Perėmimo planas: kaip sukurti hibridinę DLP sistemą. Galite naudoti DLP agentą, bet vargu ar juo pasikliausite

Įvadas

„Pagalba neturėtų būti teikiama prieš asmens, kuriam padedama, valią“.(Georgas Wilhelmas Friedrichas Hegelis)

Priešingai nei pradiniuose kūrimo etapuose, šiandien jau galime kalbėti apie aktyvų vartotojų paklausos formavimąsi DLP klasės gaminiams. Daugelis įmonių yra susipažinusios su informacijos nutekėjimo prevencijos sistemomis, suprato jų veikimo mechanizmą, suformulavo reikalavimus tokioms sistemoms. „InfoWatch“ generalinio direktoriaus pavaduotojas Rustemas Khairetdinovas lygina DLP sistemos atnaujinimą su automobilio pirkimu – jei pirmam automobiliui keliami žemi reikalavimai („kol jis važiuoja“), tai antrajam būsimas savininkas kelia tikslius reikalavimus, pagrįstus ankstesnio automobilio naudojimo patirtis. Tačiau jį įgyvendinti nusprendusi įmonė nebūtinai turi patirties eksploatuojant tos pačios klasės gaminį. Partnerio ar konkurento patirtis gali padėti nustatyti įmonės reikalavimus.

Ar galima kalbėti apie bendrą įmonių, nusprendusių diegti DLP sistemą, pasirengimą šiam procesui? O ką tu turi omenyje sakydamas pasirengimą? Kaip rodo praktika, dažniausiai klientas įsivaizduoja šios klasės gaminių technines galimybes, tačiau iki galo nesuvokia reikiamo darbo kiekio, ko dėka DLP sistemos valdymo pulte pradės atsirasti tikrai svarbi informacija. Ir tai pradės pasirodyti, jei į DLP sprendimo diegimo procesą žiūrėsite kaip į vieną iš būdų, kaip įgyvendinti aktualiausią požiūrį į informacijos saugumą šiandien – į duomenis orientuotą saugumą arba integruotą požiūrį, orientuotą į informacijos išteklių apsaugą. Taikant į duomenis orientuotą saugos metodą, informacijos turtą reprezentuojantys duomenys skirstomi į tris kategorijas:

  • Data at Rest – duomenys saugojimo režimu; yra statiškai saugomi svetimose laikmenose, kompiuteriuose, vartotojų mobiliuosiuose įrenginiuose ir pan.;
  • Data in Motion - duomenys judėjimo režimu: finansinės operacijos, autentifikavimo duomenų perdavimas ir kt.;
  • Naudojami duomenys – duomenys, kuriuos vartotojai tiesiogiai naudoja kaip verslo procesų dalį.

DLP klasės sprendimai leidžia valdyti ir apsaugoti visų išvardytų kategorijų duomenis. Tačiau reikia atsiminti, kad tokios rimtos operacijos kaip DLP diegimas sėkmė tiesiogiai priklauso nuo saugomų duomenų vertės supratimo. Čia priartėjame prie svarbiausio DLP sistemos diegimo etapo – pasirengimo – aprašymo.

1 etapas. Pasirengimas įgyvendinimui

Apklausa

Bendrovė NSS Labs savo straipsnyje „12 žingsnių – iki sėkmingo DLP diegimo“ dalijasi keliomis tezėmis, su kuriomis sunku nesutikti:

  • sėkmingas DLP sistemos įdiegimas yra sudėtingas darbas, kurio metu produkto diegimas yra būtinas, bet nepakankamas etapas;
  • dokumentų klasifikavimas ir prieigos matricos nustatymas yra DLP sistemų saugumo politikos pagrindas.

Kas turėtų atlikti apklausos darbus? Paprastai už tai atsakinga DLP sistemą diegianti įmonė (vykdytojas). Tačiau ne viskas taip paprasta. Jei užsakovo įmonė nėra pasirengusi rangovo prašymu pateikti, pavyzdžiui, sąveikos su saugoma informacija procesų aprašymo, tuomet reikia suprasti, kieno atsakomybė bus šio dokumento rengimas.

Idealus klientas, nusprendęs diegti DLP sistemą, įdiegė komercinės paslapties režimą, parengė ribotos prieigos informacijos sąrašą, turi verslo procesų, kuriuose vyksta tokios informacijos apdorojimas, saugojimas ir perdavimas, aprašymą. Kitaip tariant, klientas aiškiai supranta taisykles, pagal kurias įvykis laikomas konfidencialios informacijos nutekėjimu, taip pat šių taisyklių išimtis. Tokiu atveju rangovas taisykles gali perkelti tik į saugumo politiką.

Tikras klientas gali nieko neapibrėžti. Tokiu atveju jis turi suvokti savo dalyvavimo apklausoje svarbą, nes kuo atsakingiau klientas žiūri į šį procesą, tuo realesnis bus įmonės veiklos procesų aprašymas, informacijos priskyrimo saugomai kriterijai ir pan. silpnas įsitraukimas, klientas remiasi savo verslo procesų saugumo vizija atlikėjo akimis ir tai ne visada atitinka duomenų apsaugos reikalavimus.

Paprastai apklausos darbas apima šią veiklą:

  • organizacinių ir administracinių dokumentų, susijusių su informacijos saugumo ir įslaptinimo užtikrinimu, tyrimas;
  • informacijos išteklių sąrašo, tinklo diagramų, duomenų srautų diagramų ir kt., susijusių su informacijos sąveikos įforminimu, studijavimas;
  • susitarimas dėl informacijos priskyrimo riboto naudojimo informacijai kriterijų;
  • ribotos prieigos informacijos sąrašo įforminimas;
  • Ribotos prieigos informacijos perdavimo, apdorojimo ir saugojimo verslo procesuose procesų tyrimas ir aprašymas.

Remiantis šios veiklos rezultatais, rengiami dokumentai, kurių pagrindu vėliau bus kuriamos DLP sistemos saugumo politikos. Tokie dokumentai gali būti:

  • „Ribotos prieigos informacijos sąrašas“;
  • „Ribotos prieigos informacijos duomenų srauto diagrama“;
  • „Sąveikos su riboto naudojimo informacija technologinių procesų aprašymas“;
  • „Pagrindiniai konfidencialios informacijos nutekinimo scenarijai“.

Suvokus, kokie verslo procesai veikia su kritiniais duomenimis ir iš kokių veiksmų su šiais duomenimis susideda aukščiau paminėti procesai, nesunku nustatyti reikalingus DLP sistemos veikimo mechanizmus ir atitinkamai jai keliamus reikalavimus. Pasirinktinai, kaip šio etapo dalį, gali būti parengti konkretaus produkto saugumo politikos eskizai. Apie prekių pasirinkimą plačiau pakalbėsime vėliau.

Teisinė pagalba

Viena iš svarbių klausimų, su kuriais susidurs įmonės vadovybė, nuspręsdama naudoti DLP produktą, yra teisinės problemos. Pvz.:

  • „Ar šios sistemos naudojimas bus interpretuojamas kaip darbuotojų stebėjimas?
  • „Kaip apsisaugosime nuo konfliktų, kylančių dėl šios sistemos veikimo?

Pridėkite čia ne visai akivaizdžius klausimus, pvz., „Kaip valdyti DLP sistemos administratorių, turintį prieigą prie viso perimtos informacijos archyvo?

