі - Деректерге бағытталған қауіпсіздік немесе ақпараттық активтерді қорғауға бағытталған кешенді тәсіл ретінде қарастырсаңыз, ол пайда болады. Деректерге бағытталған қауіпсіздік тәсілі шеңберінде ақпараттық активтерді білдіретін деректер үш санатқа бөлінеді:

  • Data at Rest – сақтау режиміндегі деректер; иеліктен шығарылған тасымалдағыштарда, компьютерлерде, пайдаланушылардың мобильді құрылғыларында және т.б. статикалық сақталады;
  • Data in Motion – қозғалыс режиміндегі деректер: қаржылық операциялар, аутентификация деректерін беру және т.б.;
  • Қолданылатын деректер - бизнес-процестердің бөлігі ретінде пайдаланушылар тікелей пайдаланатын деректер.

DLP класының шешімдері тізімдегі барлық санаттардың деректерін басқаруға және қорғауға мүмкіндік береді. Дегенмен, DLP енгізу сияқты маңызды операцияның сәттілігі қорғалған деректердің мәнін түсінуге тікелей байланысты екенін есте ұстаған жөн. Мұнда біз DLP жүйесін енгізудің ең маңызды кезеңі – дайындықты сипаттауға жақындадық.

1-кезең. Іске асыруға дайындық

Сауалнама

NSS Labs компаниясы «12 қадамда – DLP табысты енгізуге» мақаласында келіспеу қиын бірнеше тезистермен бөліседі:

  • DLP жүйесін табысты енгізу күрделі міндет болып табылады, оның шеңберінде өнімді енгізу қажетті, бірақ жеткіліксіз кезең болып табылады;
  • құжаттарды жіктеу және қол жеткізу матрицасын анықтау DLP жүйелерінің қауіпсіздік саясатының негізі болып табылады.

Сауалнама жұмысын кім жүргізуі керек? Әдетте, бұл үшін DLP жүйесін енгізетін компания (орындаушы) жауап береді. Дегенмен, бәрі қарапайым емес. Егер тапсырыс беруші компания, мысалы, мердігердің өтініші бойынша қорғалған ақпаратпен өзара әрекеттесу процестерінің сипаттамасын беруге дайын болмаса, онда осы құжатты әзірлеу кімнің жауапкершілік саласы болатынын түсіну керек.

DLP жүйесін енгізуге шешім қабылдаған идеалды тұтынушы коммерциялық құпия режимін енгізді, шектеулі қолжетімділік ақпаратының тізімін дайындады және осындай ақпаратты өңдеу, сақтау және беру жүзеге асырылатын бизнес-процестердің сипаттамасы бар. Басқаша айтқанда, тұтынушы оқиғаның құпия ақпараттың ағуы ретінде қарастырылатын ережелерін, сондай-ақ осы ережелерден ерекшеліктерді анық түсінеді. Бұл жағдайда мердігер ережелерді қауіпсіздік саясатына ғана бере алады.

Нағыз тұтынушыда анықталған ештеңе болмауы мүмкін. Бұл жағдайда ол өзінің сауалнамаға қатысуының маңыздылығын түсінуі керек, өйткені тұтынушы бұл процеске неғұрлым жауапкершілікпен қарайтын болса, компанияның бизнес-процестерінің сипаттамасы, ақпаратты қорғалғанға жатқызу критерийлері және т.б. әлсіз қатысу, тұтынушы орындаушының көзімен өзінің бизнес-процестерінің қауіпсіздігін пайымдауға сүйенеді және бұл әрқашан деректерді қорғау талаптарына сәйкес келе бермейді.

Әдетте, сауалнама жұмыстары келесі әрекеттерді қамтиды:

  • ақпараттың қауіпсіздігі мен құпиялығын қамтамасыз етуге байланысты ұйымдық-өкімдік құжаттарды зерделеу;
  • ақпараттық өзара әрекеттесуді формализациялауға байланысты ақпараттық ресурстар тізімін, желілік диаграммаларды, деректер ағынының диаграммаларын және т.б. зерделеу;
  • ақпаратты шектеулі ақпаратқа жатқызу критерийлері туралы келісім;
  • қолжетімділігі шектелген ақпарат тізбесін ресімдеу;
  • бизнес-процестердің шеңберінде қолжетімділігі шектеулі ақпаратты беру, өңдеу және сақтау процестерін тексеру және сипаттау.

Осы іс-шаралардың нәтижелері бойынша құжаттар әзірленеді, олардың негізінде кейіннен DLP жүйесі үшін қауіпсіздік саясаты жасалады. Мұндай құжаттар мыналарды қамтуы мүмкін:

  • «Қатынасы шектеулі ақпараттар тізімі»;
  • «Қатынасы шектеулі ақпараттың деректер ағынының диаграммасы»;
  • «Шектеулі ақпаратпен әрекеттесудің технологиялық процестерін сипаттау»;
  • «Құпия ақпаратты таратудың негізгі сценарийлері».

Қандай бизнес-процестер маңызды деректермен жұмыс істейтінін және жоғарыда аталған процестер осы деректермен қандай әрекеттерден тұратынын түсіне отырып, DLP жүйесінің жұмыс істеуінің қажетті механизмдерін және сәйкесінше оған қойылатын талаптарды анықтау қиын емес. Таңдау бойынша, осы кезеңнің бөлігі ретінде белгілі бір өнімге қатысты қауіпсіздік саясатының эскиздері жасалуы мүмкін. Өнімді таңдау туралы кейінірек айтатын боламыз.

Құқықтық қолдау

DLP өнімін пайдалану туралы шешім қабылдағанда компания басшылығы тап болатын маңызды мәселелердің бірі заңды мәселелер болып табылады. Мысалыға:

  • «Бұл жүйені пайдалану қызметкерлерді қадағалау ретінде түсіндіріледі ме?»
  • «Осы жүйенің жұмысынан туындаған қақтығыстардан өзімізді қалай қорғаймыз?»

Мұнда «Ұстатылған ақпараттың бүкіл мұрағатына қол жеткізе алатын DLP жүйесінің әкімшісін қалай басқаруға болады?» сияқты анық емес сұрақтарды қосыңыз.

  • серіктестік осы мақсатта қолжетімділігі шектеулі ақпараттың тізбесін, онымен жұмыс істеу ережелерін және т.б. анықтайтын коммерциялық құпия режимін енгізу арқылы өзінің коммерциялық құпиясын қорғауға құқылы;
  • қызметкерге еңбек міндеттерін орындау үшін берілген ақпаратты өңдеу құралдары, сондай-ақ олардың көмегімен жасалған ақпараттық ресурстар кәсіпорынның меншігі болып табылады;
  • компания байланыс операторы болып табылмайды және оның корпоративтік арналары арқылы жіберілген кезде байланыс құпиясын қамтамасыз етпейді.

Құқықтық контексте DLP жүйесін пайдаланудың құзыретті стратегиясын жасау тағы да тапсырыс беруші мен мердігер үшін бірлескен міндет болып табылады. Бұл жұмыстың нәтижесі коммерциялық құпия режимін ұйымдастыру шаралары немесе оған тиісті толықтырулар енгізуі тиіс. Осы жұмыстардың шеңберінде мердігер тапсырыс берушінің ұйымдық-өкімдік құжаттарын, еңбек шарттарын, қосымша келісімдерді және қызметкерлердің еңбек жағдайлары мен міндеттерін, сондай-ақ тапсырыс берушінің ішкі бақылау рәсімдерін анықтауға байланысты басқа да кадрлық құжаттарды зерттейді. Және талдау нәтижелері бойынша ол тұтынушының нормативтік базасына өзгерістер енгізу бойынша ұсыныстарды қалыптастырады. Осы кезеңде мердігер әзірлеген құжаттар мыналарды қамтуы мүмкін:

  • еңбек шарттарына қосымша келісімдер;
  • еңбек тәртібіне толықтырулар енгізу;
  • Ақпаратты өңдеу құралдары үшін қолайлы пайдалану саясаты;
  • қол жеткізу шектелген ақпаратпен жұмысты реттейтін басқа да құжаттар.

