Planul „Interceptare”: cum să configurați un sistem DLP hibrid. Puteți folosi un agent DLP, dar cu greu vă bazați pe el

Introducere

„Ajutorul nu trebuie făcut împotriva voinței persoanei ajutate”(Georg Wilhelm Friedrich Hegel)

Spre deosebire de etapele inițiale de dezvoltare, astăzi putem vorbi deja despre formarea activă a cererii utilizatorilor pentru produse din clasa DLP. Multe companii s-au familiarizat cu sistemele de prevenire a scurgerilor de informații, au înțeles cum funcționează acestea și au formulat cerințe pentru astfel de sisteme. Rustem Khairetdinov, director general adjunct al InfoWatch, compară modernizarea unui sistem DLP cu cumpărarea unei mașini - dacă cerințele pentru prima mașină sunt scăzute ("doar conduce"), atunci viitorul proprietar stabilește cerințe exacte pentru a doua mașină, pe baza experiență de utilizare a mașinii anterioare. Cu toate acestea, compania care decide să implementeze nu trebuie neapărat să aibă experiență în operarea unui produs din aceeași clasă. Experiența unui partener sau a unui concurent poate ajuta la determinarea cerințelor acestei companii.

Putem vorbi despre pregătirea generală a companiilor care au decis să implementeze un sistem DLP pentru acest proces? Și ce înțelegi prin pregătire? După cum arată practica, în cele mai multe cazuri clientul își imaginează capacitățile tehnice ale produselor din această clasă, dar nu înțelege pe deplin cantitatea de muncă necesară, datorită căreia informații cu adevărat importante vor începe să apară în consola de management al sistemului DLP. Și va începe să apară dacă abordați procesul de implementare a unei soluții DLP ca una dintre metodele de implementare a celei mai relevante abordări a securității informațiilor în prezent - securitatea centrată pe date, sau o abordare integrată axată pe protejarea activelor informaționale. Ca parte a abordării de securitate centrată pe date, datele care reprezintă activele informaționale sunt împărțite în trei categorii:

  • Data în repaus - date în modul de stocare; stocate static pe medii înstrăinate, computere, dispozitive mobile ale utilizatorilor etc.;
  • Data in Motion - date in motion mode: tranzactii financiare, transmitere de date de autentificare etc.;
  • Date în uz - date utilizate direct de utilizatori ca parte a proceselor de afaceri.

Soluțiile de clasă DLP vă permit să controlați și să protejați datele tuturor categoriilor enumerate. Cu toate acestea, trebuie amintit că succesul unei operațiuni atât de serioase precum implementarea DLP depinde direct de înțelegerea valorii datelor protejate. Aici suntem aproape de a descrie cea mai importantă etapă în implementarea unui sistem DLP - pregătirea.

Etapa 1. Pregătirea pentru implementare

Studiu

NSS Labs, în articolul său „În 12 pași pentru o implementare cu succes a DLP”, împărtășește câteva teze cu care este dificil să nu fii de acord:

  • implementarea cu succes a unui sistem DLP este un eveniment complex în care implementarea produsului este o etapă necesară, dar nu suficientă;
  • clasificarea documentelor și definirea unei matrice de acces stau la baza politicilor de securitate ale sistemelor DLP.

Cine ar trebui să efectueze lucrări de sondaj? De regulă, compania care implementează sistemul DLP (executor) este responsabilă pentru acest lucru. Cu toate acestea, nu toate sunt atât de simple. Dacă compania client nu este pregătită să furnizeze, de exemplu, o descriere a proceselor de interacțiune cu informații protejate la cererea contractantului, atunci este necesar să se înțeleagă în a cărui zonă de responsabilitate se va elabora acest document. .

Un client ideal care a luat decizia de a implementa un sistem DLP a introdus un regim de secret comercial, a pregătit o listă de informații cu acces restricționat și are o descriere a proceselor de afaceri în cadrul cărora aceste informații sunt procesate, stocate și transmise. Cu alte cuvinte, clientul înțelege clar regulile prin care un eveniment este considerat o scurgere de informații confidențiale, precum și excepțiile de la aceste reguli. În acest caz, executantul trebuie doar să transfere regulile în politicile de securitate.