  • įmonė turi teisę saugoti savo komercines paslaptis, šiuo tikslu įvesdama komercinių paslapčių režimą, kuris apibrėžia ribotos prieigos informacijos sąrašą, darbo su ja taisykles ir kt.;
  • informacijos apdorojimo priemonės, perduotos darbuotojui jo darbo pareigoms atlikti, taip pat jų pagalba sukurti informaciniai ištekliai yra įmonės nuosavybė;
  • įmonė nėra ryšių operatorė ir neužtikrina ryšių, perduodamų jos korporaciniais kanalais, slaptumo.

Kompetentingos DLP sistemos naudojimo teisiniame kontekste strategijos sukūrimas vėlgi yra bendra užsakovo ir rangovo užduotis. Šio darbo rezultatas turėtų būti komercinės paslapties režimo organizavimo arba atitinkamų jo papildymų žingsniai. Vykdydamas šiuos darbus rangovas nagrinėja užsakovo organizacinius ir administracinius dokumentus, darbo sutartis, papildomus susitarimus ir kitus personalo dokumentus, susijusius su darbuotojų darbo sąlygų ir pareigų nustatymu, taip pat užsakovo vidaus kontrolės procedūromis. Remiantis analizės rezultatais, sudaromos rekomendacijos dėl kliento reguliavimo sistemos pakeitimų. Šiame etape rangovo parengti dokumentai gali būti:

  • papildomi susitarimai prie darbo sutarčių;
  • darbo taisyklių papildymai;
  • Informacijos apdorojimo įrankių priimtino naudojimo politika;
  • kiti dokumentai, reglamentuojantys darbą su ribotos prieigos informacija.

Atskirai noriu priminti apie DLP sistemos veikiančio personalo, turinčio neribotą prieigą prie perimtos informacijos archyvo, stebėjimo aktualumą. Atrodo protinga pasistengti užkirsti kelią galimam šios informacijos naudojimui asmeniniais tikslais pasirašant atitinkamas sutartis. Ir, šiek tiek žvelgdami į priekį, pastebime: klientui šiame etape rekomenduojama pagalvoti apie perimtos informacijos archyvo kūrimo būdą - išsaugoti visus įvykius arba tik įvykius, kurie pažeidė saugumo politiką. Skirtingai nuo Vakarų žaidėjų, vietinės DLP sistemos ėmėsi viso srauto taupymo.

Čia artėjame prie kito etapo – konkrečios prekės pasirinkimo.

2 etapas. Prekės pasirinkimas

Šis etapas gana savavališkai yra antras, nes kai kuriais atvejais produktas jau buvo aiškiai apibrėžtas prieš įgyvendinant arba prieš parengiamąjį etapą yra bandomasis vieno ar kelių sprendimų projektas. Taigi konkretaus produkto pasirinkimas yra etapas, kuris, priklausomai nuo aplinkybių, vyksta arba pirmas, arba antras, arba lygiagrečiai su paruošimu.

Pasibaigus (arba vykstant) parengiamajam etapui, tiek užsakovas, tiek rangovas jau turi idėją, kaip abstrakčioji DLP sistema bus naudojama informacijos nutekėjimui kontroliuoti. Belieka nuspręsti, kuris produktas geriausiai atitiks keliamus reikalavimus. Kalbėdami apie reikalavimus, neturėtume pamiršti tų, kurie tiesiogiai nenulemia informacijos perėmimo ir analizės proceso. Jie apima:

  • Sunku įdiegti ir palaikyti. Jei sprendimas naudoja, pavyzdžiui, Oracle duomenų bazių valdymo sistemą, ar klientas turi specialistą, galintį sukurti atsarginę duomenų bazės kopiją? Ar nereikėtų pažvelgti į sprendimą, kai ši procedūra atliekama trimis pelės paspaudimais, tarkime, Windows OS užduočių planuoklyje, kur diegimo metu sukuriama atitinkama užduotis?
  • Poveikis infrastruktūrai. Kiek įdiegtas agentas paveiks vartotojo kompiuterio ar duomenų perdavimo kanalo veikimą? Ar virtualizacijos aplinkoje galima įdiegti sistemos komponentus?
  • Operatyvaus personalo darbo procesų organizavimas. Šiame etape klientas turi suprasti, koks bus už saugumą atsakingo analitiko ar už sprendimo funkcionalumo palaikymą atsakingo sistemos administratoriaus darbas.

Akivaizdus reikalavimas, kad sistemoje būtų informacijos rinkimo ir analizės mechanizmai, atitinkantys kliento poreikius kontroliuojant verslo procesus, nustatytus tyrimo etape.

Turime nepamiršti ir kliento biudžeto, kuris taip pat yra svarbus reikalavimas. Be Enterprise klasės produktų, DLP sistemoms atstovauja ir vadinamieji. „light DLP“ ir Channel DLP, kurie, palyginti su „didžiuoju broliu“, reiškia daugybę funkcinių apribojimų ir netgi yra skirti valdyti vieną konkretų duomenų perdavimo kanalą. Pavyzdžiui, esant ribotam biudžetui, klientui gali būti optimalu įsigyti papildomų DLP funkcijų esamam tarpiniam serveriui ir naudoti tik trečiosios šalies produkto agento sprendimą.

Šis etapas pasižymi didele rangovo atsakomybe, kurio užduotis – pasiūlyti užsakovui tinkamiausią sprendimą. Tuo pat metu galimas pastarojo pasyvumas suvaidins jam žiaurų pokštą sistemos veikimo ir palaikymo stadijoje.

Konkretaus gaminio pasirinkimas sunkiai įsivaizduojamas nesuprantant sprendimo, įgyvendinto naudojant šį gaminį, architektūros, todėl galima teigti, kad šiame etape projektavimo darbai jau pradėti.

3 etapas. Projektavimas ir montavimas

Dizainas

Paprastai pagrindiniai sprendimo architektūros taškai jau buvo nustatyti šiame etape. Projektavimo darbai apibrėžiami kaip šių pagrindinių punktų detalizavimo ir išplėtimo procesas iki tokio masto, kad gautas projektinis sprendimas būtų visiškai paruoštas įgyvendinti. Raktas į gerą dizaino sprendimą – detalus kliento infrastruktūros tyrimas ir sprendimo prototipų kūrimas „namuose“. Šios priemonės sumažina techninių sunkumų riziką montavimo etape. Labai pageidautina, kad klientas tai suprastų ir aktyviai prisidėtų prie proceso.

Kokia forma bus pateiktas projektinis sprendimas, šalys tariasi. Daugeliu atvejų tai yra sutartas techninių dokumentų rinkinys, kuriame aprašomas galutinis projektinis sprendimas. Šiame etape taip pat nustatomi reikalavimai eksploatacinei dokumentacijai. Jei neužtenka oficialių pasirinktos DLP sistemos gamintojo vadovų, rangovas paruošia trūkstamą komplektą. Tokių dokumentų pavyzdžiai gali būti oficialaus vadovo vertimas iš užsienio kalbos, taip pat egzotiškesni dokumentai, tokie kaip „Programinės įrangos gyvavimo ciklo aprašymas“.

Projektavimo etape svarbu atsižvelgti į būsimų sistemos pakeitimų galimybes, pvz., galimą mastelio keitimą arba perjungimą iš stebėjimo į blokavimo režimą. Reikalavimus įrangai, programinei įrangai ar net gaminio eksploatavimo technologinių procesų konstravimui, atsižvelgdamas į šį poreikį, turi nustatyti rangovas.

Taigi, rangovas parengė projektinį sprendimą, užsakovas jį patvirtino, kitas etapas – DLP sistemos montavimas ir pirminė konfigūracija.