Ұсталған ақпарат мұрағатына шектеусіз қол жеткізе алатын DLP жүйесінің операциялық персоналын бақылаудың өзектілігін бөлек еске салғым келеді. Тиісті келісімдерге қол қою арқылы бұл ақпаратты жеке мақсатта пайдалану мүмкіндігін болдырмауға тырысу орынды сияқты. Ал, сәл алға қарай отырып, біз атап өтеміз: тұтынушыға осы кезеңде ұсталған ақпараттың мұрағатын құру әдісі туралы ойлану ұсынылады - барлық оқиғаларды немесе тек қауіпсіздік саясатын бұзған оқиғаларды сақтау. Батыс ойыншыларынан айырмашылығы, отандық DLP жүйелері барлық трафикті үнемдеу жолын ұстанды.

Міне, біз келесі кезеңге - нақты өнімді таңдауға жақындадық.

2-кезең. Өнімді таңдау

Бұл кезең өте ерікті түрде екінші нөмір ретінде орналастырылған, өйткені кейбір жағдайларда өнім енгізуге дейін нақты анықталған немесе дайындық кезеңі бір немесе бірнеше шешімдердің пилоттық жобасының алдында болады. Осылайша, нақты өнімді таңдау - бұл жағдайға байланысты бірінші немесе екінші немесе дайындықпен қатар жүретін кезең.

Дайындық кезеңі аяқталғаннан кейін (немесе процесте) тапсырыс беруші де, мердігер де ақпараттың ағып кетуін бақылау үшін дерексіз DLP жүйесі қалай қолданылатыны туралы түсінікке ие. Қандай өнім талаптарға жақсы сәйкес келетінін анықтау қалады. Талаптар туралы айтатын болсақ, ақпаратты ұстап алу және талдау процесін тікелей анықтамайтындар туралы ұмытпау керек. Оларға мыналар жатады:

  • Орналастыру және қолдау қиын. Егер шешім, мысалы, Oracle дерекқорын басқару жүйесін пайдаланса, тұтынушыда дерекқордың сақтық көшірмесін жасай алатын маман бар ма? Бұл процедура тінтуірдің үш рет басуымен орындалатын шешімді қарастыруымыз керек емес пе?
  • Инфрақұрылымға әсері. Орнатылған агент пайдаланушының компьютерінің немесе деректерді беру арнасының жұмысына қаншалықты әсер етеді? Жүйе құрамдастарын виртуалдандыру ортасында орнату мүмкін бе?
  • Операциялық персоналдың жұмыс процестерін ұйымдастыру. Бұл кезеңде тұтынушы қауіпсіздікке жауапты талдаушының немесе шешімнің функционалдығын қамтамасыз етуге жауапты жүйелік әкімшінің жұмысы қандай болатынын түсінуі керек.

Жүйеде сауалнама сатысында анықталған бизнес-процестерді бақылауда тұтынушының қажеттіліктерін қанағаттандыратын ақпаратты жинау және талдау механизмдерінің болуы айқын талап болып табылады.

Біз тұтынушының бюджетін ұмытпауымыз керек, бұл да маңызды талап. Кәсіпорын класындағы өнімдерден басқа, DLP жүйелері де аталғандармен ұсынылған. «Жеңіл DLP» және Channel DLP «үлкен ағамен» салыстырғанда бірқатар функционалды шектеулерді білдіреді және тіпті бір нақты деректерді беру арнасын басқаруға бағытталған. Мысалы, шектеулі бюджет жағдайында тұтынушы үшін бар прокси сервер үшін қосымша DLP функционалдығын сатып алу және тек үшінші тарап өнімінің агент шешімін пайдалану оңтайлы болуы мүмкін.

Бұл кезең тапсырыс берушіге ең қолайлы шешімді ұсыну міндеті болып табылатын мердігердің үлкен жауапкершілігімен сипатталады. Сонымен қатар, соңғысының ықтимал пассивтілігі жүйені пайдалану және қолдау сатысында оған қатыгез әзіл ойнайды.

Белгілі бір өнімді таңдауды осы өнімді пайдалану арқылы жүзеге асырылатын шешімнің архитектурасын түсінбей елестету қиын, сондықтан осы кезеңде дизайн жұмыстары басталды деп айтуға болады.

3-кезең. Жобалау және орнату

Дизайн

Әдетте, осы кезеңде шешім архитектурасының негізгі нүктелері анықталған. Жобалау жұмысы бұл негізгі нүктелерді егжей-тегжейлі көрсету және кеңейту, нәтижесінде алынған жобалық шешім жүзеге асыруға толығымен дайын болатындай дәрежеде анықталады. Жақсы жобалық шешімнің кілті тапсырыс берушінің инфрақұрылымын егжей-тегжейлі зерттеу және «үйде» шешімнің прототипін жасау болып табылады. Бұл шаралар орнату кезеңінде техникалық қиындықтар қаупін барынша азайтады. Тұтынушының мұны түсініп, процеске белсенді түрде үлес қосқаны өте құптарлық.

Жобалық шешім ұсынылатын нысанды тараптар талқылайды. Көп жағдайда бұл түпкілікті жобалық шешімді сипаттайтын техникалық құжаттардың келісілген жиынтығы. Бұл кезеңде операциялық құжаттамаға қойылатын талаптар да белгіленеді. Таңдалған DLP жүйесін өндірушінің ресми нұсқаулықтары жеткіліксіз болса, мердігер жетіспейтін жинақты дайындайды. Мұндай құжаттардың мысалы ретінде ресми нұсқаулықтың шет тілінен аудармасы, сондай-ақ «Бағдарламалық қамтамасыз етудің өмірлік циклінің сипаттамасы» сияқты экзотикалық құжаттар болуы мүмкін.

Жобалау кезеңінде әлеуетті масштабтау немесе бақылаудан блоктау режиміне ауысу сияқты жүйеге болашақ өзгерістердің мүмкіндіктерін қарастыру маңызды. Жабдыққа, бағдарламалық қамтамасыз етуге, тіпті өнімді пайдаланудың технологиялық процестерін құруға қойылатын талаптарды мердігер осы қажеттілікке негізделуі керек.

Сонымен, мердігер жобалық шешімді дайындады, тапсырыс беруші оны бекітті, келесі кезең - DLP жүйесін орнату және бастапқы конфигурациялау.

Орнату

DLP жүйесін орнату сонымен қатар тапсырыс беруші мен мердігер арасындағы тығыз ынтымақтастықты қажет етеді. Шешімдердің осы класының өнімдері бірқатар байланысты жүйелермен (пошта, прокси серверлер, желілік жабдық) байланысты болғандықтан, орнату процесін тұтынушы мамандарынсыз елестету қиын.

Әдетте, өнімді орнату сервер құрамдастарын орнатудан және олар мен көрші жүйелер арасындағы байланысты орнатудан басталады. Дегенмен, ерекше жағдайлар бар. Мысалы, қысқа орындау мерзімімен және орнатылған агенттердің айтарлықтай санымен, соңғысын орнату процесін жобалау жұмыстары аяқталғанға дейін бастауға болады. Стандартты емес шешімнің бұл мысалы іске асырудың барлық кезеңдерінде тараптар арасындағы диалогтың қажеттілігін тағы да еске салады.

Монтаждау жұмыстарының шеңберінде бізді конфигурациялау жұмыстарына жақындататын маңызды мәселе - тапсырыс берушінің қызметкерлерінен өнімді енгізу фактісін құпия сақтау мәселесі. Егер пайдаланушының DLP жүйесіне қатысу дәрежесі әлі анықталмаған болса, онда бұл туралы ойланудың уақыты келді.

4-кезең. Орнату

Өкінішке орай, бұл кезең әмбебап алгоритмді сипаттамайды, содан кейін кез келген адам сауатты конфигурацияланған DLP жүйесін алады. Неге болмасқа? Ақыр соңында, егер сіз бұл туралы ойласаңыз, бұл алгоритм оңай тұжырымдалған бір ғана нүктеден тұрады - «Жүйені үздіксіз конфигурациялау және бүкіл жұмыс кезеңінде қауіпсіздік саясатын өзгерту».