Un client real poate să nu aibă nimic definit. În acest caz, el trebuie să fie conștient de importanța participării sale la sondaj, deoarece cu cât clientul abordează mai responsabil acest proces, cu atât este mai realistă descrierea proceselor de afaceri ale companiei, criteriile de clasificare a informațiilor ca protejate etc. în caz de implicare slabă, clientul se bazează pe viziunea securității proceselor sale de afaceri prin ochii interpretului, iar aceasta nu îndeplinește întotdeauna cerințele de protecție a datelor.

Activitățile de sondaj includ de obicei următoarele activități:

  • studiul documentelor organizatorice si administrative legate de asigurarea securitatii si clasificarii informatiilor;
  • studierea listei de resurse informaționale, diagrame de rețea, diagrame de flux de date etc., legate de formalizarea interacțiunii informaționale;
  • armonizarea semnelor de clasificare a informațiilor ca informații cu acces restricționat;
  • formalizarea listei de informații cu acces restricționat;
  • examinarea și descrierea proceselor de transmitere, prelucrare și stocare a informațiilor cu acces limitat în cadrul proceselor de afaceri.

Pe baza rezultatelor activităților de mai sus se elaborează documente, pe baza cărora ulterior vor fi create politicile de securitate ale sistemului DLP. Astfel de documente pot include:

  • „Lista informațiilor cu acces restricționat”;
  • „Schema fluxurilor de date de informații cu acces limitat”;
  • „Descrierea proceselor tehnologice de interacțiune cu informații cu acces limitat”;
  • „Principalele scenarii pentru scurgerea de informații confidențiale”.

Având o înțelegere a proceselor de afaceri care funcționează cu date critice, în ce acțiuni constau procesele de mai sus cu aceste date, nu este dificil să se determine mecanismele necesare pentru funcționarea unui sistem DLP și, în consecință, cerințele pentru acesta. Opțional, în cadrul acestei etape, pot fi elaborate schițe ale politicilor de securitate în ceea ce privește un anumit produs. Despre alegerea produsului vom vorbi mai jos.

Suport juridic

Una dintre problemele importante cu care se va confrunta conducerea unei companii care a decis să utilizeze un produs de clasă DLP este problemele legale. De exemplu:

  • „Utilizarea acestui sistem va fi tratată ca supraveghere a angajaților?”
  • „Cum ne vom proteja de conflictele cauzate de funcționarea acestui sistem?”

Adăugați aici întrebări nu chiar evidente, cum ar fi „Cum să controlați administratorul unui sistem DLP care are acces la întreaga arhivă de informații interceptate?”

  • societatea are dreptul de a-și proteja secretul comercial prin introducerea în acest scop a unui regim de secret comercial care definește o listă de informații cu acces restricționat, reguli de lucru cu acestea etc.;
  • instrumentele de prelucrare a informațiilor transferate unui angajat pentru a-și îndeplini atribuțiile de serviciu, precum și resursele informaționale create cu ajutorul acestuia, sunt proprietatea companiei;
  • compania nu este un operator de telecomunicații și nu asigură secretul comunicațiilor atunci când sunt transmise prin canalele sale corporative.

Crearea unei strategii competente pentru utilizarea unui sistem DLP în context legal este din nou o sarcină comună pentru client și contractant. Rezultatul acestei lucrări ar trebui să fie pași pentru organizarea unui regim de secret comercial sau completări adecvate la acesta. În cadrul acestor lucrări, antreprenorul studiază documentele organizatorice și administrative ale clientului, contractele de muncă, acordurile adiționale și alte documente de personal legate de definirea condițiilor și obligațiilor de muncă ale angajaților, precum și a procedurilor de control intern ale clientului. Și pe baza rezultatelor analizei, formează recomandări pentru a face modificări cadrului de reglementare al clientului. Documentele elaborate de antreprenor în această etapă pot include:

  • acorduri adiționale la contractele de muncă;
  • completări la reglementările muncii;
  • politica de utilizare acceptabilă a instalațiilor de procesare a informațiilor;
  • alte documente care reglementează munca cu acces restricționat la informații.

Separat, aș dori să reamintesc relevanța monitorizării personalului de operare al sistemului DLP, care are acces nelimitat la arhiva informațiilor interceptate. Pare o încercare rezonabilă de a opri utilizarea posibilă a acestor informații în scopuri personale prin semnarea unor acorduri adecvate. Și, mergând puțin înainte, observăm că clientului i se recomandă deja în această etapă să se gândească la metoda de formare a unei arhive de informații interceptate - pentru a salva toate evenimentele sau numai evenimentele care au încălcat politica de securitate. Spre deosebire de jucătorii occidentali, sistemele DLP interne au luat calea păstrării întregului trafic.