Montavimas

DLP sistemos įrengimas taip pat reikalauja glaudaus užsakovo ir rangovo bendradarbiavimo. Kadangi šios klasės sprendimų produktai yra susieti su daugybe susijusių sistemų (paštas, tarpiniai serveriai, tinklo įranga), sunku įsivaizduoti diegimo procesą be klientų specialistų įtraukimo.

Paprastai produkto diegimas prasideda nuo serverio komponentų įdiegimo ir ryšių tarp jų bei gretimų sistemų nustatymo. Tačiau yra išimčių. Pavyzdžiui, esant trumpam diegimo laikotarpiui ir daugybei įdiegtų agentų, pastarųjų diegimo procesas gali būti pradėtas dar nebaigus projektavimo darbų. Šis nestandartinio sprendimo pavyzdys dar kartą primena apie dialogo tarp šalių poreikį visuose įgyvendinimo etapuose.

Svarbus montavimo darbų klausimas, kuris tuo pačiu priartina mus prie konfigūravimo darbų, yra produkto diegimo fakto paslaptyje nuo užsakovo darbuotojų klausimas. Jei vartotojo įsitraukimo į DLP sistemą laipsnis dar nenustatytas, laikas apie tai pagalvoti.

4 etapas. Nustatymas

Deja, šiame etape nebus aprašytas universalus algoritmas, po kurio kiekvienas gaus kompetentingai sukonfigūruotą DLP sistemą. Kodėl gi ne? Galų gale, gerai pagalvojus, šis algoritmas susideda tik iš vieno lengvai suformuluoto punkto – „Nuolat konfigūruokite sistemą ir keiskite saugos politiką per visą veikimo laikotarpį“.

Kaip matome, tai ne ilgalaikė sąranka, o nuolatinė – tai esminis dalykas, kurį klientas turi suprasti. Puikiai atliktas pasiruošimo etapas bus nepamainoma pagalba sąrankos etape, o atlikėjas tikrai padės kelionės pradžioje (o gal ir ne tik pradžioje, viską lemia susitarimai). Tačiau pagrindiniai darbai dabartiniame etape gula ant užsakovo pečių (čia neatsižvelgiame į paslaugų teikimo modelį, kurio metu rangovas gali prisiimti didelę šio darbo dalį).

Verslo procesų, infrastruktūros keitimas, darbuotojų samdymas, pareigų delegavimas esamuose padaliniuose, naujų dokumentų, tokių kaip vadovybės įsakymai, pareigybių aprašymai, išdavimas – visi šie įvykiai reikalauja keisti saugumo politiką. Apsiginklavę skaitmeniniais pirštų atspaudais, žodynais, o kartais ir mašininio mokymosi technologijomis, atsakingi darbuotojai turi neatsilikti nuo visų DLP sistemai reikšmingų pokyčių įmonėje ir sušvelninti galimas neigiamas jų pasekmes, kad išvengtų informacijos nutekėjimo. Be to, neigiamos pasekmės čia reiškia ne tik naujus nutekėjimo kanalus, bet ir galimą klaidingų teigiamų rezultatų padidėjimą.

Jei kalbame apie šalių įsipareigojimus įgyvendinant, tai, sudarydamos sutartį, jos stengiasi susitarti dėl DLP sistemos nustatymo darbų, kuriuos rangovas įsipareigoja atlikti, kiekybinių ir kokybinių charakteristikų. Paprastai kalbame apie specialių terminų duomenų bazės užpildymą, reguliarių posakių rašymą ir duomenų apsaugos politikos kūrimą remiantis šiomis technologijomis. Įrengimo darbus dažniausiai lydi personalo konsultacijos. Abi pusės yra suinteresuotos, kad šis procesas būtų kuo produktyvesnis, pašalinant darbuotojų negalėjimą savarankiškai dirbti su sistema.

Atlikdami sąranką turite turėti omenyje klausimą: „Ar klientas nori naudoti DLP sistemą kaip įrankį, skirtą mokyti vartotojus dirbti su konfidencialia informacija, ar kaip stebėjimo įrankį? Vakarų bendrovės plačiai naudoja pirmąjį variantą. Jos idėja yra ne tik informuoti vartotojus apie DLP sistemos buvimą, bet ir įtraukti paprastus darbuotojus į duomenų saugumo organizaciją. Dėl to jų elgesys keičiasi į didesnę atsakomybę. Kuo didesnė organizacija, tuo objektyviau jai reikalingas toks požiūris: nuosavo informacijos saugumo skyriaus skaičius yra ribotas, o DLP sistemos gali pareikalauti didelių darbo sąnaudų ankstyvosiose veiklos stadijose. Vidinis sutelktinis tiekimas gali suteikti didelę paramą atliekant tokią daug darbo reikalaujančią užduotį. Žaidimo principas taip pat pasiekė tokią taikymo sritį kaip DLP sistemų veikimas. Vykdydama žaidimų paradigmą, bendrovė atsisako vadinamojo „slapt ant rankų“ - standartinio iššokančio lango su grėsmėmis, suprojektuoto raudonomis spalvomis, sukurto taip, kad vartotojas galėtų sukelti maksimalų stresą. Netyčinio saugumo politikos pažeidimo atveju vartotojas pamatys jo veiksmų blokavimo priežasties aprašymą ir išnašą, kaip išvengti pažeidimo ateityje. Kita svarbi žaidimo dalis yra aiškiai išreikšta teigiama motyvacija. Ženkliukų priskyrimas vartotojams už duomenų saugumo standartų laikymąsi, gražių grafinių ataskaitų iš DLP sistemų publikavimas apie tuos, kurių sąveika su duomenimis yra teisingiausia ir t.t.

Nepaisant akivaizdaus požiūrio paprastumo, toks mechanizmas padeda įdiegti ir įtvirtinti pačią „apsaugos nuo duomenų nutekėjimo“ sąvoką darbuotojų darbiniame gyvenime, todėl duomenų apsauga vartotojui nėra svetima, o neatsiejama ir natūrali ( ir nenuobodu) darbo proceso dalis. Antrasis variantas reiškia maksimalų gaminio buvimo informacinėje aplinkoje slaptumą. Atsakymą į šį klausimą rekomenduojama suformuluoti kaip 0 etapą.

išvadas

DLP diegimą dažnai apsunkina objektyvūs veiksniai: funkcionalumo skirtumai, vienos teisingos diegimo parinkties ir vieno naudojimo atvejo nebuvimas. Net sprendimą įdiegti apsaugą nuo duomenų nutekėjimo klientas gali atitolinti dėl mitų, susijusių su DLP sistemomis („DLP palaikymas pareikalaus viso informacijos saugumo resurso“, „DLP įdiegimas užtrunka mažiausiai pusantrų metų ar ne visi“ ir t. t.), taip pat todėl, kad veiksmingai įgyvendinant reikia įtraukti verslo atstovus ir pan.

Tokiu atveju rangovas, remdamasis patirtimi, turi pasiūlyti scenarijus, kurie parodytų sprendimo vertę tiek užsakovo techninio padalinio atstovams, tiek verslo atstovams. DLP gali parodyti greitus ir objektyvius rezultatus, kurie padės klientui apsispręsti.

Organizacijoms, kurios atsakingai žiūri į savo ir klientų duomenų saugumą, DLP yra neabejotinai būtinas sprendimas.