Көріп отырғанымыздай, бұл ұзақ мерзімді орнату емес, үздіксіз - бұл тұтынушы түсінуі керек негізгі мәселе. Мінсіз орындалған дайындық кезеңі орнату кезеңінде таптырмас көмекші болады және орындаушы сапардың басында міндетті түрде көмектеседі (мүмкін, тек басында ғана емес, бәрі келісіммен анықталады). Бірақ қазіргі кезеңдегі негізгі жұмыс тапсырыс берушінің иығына түседі (бұл жерде біз қызмет көрсетудің сервистік моделін ескермейміз, оның шеңберінде мердігер осы жұмыстың маңызды бөлігін өз мойнына ала алады).

Бизнес-процестерді, инфрақұрылымды өзгерту, қызметкерлерді жалдау, бар бөлімшелердегі жауапкершіліктерді беру, басшылық бұйрықтары, лауазымдық нұсқаулықтар сияқты жаңа құжаттарды шығару - осы оқиғалардың барлығы қауіпсіздік саясатын өзгерту қажеттілігін тудырады. Сандық саусақ іздері, сөздіктер және кейде машиналық оқыту технологияларымен қаруланған жауапты қызметкерлер DLP жүйесі үшін маңызды болып табылатын компаниядағы барлық өзгерістерді қадағалап, ақпараттың ағып кетуін болдырмау үшін олардың ықтимал теріс салдарын азайтуы керек. Сонымен қатар, бұл жерде жағымсыз салдар ағып кетудің жаңа арналарын ғана емес, сонымен қатар жалған позитивтердің ықтимал өсуін білдіреді.

Іске асыру шеңберінде тараптардың міндеттері туралы айтатын болсақ, онда келісімді жасау кезінде олар мердігер орындауға міндеттенетін DLP жүйесін орнату бойынша жұмыстың сандық және сапалық сипаттамаларын келісуге тырысады. Әдетте, біз арнайы терминдердің дерекқорын толтыру, тұрақты өрнектерді жазу және осы технологиялар негізінде деректерді қорғау саясатын құру туралы айтып отырмыз. Орнату жұмысы әдетте қызметкерлердің кеңестерімен бірге жүреді. Қызметкерлердің жүйемен өз бетінше жұмыс істей алмауын жойып, бұл процесті барынша өнімді ету екі тараптың да мүдделеріне сай.

Орнату кезінде сіз мына сұрақты есте сақтауыңыз керек: «Тұтынушы DLP жүйесін пайдаланушыларды құпия ақпаратпен жұмыс істеуге үйрету құралы немесе бақылау құралы ретінде пайдаланғысы келе ме?» Батыс компаниялары бірінші нұсқаны кеңінен пайдаланады. Оның идеясы пайдаланушыларға DLP жүйесінің бар екендігі туралы хабардар ету ғана емес, сонымен қатар деректерді қорғау ұйымына қарапайым қызметкерлерді тарту болып табылады. Нәтижесінде олардың мінез-құлқы үлкен жауапкершілікке қарай өзгереді. Ұйым неғұрлым үлкен болса, бұл әдіс оған неғұрлым объективті түрде сұранысқа ие болады: өзінің ақпараттық қауіпсіздік бөлімінің саны шектеулі, ал DLP жүйелері жұмыстың бастапқы кезеңдерінде айтарлықтай еңбек шығындарын талап етуі мүмкін. Ішкі краудсорсинг осындай көп еңбекті қажет ететін тапсырмада айтарлықтай қолдау көрсете алады. Геймификация принципі DLP жүйелерінің жұмысы сияқты қолдану саласына да жетті. Ойын парадигмасының бөлігі ретінде компания «қолды шапалақпен ұру» деп аталатыннан бас тартады - пайдаланушыда максималды стрессті тудыруға арналған қызыл түстермен безендірілген қауіптері бар стандартты қалқымалы терезе. Қауіпсіздік саясатын қасақана бұзған жағдайда, пайдаланушы оның әрекетін бұғаттау себебінің сипаттамасын және болашақта бұзушылықты болдырмау туралы ескертуді көреді. Геймификацияның тағы бір маңызды бөлігі - айқын позитивті мотивация. Деректер қауіпсіздігі стандарттарына сәйкестігі үшін пайдаланушыларға бейдждерді тағайындау, деректермен өзара әрекеттесуі ең дұрыс болғандар туралы DLP жүйелерінен әдемі графикалық есептерді жариялау және т.б.

Тәсілдің қарапайымдылығына қарамастан, мұндай механизм қызметкерлердің жұмыс өміріне «деректердің ағып кетуінен қорғау» тұжырымдамасын енгізуге және біріктіруге көмектеседі, бұл деректерді қорғауды пайдаланушыға жат ұғым емес, ажырамас және табиғи ( және жалықтырмайтын) жұмыс процесінің бөлігі. Екінші нұсқа өнімнің ақпараттық ортада болуының максималды құпиялығын білдіреді. Бұл сұрақтың жауабын No 0 кезең деп тұжырымдау ұсынылады.

қорытындылар

DLP енгізу көбінесе объективті факторлармен қиындайды: функционалдық айырмашылықтар, жалғыз дұрыс іске асыру опциясының және бір пайдалану жағдайының болмауы. Тіпті деректердің ағып кетуінен қорғауды енгізу туралы шешімді тұтынушы DLP жүйелерімен байланысты мифтерге байланысты кейінге қалдыруы мүмкін («DLP-ті қолдау бүкіл ақпараттық қауіпсіздік ресурсын алады», «DLP-ті енгізу үшін кемінде бір жарым жыл қажет немесе орындалмауы мүмкін. барлығы» және т.б.).

Бұл жағдайда тәжірибеге сүйене отырып, мердігер тапсырыс берушінің техникалық бөлімшесінің өкілдеріне де, бизнес өкілдеріне де шешімнің мәнін көрсететін сценарийлерді ұсынуы керек. DLP клиентке таңдау жасауға көмектесетін жылдам және объективті нәтижелерді көрсете алады.

Өз деректерінің және тұтынушыларының деректерінің қауіпсіздігіне жауапкершілікпен қарайтын ұйымдар үшін DLP анық қажет шешім болып табылады.

Осы кластағы өнімдердің ағылшынша атауына сүйене отырып, көпшілігі әлі күнге дейін DLP жүйелері тек ақпараттың ағып кетуінен қорғау үшін жасалған деп санайды. Мұндай қате түсінік осындай қорғаныс құралдарының барлық мүмкіндіктерімен танысу мүмкіндігі болмаған адамдарға тән. Сонымен қатар, қазіргі заманғы жүйелер күрделі аналитикалық құралдар болып табылады, олардың көмегімен АТ, ақпараттық және экономикалық қауіпсіздік, ішкі бақылау, кадрлық және басқа құрылымдық бөлімшелердің қызметкерлері әртүрлі мәселелерді шеше алады.

ОН ТАПСЫРМА

Бұл мақалада біз COBIT5 әдістемесіне сәйкес бизнес пен АТ мақсаттарының арақатынасына негізделген жоғары деңгейдегі бизнес мақсаттарына тоқталмаймыз: пайда алу, ресурстарды оңтайландыру (соның ішінде шығындар), тәуекелдерді оңтайландыру. Біз бір деңгейге түсіп, нақты қолданбалы мәселелерді қарастырамыз, олардың арасында қазіргі заманғы DLP жүйелері шешуге көмектесетінін бөлектейміз.

I. Адал емес қызметкерлерді әшкерелеу:

  • қорғалатын ақпаратты беру фактілерін анықтау;
  • экономикалық қылмыстарды анықтау;
  • әдепсіз қарым-қатынас фактілерін тіркеу;
  • оқиғаларды мұрағаттау және оқиғаларды басқару.