Aici ne apropiem de următoarea etapă - alegerea unui anumit produs.

Etapa 2. Selectarea produsului

Această etapă este situată mai degrabă condiționat ca al doilea număr, deoarece în unele cazuri produsul este deja definit în mod explicit înainte de începerea implementării sau etapa de pregătire este precedată de un proiect pilot de una sau mai multe soluții. Astfel, alegerea unui anumit produs este o etapă, în funcție de circumstanțe, fie prima, fie a doua, fie paralelă cu prepararea.

La finalizarea (sau în curs) fazei de pregătire, atât clientul, cât și executantul au deja o idee despre modul în care sistemul abstract DLP va fi utilizat pentru a controla scurgerile de informații. Rămâne să se determine ce produs va îndeplini în mod optim cerințele. Vorbind de cerințe, nu trebuie să uităm de cele care nu determină direct procesul de interceptare și analiză a informațiilor. Acestea includ:

  • Complexitatea implementării și suportului. Dacă soluția folosește, de exemplu, un sistem de gestionare a bazelor de date Oracle, clientul are un specialist capabil să facă copii de rezervă ale bazei de date? Nu merită să privim o soluție în care această procedură se efectuează în trei clicuri de mouse, de exemplu, în Windows Task Scheduler, unde sarcina corespunzătoare este creată în timpul instalării?
  • Impactul asupra infrastructurii. Cât de mult va afecta agentul instalat funcționarea computerului utilizatorului sau a canalului de transmitere a datelor? Este posibil să instalați componente de sistem într-un mediu de virtualizare?
  • Organizarea proceselor de lucru pentru personalul de exploatare. Clientul în această etapă ar trebui să înțeleagă cum va fi munca unui analist de securitate sau a unui administrator de sistem responsabil cu menținerea soluției.

Cerința evidentă este ca sistemul să aibă mecanisme de colectare și analiză a informațiilor care să răspundă nevoilor clientului în controlul proceselor de afaceri identificate în etapa de sondaj.

Nu trebuie să uităm de bugetul clientului, care este și o cerință semnificativă. Pe lângă produsele de clasă Enterprise, sistemele DLP sunt reprezentate și de așa-numitele. „light DLP” și Channel DLP, implicând atât o serie de limitări funcționale în comparație cu „fratele mai mare”, și chiar vizând controlul unui anumit canal de transmisie a datelor. De exemplu, într-un buget limitat, poate fi optim pentru un client să achiziționeze funcționalitatea DLP pentru un server proxy existent și să folosească doar soluția unui agent terță parte.

Această etapă se caracterizează printr-o mare responsabilitate a antreprenorului, a cărui sarcină este să ofere clientului cea mai potrivită soluție. În același timp, posibila pasivitate a acestuia din urmă va juca o glumă crudă cu el în stadiul de funcționare și susținere a sistemului.

Este dificil de imaginat alegerea unui anumit produs fără a înțelege arhitectura soluției implementate prin intermediul acestui produs, așa că se poate susține că în această etapă, lucrările de proiectare au început deja.

Etapa 3. Proiectare și instalare

Proiecta

De regulă, punctele cheie din arhitectura soluției au fost deja determinate de această etapă. Lucrarea de proiectare este definită ca procesul de detaliere și extindere a acestor puncte cheie în măsura în care soluția de proiectare rezultată este complet gata de implementare. Cheia unei soluții bune de proiectare este un studiu detaliat al infrastructurii clientului și prototiparea soluției „acasă”. Aceste măsuri reduc la minimum riscul de dificultăți tehnice în timpul fazei de instalare. Este foarte de dorit ca clientul să înțeleagă acest lucru și să contribuie în mod activ la proces.

Forma în care va fi prezentată soluția de proiectare este discutată de părți. În cele mai multe cazuri, acesta este un set convenit de documente tehnice care descriu soluția finală de proiectare. În această etapă se stabilesc și cerințele pentru documentația operațională. Dacă manualele oficiale ale producătorului sistemului DLP selectat nu sunt suficiente, antreprenorul pregătește kitul lipsă. Exemple de astfel de documente pot fi traducerea unui manual oficial dintr-o limbă străină, precum și documente mai exotice, cum ar fi Descrierea ciclului de viață al software-ului.