Remiantis anglišku šios klasės gaminių pavadinimu, daugelis vis dar mano, kad DLP sistemos yra skirtos tik apsaugai nuo informacijos nutekėjimo. Toks klaidingas supratimas būdingas tiems, kurie neturėjo galimybės susipažinti su visomis tokių apsaugos priemonių galimybėmis. Tuo tarpu šiuolaikinės sistemos yra sudėtingos analitinės priemonės, kurių pagalba IT, informacinės ir ekonominės saugos, vidaus kontrolės, personalo ir kitų struktūrinių padalinių darbuotojai gali spręsti įvairias problemas.

DEŠIMT UŽDUOČIŲ

Šiame straipsnyje neliesime aukščiausio lygio verslo tikslų, nustatytų, pagal COBIT5 metodiką, remiantis verslo ir IT tikslų ryšiu: gauti naudos, optimizuoti išteklius (įskaitant išlaidas), optimizuoti riziką. Nueisime vienu lygiu žemyn ir pažvelgsime į konkrečias taikymo problemas, tarp jų išskirdami tas, kurias gali padėti išspręsti šiuolaikinės DLP sistemos.

I. Nesąžiningų darbuotojų atskleidimas:

  • saugomos informacijos perdavimo faktų nustatymas;
  • ekonominių nusikaltimų nustatymas;
  • neetiško bendravimo faktų fiksavimas;
  • įvykių archyvavimas ir incidentų valdymas.

II. Rizikos mažinimas ir bendro informacijos saugumo lygio padidinimas:

  • nutekėjimo kanalų ir/ar tam tikrų informacinių pranešimų blokavimas;
  • sistemingų darbuotojų padarytų priimtos saugumo politikos pažeidimų nustatymas.

III. Teisinių ir kitų reikalavimų laikymosi užtikrinimas:

  • informacijos skirstymas į kategorijas;
  • Teisės aktų laikymasis ir pagalba siekiant atitikties standartams ir geriausia praktika.

IV. Proceso efektyvumo analizė ir tobulinimas:

  • galimų problemų su darbuotojais prognozavimas ir nustatymas;
  • duomenų srautų ir saugomos informacijos analizė.

Svetimas TARP SAVŲ

Nesąžiningų darbuotojų atskleidimas leidžia laiku priimti reikalingus valdymo sprendimus (įskaitant teisiškai kompetentingą išsiskyrimą su tokiais žmonėmis). Tam būtina nustatyti įvykio faktą, teisingai jį interpretuoti ir kvalifikuoti bei užtikrinti rastų įrodymų saugojimą.

Apsaugotos informacijos perdavimo aptikimas neteisėtiems gavėjams yra labiausiai pageidaujama DLP sistemų savybė. Paprastai sistema sukonfigūruojama identifikuoti informaciją, kuri yra komercinė paslaptis, asmens duomenis, kredito kortelių numerius ir kitą konfidencialią informaciją (priklausomai nuo pramonės šakos ir konkrečios organizacijos specifikos).

Analitinio centro „InfoWatch“ duomenimis, dažniausiai nuteka asmens duomenys, o antroje vietoje yra komercinę paslaptį sudaranti informacija (žr. 1 pav.).

Priklausomai nuo konkretaus sprendimo, DLP sistemos gali stebėti ir analizuoti šiuos pagrindinius informacijos perdavimo kanalus: elektroninį paštą, duomenų perdavimą internetu (socialiniai tinklai ir forumai, failų dalijimosi paslaugos ir saugykla debesyje, žiniatinklio prieiga prie el. pašto ir kt.), kopijavimas į išorinės laikmenos, dokumentų spausdinimas.

Ekonominių nusikaltimų atskleidimas nėra pagrindinis DLP sistemų tikslas. Nepaisant to, gana dažnai susirašinėjimo analizė leidžia nustatyti pasirengimą jiems ar neteisėtų veiksmų padarymo faktą. Tokiu būdu dažniausiai galima aptikti diskusijas apie atatrankos schemas ir kitas neteisėtas derybas, galinčias pakenkti įmonei.

Be to, tuščių blankų su antspaudais ir parašais spausdinimas ar siuntimas kam nors taip pat gali netiesiogiai reikšti galimą pasirengimą dokumentų klastojimui. Tačiau neturėtumėte pasikliauti DLP sistemomis kaip panacėja – pasiruošimą tokio tipo nusikaltimams lengva nuslėpti.

Neetiško bendravimo faktų fiksavimas atsiranda analizuojant susirašinėjimą tarp darbuotojų ir su išorės gavėjais. Šiuolaikinės DLP sistemos gali atpažinti agresyvų ir destruktyvų elgesį – pavyzdžiui, kurstymą ir sabotažo raginimus, „psichologinį terorą“, „troliavimą“, grasinimus ir įžeidimus. Visai neseniai vienam mano kolegai pavyko sustabdyti galimą nusikaltimą: DLP sistema dviejų darbuotojų susirašinėjime aptiko sąmokslą sužaloti trečią darbuotoją.

Visų informacinių pranešimų archyvavimas ir sisteminimas būtini tolesniam įvykių tyrimui ir įrodymų teisinės reikšmės užtikrinimui. Neužtenka gebėjimo identifikuoti incidentus, reikia išsaugoti gautą informaciją ir pateikti patogų jų analizės mechanizmą.

KANALŲ „SANDARAVIMAS“.

Apsaugotos informacijos nutekėjimo rizika sumažinama nuolat stebint ir blokuojant nutekėjimo kanalus, taip pat įspėjant vartotojus, kurie pažeidžia saugumo politiką.

Ponemon instituto tyrimas (ataskaita „Ar jūsų įmonė pasiruošusi dideliam duomenų pažeidimui?“) parodė, kad per pastaruosius dvejus metus trečdalis apklaustų įmonių užfiksavo daugiau nei 1000 konfidencialios informacijos nutekėjimo atvejų: 48 proc. pažeidimas tik vieną kartą, 27% – du kartus, 16% su panašiais incidentais susidūrė iki penkių kartų, 9% užfiksavo daugiau nei penkis nutekėjimo atvejus. Tai rodo nagrinėjamų grėsmių aktualumą.

Nutekėjimo kanalų ir (arba) tam tikrų informacinių pranešimų blokavimas gali žymiai sumažinti informacijos nutekėjimo riziką. Tam yra keletas būdų: blokuoti I/O prievadus, blokuoti prieigą prie tam tikrų kategorijų svetaines (failų dalijimosi paslaugos, el. paštas) ir (arba) analizuoti perduodamų pranešimų turinį ir vėliau blokuoti perdavimą.

Kai kuriais atvejais DLP sistemos gali suteikti sistemingų darbuotojų padarytų priimtos saugumo politikos pažeidimų nustatymas: pranešimų perdavimas trečiosioms šalims aiškia (nešifruota) forma, dokumentų spausdinimas neužklijuojant tam tikrų antspaudų, atsitiktinis el. laiškų siuntimas neįgaliotiems gavėjams.

GRIEŽTAI FORMOS

Formalių reguliavimo reikalavimų ir (arba) geriausios praktikos rekomendacijų įvykdymas gali būti koreliuojamas su pirmosios ir antrosios grupių užduotimis, tačiau nagrinėjamas atskirai.

Automatizuotas informacijos skirstymas į kategorijas yra pasirenkama funkcija, kurią teikia kai kurios DLP sistemos. Kaip tai veikia? DLP sistema nuskaito darbo vietas ir serverius, kad nustatytų tam tikrų tipų failus ir, naudodama įvairias analizės technologijas, priima sprendimą dėl dokumentų priskyrimo tam tikroms kategorijoms.

Ši funkcija gali būti labai naudinga, nes, mūsų patirtimi, tik nedidelė dalis įmonių turi naujausius konfidencialios informacijos sąrašus, be kurių neįmanoma suprasti, kurie dokumentai yra konfidencialūs, o kurie ne.