II. Тәуекелдерді азайту және ақпараттық қауіпсіздіктің жалпы деңгейін арттыру:

  • ағып кету арналарын және/немесе белгілі бір ақпараттық хабарламаларды блоктау;
  • қызметкерлердің қабылданған қауіпсіздік саясатын жүйелі түрде бұзуын анықтау.

III. Заңды және өзге де талаптардың сақталуын қамтамасыз ету:

  • ақпаратты категориялау;
  • Нормативтік құқықтық актілерді сақтау және стандарттар мен озық тәжірибелерге сәйкестікке қол жеткізуге көмектесу.

IV. Процесс тиімділігін талдау және арттыру:

  • қызметкерлермен болуы мүмкін проблемаларды болжау және анықтау;
  • деректер ағындарын және сақталған ақпаратты талдау.

ӨЗДЕРІНІҢ АРАСЫНДАҒЫ БӨТЕГЕН

Жосықсыз қызметкерлерді әшкерелеу сізге қажетті басқару шешімдерін уақтылы қабылдауға мүмкіндік береді (соның ішінде мұндай адамдармен заңды құзыретті қоштасу). Ол үшін оқиға фактісін анықтау, оны дұрыс түсіндіру және жіктеу, табылған дәлелдемелердің сақталуын қамтамасыз ету қажет.

Қорғалған ақпаратты беруді анықтаузаңсыз алушыларға - DLP жүйелерінің ең көп сұралатын мүмкіндігі. Әдетте, жүйе коммерциялық құпияны құрайтын ақпаратты, жеке деректерді, несие картасының нөмірлерін және басқа да құпия ақпаратты (салаға және белгілі бір ұйымның ерекшеліктеріне байланысты) анықтау үшін конфигурацияланады.

InfoWatch аналитикалық орталығының мәліметтері бойынша, жеке деректердің сыртқа шығуы жиі орын алады, ал екінші орында коммерциялық құпияны құрайтын ақпарат (1-суретті қараңыз).

Арнайы шешімге байланысты DLP жүйелері ақпаратты тасымалдаудың келесі негізгі арналарын бақылап, талдай алады: электрондық пошта, Интернет арқылы деректерді беру (әлеуметтік желілер мен форумдар, файлдарды ортақ пайдалану қызметтері және бұлтты сақтау, электрондық поштаға веб-қатынау және т.б.), көшіру сыртқы тасымалдағыш, құжатты басып шығару.

Экономикалық қылмыстарды ашу DLP жүйелерінің негізгі мақсаты емес. Соған қарамастан хат алмасуды талдау көбінесе оларға дайындықты немесе заңсыз әрекет жасау фактісін анықтауға мүмкіндік береді. Осылайша, әдетте компанияға зиян келтіруі мүмкін кері қайтару схемаларын және басқа рұқсат етілмеген келіссөздерді талқылауға болады.

Сонымен қатар, мөрлер мен қолдар бар бос бланкілерді басып шығару немесе оларды біреуге жіберу де құжатты қолдан жасауға дайындықты жанама түрде көрсетуі мүмкін. Бірақ сіз панацея ретінде DLP жүйелеріне сенбеуіңіз керек - қылмыстың бұл түрін дайындауды жасыру оңай.

Этикалық емес қарым-қатынас фактілерін тіркеуқызметкерлер арасындағы және сыртқы алушылармен хат алмасуды талдау нәтижесінде туындайды. Қазіргі заманғы DLP жүйелері агрессивті және деструктивті мінез-құлықты анықтауға қабілетті - мысалы, диверсияға шақыру және шақыру, «психологиялық террор», «троллинг», қорқытулар мен қорлау. Жақында менің әріптестерімнің бірі ықтимал қылмысты тоқтата алды: DLP жүйесі екі қызметкердің хат алмасуында үшінші қызметкерге дене жарақатын келтіру туралы сөз байласуын анықтады.

Барлық ақпараттық хабарламаларды мұрағаттау және жүйелеуоқиғаларды одан әрі тергеу және дәлелдемелердің құқықтық маңыздылығын қамтамасыз ету үшін қажет. Оқиғаларды анықтау жеткіліксіз, сонымен қатар алынған ақпаратты сақтау және оларды талдаудың ыңғайлы механизмін қамтамасыз ету қажет.

«ПЕРІМДЕУ» АРНАЛАР

Қорғалған ақпараттың ағып кету қаупін азайту ағып кету арналарын үнемі бақылау және блоктау, сондай-ақ қауіпсіздік саясатын бұзғаны анықталған пайдаланушыларды ескерту арқылы қол жеткізіледі.

Понемон институтының зерттеуі («Сіздің компанияңыз үлкен деректерді бұзуға дайын ба?» есебі) соңғы екі жылда сауалнамаға қатысқан компаниялардың үштен бірінде құпия ақпараттың ағып кетуінің 1000-нан астам оқиғасы тіркелгенін көрсетті: 48% деректерге ие болды. бұзу тек бір рет, 27% - екі рет, 16% бес ретке дейін ұқсас оқиғаларды кездестірді, 9% ағып кетудің бестен астам жағдайын тіркеді. Бұл қарастырылып отырған қауіптердің өзектілігін көрсетеді.

Ағып кету арналарын және/немесе белгілі бір ақпарат хабарларын блоктауақпараттың ағып кету қаупін айтарлықтай төмендетуі мүмкін. Бұған бірнеше тәсілдер бар: енгізу/шығару порттарын блоктау, сайттардың белгілі бір санаттарына кіруді блоктау (файлдарды ортақ пайдалану қызметтері, электрондық пошта) және/немесе жіберілген хабарламалардың мазмұнын талдау және кейіннен жіберуді блоктау.

Кейбір жағдайларда DLP жүйелері қамтамасыз ете алады қызметкерлердің қабылданған қауіпсіздік саясатын жүйелі түрде бұзуын анықтау: хабарламаларды үшінші тұлғаларға түсінікті (шифрланбаған) түрде беру, белгілі бір мөртаңбаларсыз құжаттарды басып шығару, рұқсат етілмеген алушыларға электрондық хаттарды кездейсоқ жіберу.

ҚАТАҢ ФОРМАДА

Ресми реттеу талаптарын және/немесе озық тәжірибе бойынша ұсыныстарды орындау бірінші және екінші топтардың міндеттерімен байланысты болуы мүмкін, бірақ олар бөлек қарастырылады.

Ақпаратты автоматтандырылған санаттаукейбір DLP жүйелері қамтамасыз ететін қосымша мүмкіндік болып табылады. Бұл қалай жұмыс істейді? DLP жүйесі файлдардың белгілі бір түрлерін анықтау үшін жұмыс станциялары мен серверлерді сканерлейді және әртүрлі талдау технологияларын қолдана отырып, құжаттарды белгілі бір санаттарға тағайындау туралы шешім қабылдайды.

Бұл мүмкіндік өте пайдалы болуы мүмкін, өйткені біздің тәжірибемізде компаниялардың аз ғана бөлігінде құпия ақпараттың жаңартылған тізімдері бар, оларсыз қандай құжаттар құпия, қайсысы құпия екенін түсіну мүмкін емес.

DLP жүйелерін пайдалану қол жеткізуге мүмкіндік береді кейбір нормативтік талаптарды орындау(мысалы, Ресейдің FSTEC No 21 және No 17 бұйрықтары, Ресей Банкінің № 382-П нормативтік актілері) және озық тәжірибелер (ГОСТ/ИСО 27001, STO BR IBBS, COBIT5, ITIL). DLP жүйелері ақпаратты санаттауға, сақтау орындарын шектеуге, оқиғалар мен инциденттерді басқаруға, сыртқы медианы басқаруға, жіберілген хабарларды басқаруға және көптеген басқа жағдайларда көмектеседі.

БІЗ НЕ ТҰРДЫҚ, НЕ КҮТЕМІЗ?