DLP sistemų naudojimas leidžia pasiekti atitinkantys kai kuriuos norminius reikalavimus(pvz., Rusijos FSTEC įsakymai Nr. 21 ir Nr. 17, Rusijos banko nuostatai Nr. 382-P) ir geriausia praktika (GOST/ISO 27001, STO BR IBBS, COBIT5, ITIL). DLP sistemos padeda suskirstyti informaciją į kategorijas, apriboti saugojimo vietas, valdyti įvykius ir incidentus, valdyti išorines laikmenas, valdyti perduodamus pranešimus ir daugeliu kitų atvejų.

KĄ STOVAM, KO LAUKIAME?

DLP sistemos gali būti naudojamos duomenų srautų ir saugomos informacijos analizė- pavyzdžiui, nustatyti ribotos prieigos informacijos saugojimo neleistinose vietose faktus, nustatyti per didelę elektroninio pašto apkrovą esant failų saugyklai ir kt. Jie nustato galimas verslo procesų kliūtis, kylančias dėl prasto elgesio ir nepateisintų darbuotojų lūkesčių, taip pat neefektyvių informacijos saugojimo, perdavimo ir apdorojimo būdų.

Galimų interesų konfliktų prognozavimas ir nustatymasįgyvendinama analizuojant darbuotojų susirašinėjimą ir kitą veiklą socialiniuose tinkluose bei įvairiuose interneto šaltiniuose. Esant poreikiui, DLP sistemos sugeba „suprasti“, kas ketina palikti įmonę (ieškoti darbo ar aptarti gautus pasiūlymus), netinkamai panaudoti įmonės IT išteklius (perdėtas bendravimas socialiniuose tinkluose, asmeninių dokumentų, knygų ir nuotraukų spausdinimas, lankymasis). žaidimų svetainės ir panašiai), neigiamai reaguoja į valdymo sprendimus. Šie klausimai labiau priklauso personalo skyriaus ir tiesioginių vadovų, o ne saugos tarnybos kompetencijai.

KOKIE YRA IŠŠŪKIAI?

Diegiant DLP sistemą ar tiesiog galvojant apie jos diegimą, svarbu turėti aiškų supratimą, kokias užduotis ji išspręs. Be to sunku ne tik išsirinkti sprendimo gamintoją, bet ir teisingai suformuluoti funkcionalumo bei nustatymų reikalavimus. Jei daugiausia dėmesio skirsite problemų sprendimui, o ne funkcijų sąrašui, tai aiškiai pateisins DLP diegimo galimybes tiek IT skyriui, tiek visai įmonei.

Andrejus Prozorovas- „InfoWatch“ pagrindinis informacijos saugos ekspertas, tinklaraštininkas.

Gali atrodyti, kad 2017 metais DLP sistemos tapo tokiu įprastu informacijos saugumo reiškiniu, kad eismo perėmimo problemos nublanko į antrą planą.

Įvairių DLP pardavėjų požiūris į tai, koks srautas turėtų būti renkamas ir kur, kaip taisyklė, yra pagrįstas jų pačių pirmųjų sėkmingų projektų patirtimi. Akivaizdu, kad ši patirtis skirtingiems tiekėjams skyrėsi, nes įmonės infrastruktūra yra gana individualus dalykas, o įtakos turėjo ir asmeniniai informacijos saugos specialistų pageidavimai.

Tačiau šiandien beveik bet kuri DLP sistema gali rinkti srautą pašto serveriuose, tinklo šliuzuose, tarpiniuose serveriuose ir galinėse darbo vietose. Tačiau šis paskutinis punktas vis dar sukelia daug ginčų. Vieniems DLP agentas yra panacėja nuo visų grėsmių, kitiems – kančia. Apie tai ir noriu pakalbėti šiame straipsnyje.

Kam išvis diegti agentus?

Pagal DLP klasiką, agentas turi užtikrinti duomenų valdymą ramybės būsenoje (Data-at-rest) ir naudojamus duomenis (Data-in-use) darbo vietose. Duomenų judėjimas yra 95% padengtas serverio lygiu, o tai yra gera žinia.

Teoriškai agento DLP pridėjimas leidžia ne tik ieškoti konfidencialios informacijos darbuotojų kompiuteriuose, bet ir kontroliuoti jos apyvartą tais atvejais, kai aparatas nėra tinkle arba kai informacija yra aktyviai naudojama. Tačiau praktiškai agentai kartu su plačiomis galimybėmis atneša ir daug sunkumų.

Diegimo problemos

Pirma, agentai yra labai problemiški. Spąstai čia slypi bandomuosiuose projektuose: dažniausiai agentai be problemų sumontuojami keliose dešimtyse ar šimtuose mašinų, tačiau kai ateina laikas pramoniniam diegimui, o tūkstančiai mašinų turi įsigyti agentų modulius, prasideda linksmybės.

Kai organizacijai kyla problemų diegiant DLP agentus, pirmasis negatyvumo dozę gauna konkretus gamintojas. Tačiau pasikalbėjus su patyrusiais informacijos saugumo specialistais paaiškėja, kad problema yra globali. Pabandykite ieškoti kažko panašaus į „dlp agentas neįdiegtas“ arba „dlp agento problema“. Rasite šimtus forumų puslapių, kuriuose vartotojai skundžiasi pasaulio DLP gigantų agentų moduliais.

Konfliktai su esama programine įranga

Buvo laikas, kai bet kuri tinkama antivirusinė programa akimirksniu aptikdavo DLP agentą kaip kenkėjišką programą. Laikui bėgant, dauguma gamintojų sugebėjo išspręsti šią problemą. Tačiau svarbu atsiminti, kad kuo galingesnis agentas ir kuo daugiau paslėptų OS funkcijų jis naudoja, tuo didesnė konflikto tikimybė.

Kurį laiką rinkoje sklandė pasakojimas apie tam tikrą organizaciją Baltarusijos Respublikoje, kurioje buvo įdiegta antivirusinė programa VirusBlokAda. Norėdamas įdiegti DLP agento dalį organizacijoje, pardavėjas turėjo skubiai sukurti „integravimo sprendimą“ su šia antivirusine programine įranga. Todėl išgirdus, kad sprendimas turi integraciją su viena ar kita antivirusine, dažniausiai turima omenyje ne abipusis apsikeitimas informacijos saugumo įvykiais, o nekonfliktavimas su DLP agentu.

Turinio analizė darbo vietoje

Agento modulis yra priverstas tenkintis su ribotais darbuotojo darbo vietos ištekliais, kurie dažniausiai yra biuro stalinis ar nešiojamasis kompiuteris, skirtas dirbti su dokumentais, el. pašto programa ir naršyklė. Visa tai agentas turi atlikti turinio analizę tiesiogiai darbo vietoje. Tai turi įtakos produktyvumui, o ypač sunkiai, jei organizacija naudoja „laisvą“ politiką, kuria siekiama apsaugoti didelius konfidencialių duomenų kiekius, pvz., atsisiuntimus iš duomenų bazių ar grafinių dokumentų. Ar žinote, kaip OCR veikia darbo vietoje arba antspaudų detektorius veikia dideliu mastu? Verta pamatyti vieną kartą, kad prisimintumėte amžinai.

Klaidingi teigiami rezultatai

Pastaruoju metu pastebima tendencija sujungti įvairias DLP sistemas vienoje infrastruktūroje. Klientai surenka geriausias savybes iš kelių sprendimų, o tada prasideda kūrybinis šio zoologijos sodo pritaikymo procesas. Problema ta, kad skirtingi sprendimai pradeda perimti tą patį srautą ir siunčia 2–3 pranešimus apie tą patį įvykį – žinoma, į skirtingas konsoles. Žinoma, tai veda prie to, kad vietos archyvuose labai greitai išsenka. Galiausiai, kai sugenda darbo vieta, pradedamas tyrimas siekiant nustatyti, kuris agentas yra kaltas.

Agentai nepalaiko visų platformų

Idealus infrastruktūros vaizdas atrodo taip: visi vartotojai naudoja tas pačias darbo vietas, pavyzdžiui, „Windows 7“ ar net „Windows 8“, o visos suderinamumo problemos yra praeityje. Šis idealas retai pasiekiamas realybėje, tačiau net jei jūsų įmonė yra reta išimtis, perėjimas prie „Windows 10“ jau yra darbotvarkėje.

Problema ta, kad ne visi gamintojai gali garantuoti stabilų agento veikimą su šia OS. Pavyzdžiui, jei apsilankysite oficialiose Vakarų tiekėjų palaikymo bendruomenėse, galite pamatyti daugybę skundų dėl nesuderinamumo su naujuoju „Microsoft“ kūriniu. Jei prisimenate, kaip įmonė meistriškai susuka rankas antivirusinių gamintojams, su kurių produktais OS vis labiau konfliktuoja, susidaro įspūdis, kad „Microsoft“ tam pritaria ir netrukus imsis kitų galutinių sprendimų, kad primestų savo bendradarbiavimo sąlygas. Vartotojai susiduria su tokiu nestabilumu palaikydami nuolatinius atnaujinimus ir staigius DLP agentų gedimus.

Mobilus agentas – geriau nužudyk

Maždaug 2012 m. Symantec pradėjo naują DLP kūrimo erą – nutekėjimo prevenciją mobiliuosiuose įrenginiuose. Jų sprendimas buvo sukonfigūruoti iPhone arba iPad veikti per VPN tunelį, kuris nukreipia visą įrenginio srautą į DLP serverį, kuriame atliekamas politikos tikrinimas. Na, o techniškai viskas įgyvendinta labai skaidriai. Ar kada nors bandėte išgyventi visą dieną įjungę VPN? Galima tik spėlioti, kaip greitai išsikrauna įrenginio baterija. Be to, šiame pavyzdyje nekalbama apie jokį agentą DLP mobiliajame įrenginyje. Žinant, kaip stipriai Apple žiūri į bet kokias fonines programas, o ypač tas, kurios trukdo duomenų apdorojimo procesui, tokiam agentui nelemta atsirasti. Nežinoma, kodėl „Symantec“ nesukūrė „Android“ skirto DLP sprendimo. Galbūt problema yra operacinės sistemos segmentavime, o kūrėjams bus labai sunku palaikyti skirtingas visų telefonų modelių agentų versijas. Ir daugeliui eismo perėmimo procedūrų turėsite išjungti įrenginį, o ne kiekvienas patyręs saugos specialistas leis tai padaryti net patikimam gamintojui.

išvadas

Sunku įsivaizduoti visapusišką DLP sistemos įgyvendinimą be galutinio taško stebėjimo. USB laikmenos naudojimo apribojimas, iškarpinės valdymas – šiuos kanalus galima valdyti tik agento pusėje.

Jei kalbėsime apie ryšio srautą, tai šiuolaikinės technologijos leidžia perimti beveik viską tinklo šliuze ir tarpiniame serveryje. Netgi skaidriai analizuokite SSL srautą be nustatymų naršyklės ypatybėse. Todėl rekomenduojame perimtuvus visada rinktis išmintingai. Labai dažnai sprendimas „lengvesnis agentui“ pasirodo esąs labai ydingas.

DLP sistemas lengva įdiegti, tačiau nustatyti jas taip, kad jos teiktų apčiuopiamą naudą, nėra taip paprasta. Šiuo metu, diegiant informacijos srautų stebėjimo ir valdymo sistemas (mano DLP termino aprašymo versija), dažniausiai naudojamas vienas iš šių būdų:

  1. Klasikinis . Šiuo požiūriu įmonė jau yra apibrėžusi svarbiausią informaciją ir reikalavimus jos apdorojimui, o DLP sistema tik kontroliuoja jų įgyvendinimą.
  2. Analitinis . Kartu įmonėje yra bendras supratimas, kad būtina kontroliuoti kritinės informacijos (dažniausiai konfidencialios) informacijos sklaidą, tačiau informacijos srautų supratimas ir jiems keliami būtini reikalavimai dar nėra apibrėžti. Tuomet DLP sistema veikia kaip savotiškas įrankių rinkinys, renkantis reikiamus duomenis, kurių analizė leis aiškiai suformuluoti informacijos apdorojimo reikalavimus, o vėliau papildomai, tiksliau, konfigūruoti pačią sistemą.

Trumpai pateiksiu kiekvienam metodui būdingų DLP įgyvendinimo žingsnių pavyzdžius.

Klasikinis požiūris į DLP diegimą:

  1. Nustatyti pagrindinius verslo procesus ir juos analizuoti . Prie išėjimo turite gauti dokumentą " " (kartais tai gali būti išsamesnis sąrašas, kažkas panašaus į darbo dokumentą " Kontroliuojamos informacijos sąrašas“, nes, pavyzdžiui, norima kontroliuoti ir uždrausti nešvankybių vartojimą elektroniniame susirašinėjime) ir darbinį dokumentą „Informacijos savininkų sąrašas“. Suprasti, kas yra tos ar kitos informacijos savininkas, būtina norint vėliau nustatyti reikalavimus. jo apdorojimui.
  2. Nurodykite pagrindines perdavimo priemones ir būdus. Būtina suprasti, kokiose žiniasklaidos priemonėse gali būti valdoma informacija organizacijos IT infrastruktūroje. Tuo pat metu gera praktika rengti tokius darbo dokumentus kaip „ Saugojimo laikmenų sąrašas"Ir" Galimų informacijos nutekėjimo kanalų sąrašas".
  3. Nustatyti informacijos ir paslaugų naudojimo reikalavimus . Dažnai pasitaiko, kad tokie reikalavimai suformuluojami atskirose politikose, pavyzdžiui, dokumentuose „El. pašto naudojimo politika“, „Interneto naudojimo politika“ ir kt. Tačiau patogiau sukurti vieną " Priimtina išteklių naudojimo politika Prasminga nurodyti šių blokų reikalavimus: darbas su el. paštu ir internetu, keičiamų laikmenų naudojimas; darbo vietų ir nešiojamųjų kompiuterių naudojimas, informacijos apdorojimas asmeniniuose įrenginiuose (PDA, išmanieji telefonai, planšetiniai kompiuteriai ir kt.), kopijavimo aparatų technologijos naudojimas. ir tinklo duomenų saugojimas, bendravimas socialiniuose tinkluose ir tinklaraščiuose, naudojimasis momentinių pranešimų paslaugomis, informacijos, fiksuotos kietojoje laikmenoje (popieriuje), apdorojimas.
  4. Supažindinkite darbuotojus su ankstesniame žingsnyje apibrėžtais informacijos ir paslaugų naudojimo reikalavimais.
  5. Sukurkite DLP sistemą . Žvelgiant iš techninio projektavimo perspektyvos, rekomenduoju sukurti bent „ Techninė užduotis"Ir" Testo programa ir metodika". taip pat bus naudingi tokie dokumentai kaip " ", kuriame turite išsamiai nurodyti, kaip sistema filtruos informaciją ir reaguos į įvykius ir incidentus, ir " “, kuriame įrašysite DLP valdymo vaidmenis ir atsakomybės ribas.
  6. Įdiekite ir sukonfigūruokite DLP sistemą, paleiskite ją bandomuoju režimu. Iš pradžių tai geriausia padaryti stebėjimo režimu.
  7. Vykdykite mokymus darbuotojams, atsakingiems už DLP valdymą ir priežiūrą . Šiame etape patartina tobulėti DLP vaidmenų žaidimo instrukcijų rinkinys(vadyba ir palaikymas) .
  8. Išanalizuoti bandomosios eksploatacijos rezultatus ir rezultatus, atlikti pataisymus (jei reikia) ir pradėti komercinę veiklą.
  10. Reguliariai analizuokite incidentus ir tobulinkite DLP konfigūravimo politiką.