үшін DLP жүйелерін пайдалануға болады деректер ағындарын және сақталған ақпаратты талдау- мысалы, рұқсат етілмеген жерлерде рұқсат етілмеген ақпаратты сақтау фактілерін анықтау, файлдарды сақтау орны болған кезде электрондық поштаға шамадан тыс жүктемені анықтау және т.б. Олар қызметкерлердің нашар мінез-құлқы мен орындалмаған күтулерінен, сондай-ақ ақпаратты сақтаудың, берудің және өңдеудің тиімсіз тәсілдерінен туындайтын бизнес-процестердегі ықтимал кедергілерді анықтайды.

Мүдделер қақтығысын болжау және анықтауәлеуметтік желілердегі және әртүрлі интернет-ресурстардағы қызметкерлердің хат-хабарларын және басқа да әрекеттерін талдау арқылы жүзеге асырылады. Қажет болған жағдайда DLP жүйелері компаниядан кім кететінін (жұмыс іздеу немесе алынған ұсыныстарды талқылау), корпоративтік АТ ресурстарын орынсыз пайдалануды (әлеуметтік желілерде шамадан тыс байланыс, жеке құжаттарды, кітаптар мен фотосуреттерді басып шығару, келушілерге келу) «түсіне» алады. ойын сайттары және т.б.), басқару шешімдеріне теріс әсер етеді. Бұл мәселелер қауіпсіздік қызметінен гөрі кадр бөлімі мен желілік менеджерлердің құзырына көбірек түседі.

ҚАНДАЙ ҚИЫНДЫҚТАР БАР?

DLP жүйесін енгізгенде немесе оны жай ғана қолдану туралы ойлағанда, оның қандай тапсырмаларды шешетіні туралы нақты түсінік болуы маңызды. Онсыз шешім өндірушісін таңдау ғана емес, сонымен қатар функционалдылық пен параметрлерге қойылатын талаптарды дұрыс тұжырымдау қиын. Егер сіз функционалдық тізімге емес, мәселелерді шешуге ерекше назар аударсаңыз, онда бұл АТ бөлімі үшін де, жалпы кәсіпорын үшін де DLP енгізудің орындылығын нақты негіздейді.

Андрей Прозоров- InfoWatch ақпараттық қауіпсіздік жөніндегі жетекші сарапшысы, блогер.

2017 жылы DLP жүйелері ақпараттық қауіпсіздікте әдеттегі құбылысқа айналғандай көрінуі мүмкін, сондықтан трафикті ұстау мәселелері артта қалды.

Әр түрлі DLP жеткізушілерінің қандай трафикті жинау керек және қай жерде болуы керек деген көзқарастары, әдетте, алғашқы сәтті жобалардың жеке тәжірибесіне негізделген. Әлбетте, бұл тәжірибе жеткізушіден жеткізушіге дейін өзгерді, өйткені кәсіпорынның инфрақұрылымы жеке нәрсе және ақпараттық қауіпсіздік мамандарының жеке қалауы да әсер етті.

Алайда, нәтижесінде бүгінгі күні кез келген дерлік DLP жүйесі пошта серверлерінде, желі шлюзінде, прокси серверде және соңғы жұмыс станцияларында трафикті жинауға қабілетті. Дегенмен, бұл соңғы тармақ әлі де көптеген даулар тудырады. Кейбіреулер үшін DLP агенті барлық қауіптердің панацеясы болса, басқалары үшін бұл азап шегеді. Бұл туралы мен осы мақалада айтқым келеді.

Неліктен агенттерді мүлде орнату керек?

DLP классикасына сәйкес, агент жұмыс станцияларында тыныштықтағы деректерді (Data-at-rest) және пайдаланылатын деректерді (Data-in-use) бақылауды қамтамасыз ету үшін қажет. Қозғалыстағы деректер сервер деңгейінде 95% қамтылған, бұл жақсы жаңалық.

Теориялық тұрғыдан DLP агентін қосу қызметкерлердің дербес компьютерлеріндегі құпия ақпаратты іздеуге ғана емес, сонымен қатар құрылғы желіде болмаған немесе ақпарат белсенді пайдаланылған жағдайларда оның айналымын бақылауға мүмкіндік береді. Дегенмен, іс жүзінде агенттер кең мүмкіндіктермен қатар көптеген қиындықтарды да әкеледі.

Орнату проблемалары

Біріншіден, агенттерді орналастыру өте қиын. Мұндағы тұзақ пилоттық жобаларда жатыр: әдетте агенттер бірнеше ондаған немесе жүздеген машиналарға ақаусыз орнатылады, бірақ өнеркәсіптік енгізу уақыты келгенде және мыңдаған машиналар агент модульдерін алу керек болғанда, қызық басталады.

Ұйымда DLP агенттерін орнатуда қиындықтар туындағанда, оның теріс дозасын бірінші алатыны, әрине, белгілі бір өндіруші болады. Бірақ тәжірибелі ақпарат қауіпсіздігі мамандарымен сөйлессеңіз, мәселе жаһандық болып шығады. «dlp агенті орнатылмаған» немесе «dlp агентінің мәселесі» сияқты нәрсені іздеп көріңіз. Сіз пайдаланушылар әлемдегі DLP гиганттарының агент модульдері туралы шағымданатын жүздеген форум беттерін таба аласыз.

Қолданыстағы бағдарламалық құралмен қайшылықтар

Кез келген лайықты антивирус DLP агентін зиянды бағдарлама ретінде бірден анықтайтын уақыт болды. Уақыт өте келе көптеген өндірушілер бұл мәселені шеше алды. Бірақ агент неғұрлым қуатты және ол қолданатын жасырын ОЖ функцияларын неғұрлым күшті болса, соғұрлым қақтығыс ықтималдығы жоғары екенін есте ұстаған жөн.

Біраз уақыттан бері нарықта VirusBlokAda антивирусы орнатылған Беларусь Республикасындағы белгілі бір ұйым туралы әңгіме болды. Ұйымда DLP агент бөлігін қолдану үшін жеткізуші осы антивирустық бағдарламалық құралмен «интеграция шешімін» шұғыл түрде әзірлеуі керек болды. Сондықтан, шешімнің бір немесе басқа антивируспен интеграциясы бар екенін естігенде, көп жағдайда бұл ақпаратты қауіпсіздік оқиғаларының өзара алмасуы емес, DLP агентімен қайшылықтың болмауы.

Жұмыс станциясындағы мазмұнды талдау

Агент модулі әдетте құжаттармен, электрондық пошта клиентімен және браузермен жұмыс істеуге арналған кеңсе жұмыс үстелі немесе ноутбук болып табылатын қызметкердің жұмыс станциясының шектеулі ресурстарымен айналысуға мәжбүр. Осының барлығымен агент мазмұнды талдауды тікелей жұмыс станциясында жүргізуі керек. Бұл өнімділікке әсер етеді және әсіресе ұйым дерекқордан немесе графикалық құжаттардан жүктеп алу сияқты құпия деректердің үлкен көлемін қорғауға бағытталған «бос» саясаттарды пайдаланса, әсіресе қиын. Сіз OCR жұмыс станциясында қалай жұмыс істейтінін немесе штамп детекторының үлкен масштабта қалай жұмыс істейтінін білесіз бе? Мәңгі есте қалу үшін бір рет көруге тұрарлық.

Жалған позитивтер

Жақында әртүрлі DLP жүйелерін бір инфрақұрылымда біріктіріп пайдаланудың байқалатын үрдісі байқалды. Тұтынушылар бірнеше шешімдердің ең жақсы мүмкіндіктерін жинайды, содан кейін осы хайуанаттар бағын теңшеудің шығармашылық процесі басталады. Мәселе мынада, әртүрлі шешімдер бір трафикті тоқтата бастайды және бір оқиға үшін 2-3 хабарландыру жібереді - әрине, әртүрлі консольдерге. Әрине, бұл мұрағаттағы орынның өте тез бітуіне әкеледі. Ақырында, жұмыс станциясы бұзылған кезде, қай агент кінәлі екенін анықтау үшін тергеу басталады.