AnalitinisDLP įgyvendinimo metodas:

    Sukurkite DLP sistemą . Šiame etape paprastas " Techninės specifikacijos"Ir" Bandymo programos ir metodai".

    Apibrėžkite ir sukonfigūruokite minimalias DLP strategijas. Mūsų užduotis yra ne stebėti ir blokuoti bet kokią veiklą, o rinkti analitinę informaciją apie tai, kokiais kanalais ir priemonėmis perduodama viena ar kita įmonės informacija.

    Vykdykite mokymus darbuotojams, atsakingiems už DLP valdymą ir priežiūrą. Čia galite naudoti standartines „pardavėjo“ instrukcijas.

    Įdiekite ir sukonfigūruokite DLP sistemą, paleiskite ją bandomuoju režimu (stebėjimo režimu).

    Išanalizuoti bandomosios operacijos rezultatus ir rezultatus. Užduotis – nustatyti ir išanalizuoti pagrindinius informacijos srautus.

    Padaryti pakeitimus (parengti) pagrindinius informacijos stebėseną ir kontrolę reglamentuojančius dokumentus, supažindinti su jais darbuotojus. Dokumentacija " Konfidencialios informacijos sąrašas"Ir" Priimtino naudojimo politika".

    Pakeiskite DLP nustatymus, nustatykite DLP valdymo ir priežiūros tvarką, paleiskite jį komerciniais tikslais. Parengti dokumentus“ Įmonės standartas nustatant DLP politiką", "DLP valdymo ir priežiūros vaidmenų paskirstymo taisyklės", "DLP vaidmenų knyga".

    Atlikite incidentų valdymo procedūros (ar analogų) pakeitimus (jei nėra, plėtokite).

    Reguliariai analizuokite incidentus ir tobulinkite DLP konfigūravimo politiką.

Metodai skiriasi, tačiau abu yra gana tinkami DLP sistemoms įdiegti. Tikiuosi, kad aukščiau pateikta informacija padės jums rasti naujų sėkmingų minčių apie informacijos apsaugą nuo nutekėjimo.

Net pradedantysis sistemos administratorius gali susitvarkyti su DLP sistemos įdiegimu. Tačiau norint tiksliai suderinti DLP, reikia tam tikrų įgūdžių ir patirties.

Stabilaus DLP klasės produktų veikimo pagrindas yra padėtas diegimo etape, kuris apima:

  • ypatingos svarbos informacijos, kuri turi būti apsaugota, nustatymas;
  • privatumo politikos kūrimas;
  • verslo procesų nustatymas informacijos saugumo problemoms spręsti.

Norint atlikti tokias užduotis, reikia siauros specializacijos ir nuodugniai išstudijuoti DLP sistemą.

Apsaugos sistemų klasifikacija

DLP sistemos pasirinkimas priklauso nuo užduočių, kurias turi išspręsti konkreti įmonė. Bendriausia forma užduotys skirstomos į kelias grupes, įskaitant konfidencialios informacijos judėjimo stebėjimą, darbuotojų veiklos stebėjimą dienos metu, tinklo stebėjimą (vartų analizė) ir kompleksinį stebėjimą (tinklų ir galinių darbo stočių).

Daugumos įmonių tikslams būtų optimalu pasirinkti visapusišką DLP sprendimą. Priglobtos sistemos tinka mažoms ir vidutinėms įmonėms. Priglobto DLP pranašumai yra patenkinamas funkcionalumas ir maža kaina. Tarp trūkumų yra mažas našumas, mastelio keitimas ir atsparumas gedimams.

Tinklo DLP tokių trūkumų neturi. Jie lengvai integruojami ir sąveikauja su kitų tiekėjų sprendimais. Tai svarbus aspektas, nes DLP sistema turi sklandžiai veikti kartu su produktais, jau įdiegtais įmonės tinkle. Ne mažiau svarbu yra DLP suderinamumas su naudojamomis duomenų bazėmis ir programine įranga.

Renkantis DLP, atsižvelgiama į įmonėje naudojamus duomenų perdavimo kanalus, kuriems reikalinga apsauga. Dažniausiai tai yra el. pašto, IP telefonijos ir HTTP protokolai; belaidžiai tinklai, „Bluetooth“, keičiama laikmena, spausdinimas spausdintuvais, prijungtas tinkle arba darbas neprisijungus.

Stebėjimo ir analizės funkcijos yra svarbios tinkamo DLP sistemos veikimo sudedamosios dalys. Minimalūs reikalavimai analizės priemonėms apima morfologinę ir kalbinę analizę, galimybę susieti kontroliuojamus duomenis su žodynais arba išsaugotais „standartiniais“ failais.

Techniniu požiūriu šiuolaikiniai DLP sprendimai iš esmės yra vienodi. Sistemos efektyvumas priklauso nuo tinkamos paieškos algoritmų automatizavimo konfigūracijos. Todėl gaminio privalumas bus paprastas ir suprantamas DLP nustatymo procesas, dėl kurio nereikės nuolatinių konsultacijų su pardavėjo techniniais specialistais.

Diegimo ir konfigūravimo metodai

DLP sistemos diegimas įmonėje dažniausiai vyksta pagal vieną iš dviejų scenarijų.

Klasikinis požiūris reiškia, kad kliento įmonė savarankiškai sudaro informacijos, kurią reikia saugoti, sąrašą, jos apdorojimo ir perdavimo ypatybes, o sistema kontroliuoja informacijos srautą.

Analitinis požiūris slypi tame, kad sistema pirmiausia analizuoja informacijos srautus, kad išskirtų informaciją, kuriai reikia apsaugos, o tada įvyksta koregavimas, kad būtų galima tiksliau stebėti ir užtikrinti informacijos srautų apsaugą.

DLP ĮGYVENDINIMO ETAPAI

pagal klasikinę schemą:

pagal analitinę schemą:
  • pagrindinių verslo procesų analizė ir konfidencialių duomenų sąrašo parengimas;
  • DLP apsaugos projekto sukūrimas;
  • laikmenų ir duomenų maršrutų, kuriems gresia nesankcionuoti veiksmai, „inventorizacija“;
  • minimalių privatumo politikos leidimų nustatymas;
  • darbo su informacinėmis tarnybomis procedūrų registravimas, įskaitant interneto išteklius, išimamus įrenginius, asmeninius kompiuterius, nešiojamuosius kompiuterius, planšetinius kompiuterius, spausdintuvus, kopijavimo įrangą, spausdintą laikmeną;
  • supažindinti už DLP veikimą atsakingus specialistus su pagrindiniais sistemos veikimo principais;
  • darbuotojų supažindinimas su informacijos cirkuliacijos įmonėje reikalavimais;
  • sistemos paleidimas bandomuoju režimu;
  • sukurti DLP projektą, nurodantį, kaip sistema reaguos į nustatytus incidentus, bei išorinio valdymo metodus;
  • bandomojo paleidimo rezultatų analizė;
  • eksperimentinės sistemos paleidimas stebėjimo režimu;
  • keisti sistemos nustatymus;
  • specialistų, atsakingų už DLP darbą, mokymas;
  • DLP sistemos bandomojo paleidimo analizė, jei reikia, papildoma konfigūracija;
  • sistemos paleidimas į „pramoninį“ veikimą;
  • reguliari sistemos veikimo analizė, parametrų derinimas.