Агенттер барлық платформаларға қолдау көрсетпейді

Инфрақұрылымның тамаша көрінісі келесідей көрінеді: барлық пайдаланушылар бірдей жұмыс станцияларын пайдаланады, мысалы, Windows 7 немесе тіпті Windows 8 жүйесінде, барлық үйлесімділік мәселелері өткеннің еншісінде. Бұл идеалды іс жүзінде сирек кездестіруге болады, бірақ сіздің компанияңыз сирек ерекшелік болса да, Windows 10 жүйесіне ауысу қазірдің өзінде күн тәртібінде.

Мәселе мынада, барлық өндірушілер агенттің осы ОЖ-мен тұрақты жұмыс істеуіне кепілдік бере алмайды. Мысалы, батыстық жеткізушілерге арналған қолдау қауымдастықтарының ресми ағындарына өтсеңіз, Microsoft корпорациясының жаңа жасауымен үйлеспеушілік туралы көптеген шағымдарды көре аласыз. Егер сіз компанияның антивирус өндірушілерінің қолдарын қалай шебер бұрайтынын есіңізде сақтасаңыз, олардың өнімдерімен ОС барған сайын қақтығысатын болса, онда Microsoft мұны қолдайтындай әсер қалдырады және жақын арада ынтымақтастық шарттарын енгізу үшін басқа түпкілікті шешімдерге қол жеткізеді. Пайдаланушылар тұрақты жаңартулармен және DLP агенттерінің кенеттен сәтсіздіктерімен қолдау көрсетуде мұндай тұрақсыздыққа тап болады.

Мобильді агент - өлтірген жақсы

Шамамен 2012 жылы Symantec DLP дамуының жаңа дәуірін бастады — мобильді құрылғылардағы ағып кетудің алдын алу. Олардың шешімі iPhone немесе iPad құрылғысын барлық құрылғы трафигін саясатты тексеру жүргізілетін DLP серверіне бағыттайтын VPN туннелі арқылы жұмыс істейтін етіп конфигурациялау болды. Техникалық тұрғыдан бәрі өте ашық түрде жүзеге асырылады. Сіз VPN қосулы арқылы күні бойы өтуге тырысып көрдіңіз бе? Құрылғының батареясының қаншалықты тез бітетінін тек болжауға болады. Оның үстіне, бұл мысалда мобильді құрылғыдағы DLP агенті туралы сөз жоқ. Apple кез келген фондық қолданбаларды, әсіресе деректерді өңдеу процесіне кедергі келтіретін қолданбаларды қаншалықты қатты қарайтынын біле отырып, мұндай агент пайда болмайды. Symantec неге Android үшін DLP шешімін әзірлемегені белгісіз. Мүмкін мәселе операциялық жүйені сегменттеуде болуы мүмкін және әзірлеушілерге барлық телефон үлгілері үшін агенттердің әртүрлі нұсқаларын қолдау өте қиын болады. Көбінесе трафикті тоқтату процедуралары үшін сізге құрылғыны түбірлеу қажет болады, және әрбір тәжірибелі қауіпсіздік маманы тіпті сенімді өндірушінің мұны істеуіне мүмкіндік бермейді.

қорытындылар

Соңғы нүкте мониторингінсіз DLP жүйесін толық ауқымды енгізуді елестету қиын. USB медиасын пайдалануды шектеу, алмасу буферін басқару – бұл арналарды тек агент жағында басқаруға болады.

Егер байланыс трафигі туралы айтатын болсақ, онда заманауи технологиялар желілік шлюздегі және прокси сервердегі барлығын дерлік ұстауға мүмкіндік береді. Тіпті браузер сипаттарындағы параметрлерсіз SSL трафигін мөлдір түрде талдаңыз. Сондықтан біз ұстағыштарды әрқашан ақылмен таңдауды ұсынамыз. Көбінесе «агентке оңай» шешім терең ақаулы болып шығады.

DLP жүйелерін енгізу оңай, бірақ оларды нақты артықшылықтар беру үшін орнату оңай емес. Қазіргі уақытта ақпарат ағындарын бақылау және бақылау жүйелерін енгізу кезінде (DLP терминінің сипаттамасының менің нұсқасы) келесі әдістердің бірі жиі қолданылады:

  1. Классикалық . Бұл тәсілмен компания маңызды ақпаратты және оны өңдеуге қойылатын талаптарды анықтап қойған, ал DLP жүйесі тек олардың орындалуын бақылайды.
  2. Аналитикалық . Сонымен қатар, компанияда маңызды ақпараттың (әдетте құпия ақпарат) таралуын бақылау қажет екендігі туралы жалпы түсінік бар, бірақ ақпарат ағындарын түсіну және оларға қойылатын қажетті талаптар әлі анықталған жоқ. Содан кейін DLP жүйесі қажетті деректерді жинайтын құралдар жиынтығы ретінде әрекет етеді, оны талдау ақпаратты өңдеуге қойылатын талаптарды нақты тұжырымдауға, содан кейін қосымша, дәлірек айтқанда, жүйенің өзін конфигурациялауға мүмкіндік береді.

Мен әр тәсілге тән DLP енгізу қадамдарының мысалдарын қысқаша келтіремін.

DLP енгізудің классикалық тәсілі:

  1. Негізгі бизнес-процестерді анықтаңыз және оларды талдаңыз . Шығуда құжат алу керек » "(кейде бұл кеңейтілген тізім, жұмыс құжаты сияқты болуы мүмкін" Бақыланатын ақпарат тізімі", өйткені, мысалы, электрондық хат алмасуда балағат сөздерді пайдалануды бақылау және жолын кесу қажет) және "Ақпарат иелерінің тізімі" жұмыс құжаты. Осы немесе басқа ақпараттың иесі кім екенін түсіну талаптарды кейіннен анықтау үшін қажет. оны өңдеу үшін.
  2. Негізгі тасымалдаушылар мен берілу әдістерін анықтаңыз. Ұйымның АТ-инфрақұрылымында қандай БАҚ басқарылатын ақпарат болуы мүмкін екенін түсіну қажет. Сонымен қатар, жұмыс құжаттарын әзірлеу жақсы тәжірибе болып табылады. Сақтау құралдарының тізімі« Және » Ақпараттың ағып кетуі мүмкін арналарының тізімі".
  3. Ақпарат пен қызметтерді пайдалану талаптарын анықтау . Көбінесе мұндай талаптар жеке саясаттарда, мысалы, «Электрондық поштаны пайдалану саясаты», «Интернет пайдалану саясаты» және т.б. құжаттарда тұжырымдалады. Дегенмен, жалғыз әзірлеу ыңғайлырақ « Рұқсат етілген ресурстарды пайдалану саясаты«. Келесі блоктарға қойылатын талаптарды көрсету мағынасы бар: электрондық поштамен және Интернетпен жұмыс істеу, алынбалы тасымалдаушыларды пайдалану; жұмыс станциялары мен ноутбуктерді пайдалану, жеке құрылғылардағы ақпаратты өңдеу (PDA, смартфондар, планшеттер және т.б.), көшіру машиналарының технологиясын пайдалану және желілік деректерді сақтау, әлеуметтік желілер мен блогтардағы байланыс, жедел хабар алмасу қызметтерін пайдалану, қатты тасымалдағышта (қағазда) бекітілген ақпаратты өңдеу.
  4. Қызметкерлерді алдыңғы қадамда анықталған ақпарат пен қызметтерді пайдалану талаптарымен таныстыру.
  5. DLP жүйесін жобалау . Техникалық дизайн тұрғысынан мен кем дегенде әзірлеуді ұсынамын » Техникалық тапсырма« Және » Тест бағдарламасы және әдістемесі". сияқты құжаттар да қосымша пайдалы болады ", онда жүйе ақпаратты қалай сүзетінін және оқиғалар мен инциденттерге қалай жауап беретінін егжей-тегжейлі көрсету керек және " ", онда сіз DLP басқару үшін рөлдер мен жауапкершілік шекараларын жазасыз.
  6. DLP жүйесін енгізіңіз және конфигурациялаңыз, оны сынақ режиміне енгізіңіз. Бастапқыда бұл бақылау режимінде жақсы орындалады.
  7. DLP басқару және қолдау үшін жауапты персонал үшін оқытуды өткізу . Бұл кезеңде сізге даму ұсынылады DLP үшін рөлдік нұсқаулар жинағы(басқару және қолдау) .
  8. Сынақ жұмысының нәтижелері мен нәтижелерін талдау, түзетулер енгізу (қажет болған жағдайда) және коммерциялық пайдалануға енгізу.
  10. Оқиғаларды жүйелі түрде талдап, DLP конфигурация саясатын жетілдіріңіз.

АналитикалықDLP енгізу тәсілі:

    DLP жүйесін жобалау . Бұл кезеңде қарапайым « Техникалық сипаттамалар« Және » Сынақ бағдарламалары мен әдістері".

    Ең аз DLP саясаттарын анықтаңыз және конфигурациялаңыз. Біздің міндетіміз – қандай да бір әрекетті бақылау және бұғаттау емес, сол немесе басқа корпоративтік ақпаратты беру үшін қандай арналар мен құралдар қолданылатыны туралы аналитикалық ақпаратты жинау.

    DLP басқару және қолдау үшін жауапты персонал үшін оқытуды өткізу. Мұнда стандартты «өндіруші» нұсқауларын қолдануға болады.

    DLP жүйесін енгізіңіз және конфигурациялаңыз, оны сынақ режиміне қойыңыз (бақылау режимінде).

    Сынақ операциясының нәтижелері мен нәтижелерін талдау. Тапсырма негізгі ақпарат ағындарын анықтау және талдау болып табылады.

    Ақпарат мониторингі мен бақылауды реттейтін негізгі құжаттарға өзгерістер енгізу (әзірлеу), қызметкерлерді олармен таныстыру.Құжаттама» Құпия ақпараттардың тізімі« Және » Қолайлы пайдалану саясаты".

    DLP параметрлеріне өзгертулер енгізу, DLP басқару және қолдау процедурасын анықтау, оны коммерциялық пайдалануға енгізу. Құжаттарды әзірлеу» DLP саясаттарын орнатуға арналған корпоративтік стандарт", "DLP басқару және қызмет көрсету үшін рөлдерді бөлу туралы ереже", "DLP рөлдік ойын кітабы".

    Оқиғаларды басқару процедурасына (немесе аналогтарына) өзгерістер енгізіңіз (қолжетімсіз болса, әзірлеңіз).

    Оқиғаларды жүйелі түрде талдап, DLP конфигурация саясатын жетілдіріңіз.

Тәсілдер әртүрлі, бірақ екеуі де DLP жүйелерін енгізу үшін өте қолайлы. Жоғарыда келтірілген ақпарат ақпаратты ағып кетуден қорғау туралы жаңа сәтті ойларға жетелейді деп үміттенемін.

Тіпті жаңадан бастаған жүйе әкімшісі DLP жүйесін орнатуды басқара алады. Бірақ DLP-ны дәл баптау кейбір дағдылар мен тәжірибені талап етеді.

DLP класындағы өнімдердің тұрақты жұмысының негізі енгізу сатысында қаланады, оған мыналар кіреді:

  • қорғалуы тиіс маңызды ақпаратты анықтау;
  • құпиялылық саясатын әзірлеу;
  • ақпараттық қауіпсіздік мәселелерін шешу үшін бизнес-процестерді орнату.

Мұндай тапсырмаларды орындау тар мамандандыруды және DLP жүйесін терең зерттеуді талап етеді.

Қорғаныс жүйелерінің классификациясы

DLP жүйесін таңдау белгілі бір компания шешуі қажет міндеттерге байланысты. Неғұрлым жалпы нысанда міндеттер бірнеше топқа бөлінеді, оның ішінде құпия ақпараттың қозғалысын бақылау, қызметкерлердің тәулік ішінде белсенділігін бақылау, желілік мониторинг (шлюз талдауы) және кешенді бақылау (желілер мен соңғы жұмыс станциялары).

Көптеген компаниялардың мақсаттары үшін кешенді DLP шешімін таңдау оңтайлы болады. Хостталған жүйелер шағын және орта бизнес үшін қолайлы. Орналастырылған DLP артықшылықтары қанағаттанарлық функционалдылық және төмен баға болып табылады. Кемшіліктердің қатарында төмен өнімділік, ауқымдылық және сәтсіздікке төзімділік бар.

Network DLP-де мұндай кемшіліктер жоқ. Олар басқа жеткізушілердің шешімдерімен оңай біріктіріледі және өзара әрекеттеседі. Бұл маңызды аспект, өйткені DLP жүйесі корпоративтік желіде орнатылған өнімдермен үздіксіз жұмыс істеуі керек. DLP бағдарламасының деректер базасымен және пайдаланылатын бағдарламалық қамтамасыз етумен үйлесімділігі бірдей маңызды.

DLP таңдаған кезде компанияда қолданылатын және қорғауды қажет ететін деректерді беру арналары ескеріледі. Көбінесе бұл электрондық пошта, IP телефония және HTTP протоколдары; сымсыз желілер, Bluetooth, алынбалы құрал, принтерлерде басып шығару, желіде немесе желіден тыс жұмыс істейді.

Бақылау және талдау функциялары DLP жүйесінің дұрыс жұмыс істеуінің маңызды құрамдас бөліктері болып табылады. Аналитикалық құралдарға қойылатын минималды талаптар морфологиялық және лингвистикалық талдауды, бақыланатын деректерді сөздіктермен немесе сақталған «стандартты» файлдармен салыстыру мүмкіндігін қамтиды.

Техникалық тұрғыдан алғанда, қазіргі заманғы DLP шешімдері негізінен бірдей. Жүйенің тиімділігі іздеу алгоритмдерін автоматтандырудың дұрыс конфигурациясына байланысты. Сондықтан өнімнің артықшылығы DLP орнатудың қарапайым және түсінікті процесі болады, ол жеткізушінің техникалық мамандарымен тұрақты кеңес алуды қажет етпейді.

Іске асыру және конфигурациялау тәсілдері

Компанияда DLP жүйесін орнату көбінесе екі сценарийдің біріне сәйкес келеді.

Классикалық тәсілтапсырыс беруші компания қорғауды қажет ететін ақпарат тізбесін, оны өңдеу және беру ерекшеліктерін дербес белгілейтінін және жүйенің ақпарат ағынын бақылайтынын білдіреді.

Аналитикалық тәсілБұл жүйе алдымен қорғауды қажет ететін ақпаратты оқшаулау үшін ақпараттық ағындарды талдайтындығында, содан кейін ақпарат ағындарын дәлірек бақылау және қорғауды қамтамасыз ету үшін дәл баптау орын алады.

DLP ЕНГІЗУ КЕЗЕҢДЕРІ

классикалық схема бойынша:

аналитикалық схемаға сәйкес:
  • негізгі бизнес-процестерді талдау және құпия деректер тізімін дайындау;
  • DLP қорғау жобасын құру;
  • рұқсат етілмеген әрекеттерден қауіп төндіретін ақпарат құралдары мен деректер маршруттарын «түгендеу»;
  • құпиялылық саясатының минималды рұқсаттарын орнату;
  • ақпараттық қызметтермен, оның ішінде интернет-ресурстармен, алынбалы құрылғылармен, дербес компьютерлермен, ноутбуктермен, планшеттермен, принтерлермен, көшіру жабдықтарымен, баспа құралдарымен жұмыс істеу рәсімдерін тіркеу;
  • DLP жұмысына жауапты мамандарды жүйе жұмысының негізгі принциптерімен таныстыру;
  • қызметкерлерді компаниядағы ақпарат айналымына қойылатын талаптармен таныстыру;
  • жүйені сынақ режимінде іске қосу;
  • анықталған инциденттерге жүйенің қалай әрекет ететінін, сондай-ақ сыртқы басқару әдістерін көрсететін DLP жобасын жасау;
  • пилоттық ұшыру нәтижелерін талдау;
  • эксперименттік жүйені бақылау режимінде іске қосу;
  • жүйе параметрлеріне өзгертулер енгізу;
  • DLP операцияларына жауапты мамандарды оқыту;
  • қажет болған жағдайда қосымша конфигурациялау DLP жүйесін сынақтан өткізуді талдау;
  • жүйені «өнеркәсіптік» пайдалануға енгізу;
  • жүйе жұмысын жүйелі талдау, параметрлерді реттеу.