Problemos DLP veikimo metu

Praktika rodo, kad dažniausiai DLP sistemų veikimo problemos slypi ne techninėse darbo ypatybėse, o išpūstuose vartotojų lūkesčiuose. Todėl analitinis požiūris į saugumą veikia daug geriau, jis dar vadinamas konsultaciniu požiūriu. Informacijos saugumo klausimais „subrendusios“ įmonės, jau susidūrusios su konfidencialios informacijos apsaugos įrankių diegimu ir žinančios, ką ir kaip geriausiai apsaugoti, padidina savo galimybes sukurti gerai veikiančią, efektyvią apsaugos sistemą, pagrįstą DLP.

Dažnos klaidos nustatant DLP

  • Šablonų taisyklių įgyvendinimas

Dažnai informacijos saugos skyriui priskiriamas kitų įmonės padalinių aptarnavimo skyriaus vaidmuo, kuris „klientams“ teikia paslaugas, kad būtų išvengta informacijos nutekėjimo. O efektyviam darbui informacijos saugos specialistai reikalauja išsamių įmonės operatyvinės veiklos žinių, kad galėtų „pritaikyti“ DLP sistemą atsižvelgiant į individualius verslo procesus.

  • Neapima visų galimų konfidencialių duomenų nutekėjimo kanalų

El. pašto ir HTTP protokolų valdymas naudojant DLP sistemą su nekontroliuojamu FTP arba USB prievadų naudojimu vargu ar užtikrins patikimą konfidencialių duomenų apsaugą. Esant tokiai situacijai, galima atpažinti darbuotojus, siunčiančius įmonės dokumentus į asmeninį el. paštą, kad galėtų dirbti iš namų, arba tinginius, praleidžiančius darbo valandas pažinčių svetainėse ar socialiniuose tinkluose. Tačiau toks mechanizmas yra nenaudingas prieš tyčinį duomenų „nutekėjimą“.

  • Klaidingi incidentai, kurių informacijos saugos administratorius neturi laiko apdoroti rankiniu būdu

Praktiškai išsaugant numatytuosius nustatymus atsiranda klaidingų įspėjimų lavina. Pavyzdžiui, paprašius „banko rekvizitų“, informacijos saugos specialistas apibarstomas informacija apie visus įmonės sandorius, įskaitant mokėjimus už kanceliarines prekes ir vandens pristatymą. Sistema negali tinkamai apdoroti daugybės klaidingų aliarmų, todėl kai kurias taisykles reikia išjungti, o tai susilpnina apsaugą ir padidina riziką praleisti incidentą.

  • Nesugebėjimas išvengti duomenų nutekėjimo

Standartiniai DLP nustatymai leidžia identifikuoti darbuotojus, kurie darbe užsiima asmeniniais reikalais. Kad sistema palygintų įvykius įmonės tinkle ir nurodytų įtartiną veiklą, reikės tiksliai sureguliuoti.

  • DLP efektyvumo pablogėjimas dėl informacijos srautų aplink sistemą suderinimo

Informacijos saugos sistema turėtų būti „pritaikyta“ prie verslo procesų ir priimtų darbo su konfidencialia informacija reglamentų, o ne atvirkščiai – priderinti įmonės darbą prie DLP galimybių.

Kaip spręsti problemas?

Kad apsaugos sistema veiktų kaip laikrodis, turite pereiti kiekvieną DLP diegimo ir konfigūravimo etapą, būtent: planavimą, diegimą, patikrinimą ir koregavimą.

  • Planavimas

Jį sudaro tikslus duomenų apsaugos programos apibrėžimas. Atsakymas į iš pažiūros paprastą klausimą: „Ką saugosime? – ne kiekvienas klientas jį turi. Kontrolinis sąrašas, sudarytas iš atsakymų į išsamesnius klausimus, padės jums sukurti planą:

Kas naudosis DLP sistema?

Kas administruos duomenis?

Kokios yra programos naudojimo per trejus metus perspektyvos?

Kokių tikslų siekia vadovybė diegdama DLP sistemą?

Dėl kokių priežasčių įmonėje keliami netipiški reikalavimai užkirsti kelią duomenų nutekėjimui?

Svarbi planavimo dalis – patikslinti apsaugos objektą, kitaip tariant, nurodyti informacinį turtą, kurį perduoda konkretūs darbuotojai. Specifikacija apima įmonės duomenų skirstymą į kategorijas ir įrašymą. Paprastai užduotis yra atskirta į atskirą duomenų apsaugos projektą.

Kitas žingsnis – nustatyti tikruosius informacijos nutekėjimo kanalus, tai dažniausiai yra įmonės informacijos saugumo audito dalis. Jei aptiktų potencialiai pavojingų kanalų „neuždaro“ DLP kompleksas, turėtumėte imtis papildomų techninių apsaugos priemonių arba pasirinkti pilnesnę aprėptį turintį DLP sprendimą. Svarbu suprasti, kad DLP yra veiksmingas būdas išvengti nutekėjimo, kurio veiksmingumas įrodytas, tačiau negali pakeisti visų šiuolaikinių duomenų apsaugos priemonių.

  • Įgyvendinimas

Programos derinimas pagal individualius konkrečios įmonės prašymus yra pagrįstas konfidencialios informacijos kontrole:

  • pagal įmonės priimtos specialios dokumentacijos ypatybes;
  • pagal standartinės dokumentacijos ypatybes, būdingas visoms pramonės organizacijoms;
  • naudojant taisykles, kuriomis siekiama nustatyti incidentus (netipinius darbuotojų veiksmus).

Trijų pakopų kontrolė padeda nustatyti tyčinę vagystę ir neteisėtą informacijos perdavimą.

  • Apžiūra

DLP kompleksas yra įmonės informacijos apsaugos sistemos dalis ir jos nepakeičia. O DLP sprendimo efektyvumas yra tiesiogiai susijęs su teisingu kiekvieno elemento veikimu. Todėl prieš keisdamos „gamyklinę“ konfigūraciją pagal individualius poreikius, įmonės atlieka išsamią stebėseną ir analizę. Šiame etape patogu apskaičiuoti žmogiškuosius išteklius, reikalingus stabiliam DLP programos darbui užtikrinti.

  • Koregavimas

Išanalizavę informaciją, surinktą DLP sprendimo bandomojo veikimo etape, pradedame iš naujo konfigūruoti išteklius. Šis žingsnis apima esamų taisyklių išaiškinimą ir naujų taisyklių nustatymą; keičiant informacinių procesų saugumo užtikrinimo taktiką; personalo komplektavimas darbui su DLP sistema, techninis programos tobulinimas (dažnai dalyvaujant kūrėjui).

Šiuolaikinės DLP sistemos išsprendžia daugybę problemų. Tačiau visas DLP potencialas realizuojamas tik per iteracinį procesą, kai sistemos veikimo rezultatų analizė atliekama ir DLP nustatymų tobulinimas.