DLP жұмысы кезіндегі мәселелер

Тәжірибе көрсеткендей, DLP жүйелерінің жұмысындағы проблемалар көбінесе жұмыстың техникалық ерекшеліктерінде емес, пайдаланушылардың жоғары күтуінде болады. Сондықтан қауіпсіздікті жүзеге асырудың аналитикалық тәсілі әлдеқайда жақсы жұмыс істейді, оны кеңес беру әдісі деп те атайды; Ақпараттық қауіпсіздік мәселелерінде «жетілген», құпия ақпаратты қорғау құралдарын енгізуге тап болған және нені және қалай жақсырақ қорғау керектігін білетін компаниялар DLP негізінде жақсы жұмыс істейтін, тиімді қорғау жүйесін құру мүмкіндіктерін арттырады.

DLP орнату кезінде жиі кездесетін қателер

  • Үлгі ережелерін енгізу

Көбінесе ақпараттық қауіпсіздік бөліміне компанияның басқа бөлімшелері үшін қызмет көрсету бөлімінің рөлі тағайындалады, ол «клиенттерге» ақпараттың ағып кетуін болдырмау қызметтерін ұсынады. Тиімді жұмыс үшін ақпараттық қауіпсіздік мамандары жеке бизнес-процестерді ескере отырып, DLP жүйесін «бейімдеу» үшін компанияның операциялық қызметі туралы жан-жақты білімді қажет етеді.

  • Құпия деректердің ағып кетуінің барлық ықтимал арналары қамтылмаған

FTP немесе USB порттарын бақылаусыз пайдалану арқылы DLP жүйесін пайдаланып электрондық пошта және HTTP протоколдарын басқару құпия деректерді сенімді қорғауды қамтамасыз ете алмайды. Мұндай жағдайда үйден жұмыс істеу үшін жеке электрондық поштасына корпоративтік құжаттарды жіберетін қызметкерлерді немесе танысу сайттарында немесе әлеуметтік желілерде жұмыс уақытын өткізетін жалқауларды анықтауға болады. Бірақ мұндай механизм деректердің әдейі «ағылып кетуіне» қарсы пайдасыз.

  • Ақпараттық қауіпсіздік әкімшісінің қолмен өңдеуге уақыты жоқ жалған оқиғалар

Әдепкі параметрлерді іс жүзінде сақтау жалған ескертулердің көшкініне әкеледі. Мысалы, «банктік деректемелерді» сұраған кезде ақпараттық қауіпсіздік маманы компаниядағы барлық транзакциялар, соның ішінде кеңсе тауарлары мен суды жеткізу төлемдері туралы ақпаратпен бомбаланады. Жүйе көптеген жалған дабылдарды тиісті түрде өңдей алмайды, сондықтан кейбір ережелерді өшіруге тура келеді, бұл қорғанысты әлсіретеді және оқиғаны өткізіп алу қаупін арттырады.

  • Деректердің ағып кетуіне жол бермеу

Стандартты DLP параметрлері жұмыста жеке мәселелермен айналысатын қызметкерлерді анықтауға мүмкіндік береді. Жүйе корпоративтік желідегі оқиғаларды салыстыру және күдікті әрекетті көрсету үшін дәл реттеу қажет болады.

  • Жүйе айналасындағы ақпарат ағындарының теңестірілуіне байланысты DLP тиімділігінің нашарлауы

Ақпараттық қауіпсіздік жүйесі бизнес-процестердің және құпия ақпаратпен жұмыс істеуге арналған қабылданған ережелердің үстіне «бейнеленген» болуы керек, керісінше емес - компания жұмысын DLP мүмкіндіктеріне сәйкестендіру.

Мәселелерді қалай шешуге болады?

Қорғаныс жүйесі сағат механизмі сияқты жұмыс істеуі үшін сізге DLP енгізу мен конфигурациялаудың әрбір кезеңінен өту керек, атап айтқанда: жоспарлау, енгізу, тексеру және реттеу.

  • Жоспарлау

Ол деректерді қорғау бағдарламасының нақты анықтамасынан тұрады. Қарапайым болып көрінетін сұраққа жауап: «Біз нені қорғаймыз?» - бұл кез келген тұтынушыға ие емес. Толығырақ сұрақтарға жауаптардан тұратын бақылау тізімі жоспарды жасауға көмектеседі:

DLP жүйесін кім пайдаланады?

Деректерді кім басқарады?

Бағдарламаны үш жыл ішінде пайдаланудың келешегі қандай?

DLP жүйесін енгізу кезінде басшылық қандай мақсаттарды көздейді?

Компанияда деректердің ағып кетуіне жол бермеу үшін типтік емес талаптардың себептері қандай?

Жоспарлаудың маңызды бөлігі қорғау объектісін нақтылау немесе басқаша айтқанда, нақты қызметкерлермен берілетін ақпараттық активтерді көрсету болып табылады. Спецификация корпоративтік деректерді санаттауды және жазуды қамтиды. Тапсырма әдетте деректерді қорғаудың жеке жобасына бөлінеді.

Келесі қадам ақпараттың ағып кетуінің нақты арналарын анықтау болып табылады, бұл әдетте компаниядағы ақпараттық қауіпсіздік аудитінің бөлігі болып табылады. Егер анықталған ықтимал қауіпті арналар DLP кешенімен «жабылмаған» болса, қосымша техникалық қорғау шараларын қабылдау керек немесе толық қамтуы бар DLP шешімін таңдау керек. DLP дәлелденген тиімділігі бар ағып кетуді болдырмаудың тиімді әдісі екенін түсіну маңызды, бірақ барлық заманауи деректерді қорғау құралдарын алмастыра алмайды.

  • Іске асыру

Белгілі бір кәсіпорынның жеке сұраныстарына сәйкес бағдарламаны жөндеу құпия ақпаратты бақылауға негізделген:

  • кәсіпорын қабылдаған арнайы құжаттаманың сипаттамаларына сәйкес;
  • саладағы барлық ұйымдарға ортақ типтік құжаттаманың сипаттамаларына сәйкес;
  • оқиғаларды анықтауға бағытталған ережелерді қолдану (қызметкерлердің типтік емес әрекеттері).

Үш сатылы бақылау қасақана ұрлауды және ақпаратты рұқсатсыз беруді анықтауға көмектеседі.

  • Емтихан

DLP кешені кәсіпорынның ақпараттық қауіпсіздік жүйесінің бөлігі болып табылады және оны алмастырмайды. Ал DLP шешімінің тиімділігі әрбір элементтің дұрыс жұмыс істеуіне тікелей байланысты. Сондықтан, жеке қажеттіліктерге сәйкес «зауыттық» конфигурацияны өзгертпес бұрын, компаниялар егжей-тегжейлі мониторинг пен талдау жүргізеді. Бұл кезеңде DLP бағдарламасының тұрақты жұмысын қамтамасыз ету үшін қажетті адам ресурстарын есептеу ыңғайлы.

  • Реттеу

DLP шешімінің сынақ операциясы кезеңінде жиналған ақпаратты талдағаннан кейін біз ресурсты қайта конфигурациялауға кірісеміз. Бұл қадам қолданыстағы ережелерді нақтылауды және жаңа ережелерді орнатуды қамтиды; ақпараттық процестердің қауіпсіздігін қамтамасыз ету тактикасын өзгерту; DLP жүйесімен жұмыс істеу үшін кадрлармен қамтамасыз ету, бағдарламаны техникалық жетілдіру (көбінесе әзірлеушінің қатысуымен).

Қазіргі заманғы DLP жүйелері көптеген мәселелерді шешеді. Дегенмен, DLP толық әлеуеті жүйе өнімділігінің нәтижелерін талдаудан кейін DLP параметрлерін нақтылаумен жалғасатын итерациялық процесс арқылы ғана жүзеге асырылады.