În timpul fazei de proiectare, este important să se ia în considerare oportunitățile pentru schimbări viitoare ale sistemului, cum ar fi potențiala scalare sau tranziția de la modul monitor la modul bloc. Cerințele pentru hardware, software sau chiar pentru construirea de procese tehnologice pentru funcționarea produsului ar trebui stabilite de către antreprenor pe baza unei astfel de necesități.

Deci, antreprenorul a pregătit o soluție de proiectare, clientul a fost de acord cu aceasta, următoarea etapă este instalarea și configurarea inițială a sistemului DLP.

Instalare

Lucrările la instalarea unui sistem DLP necesită, de asemenea, o interacțiune strânsă între client și antreprenor. Deoarece produsele din această clasă de soluții sunt asociate cu o serie de sisteme conexe (mail, servere proxy, echipamente de rețea), este dificil să ne imaginăm procesul de instalare fără implicarea specialiștilor clientului.

De obicei, instalarea produsului începe cu instalarea componentelor serverului și stabilirea comunicării între acestea și sistemele adiacente. Cu toate acestea, există și excepții. De exemplu, cu un calendar de implementare strâns și un număr semnificativ de agenți instalați, procesul de instalare a acestora din urmă poate fi inițiat chiar înainte de finalizarea lucrărilor de proiectare. Un astfel de exemplu de soluție non-standard amintește încă o dată de necesitatea dialogului între părți în toate etapele implementării.

O problemă importantă în cadrul lucrărilor de instalare, apropiindu-ne totodată de munca de configurare, este problema păstrării secretului faptului implementării produsului față de angajații clientului. Dacă gradul de implicare a utilizatorilor în funcționarea sistemului DLP nu a fost încă determinat, atunci este timpul să ne gândim la asta.

Etapa 4. Configurare

Din păcate, în cadrul acestei etape, nu va fi descris un algoritm universal, în urma căruia oricine poate obține un sistem DLP bine configurat. Deși de ce nu? La urma urmei, dacă vă gândiți bine, acest algoritm constă dintr-un singur element ușor de formulat - „Configurați în mod continuu sistemul și modificați politicile de securitate pe toată perioada de funcționare”.

După cum putem vedea, nu vorbim de reglaj pe termen lung, ci de reglare continuă - acesta este punctul cheie pe care clientul trebuie să-l înțeleagă. Etapa de pregătire realizată „perfect bine” va fi un instrument indispensabil în faza de instalare, iar interpretul va ajuta cu siguranță la începutul călătoriei (și poate nu numai la început, totul este determinat de acorduri). Dar munca principală în cadrul etapei actuale cade pe umerii clientului (aici nu luăm în considerare modelul de servicii de servicii, în cadrul căruia antreprenorul poate prelua o parte semnificativă a acestor lucrări).

Schimbarea proceselor de afaceri, a infrastructurii, angajarea angajaților, delegarea responsabilităților în cadrul departamentelor existente, emiterea de noi documente precum ordine de management, fișe de post – toate aceste evenimente presupun necesitatea schimbării politicilor de securitate. Înarmat cu amprente digitale, dicționare și, uneori, tehnologii de învățare automată, personalul responsabil trebuie să țină pasul cu toate schimbările care sunt semnificative pentru sistemul DLP din companie și să neutralizeze posibilele lor consecințe negative pentru a evita scurgerea de informații. Mai mult, consecințele negative aici înseamnă nu numai noi canale de scurgere, ci și o posibilă creștere a fals pozitive.

Dacă vorbim despre obligațiile părților ca parte a implementării, atunci prin încheierea unui acord, acestea încearcă să cadă de acord asupra caracteristicilor cantitative și calitative ale lucrării de înființare a sistemului DLP, pe care contractorul se obligă să le realizeze. De regulă, vorbim despre completarea bazei de termeni speciali, scrierea expresiilor regulate și crearea politicilor de protecție a datelor bazate pe aceste tehnologii. Munca de ajustare este de obicei însoțită de consultări cu personalul. Este în interesul ambelor părți să facă acest proces cât mai productiv posibil prin eliminarea incapacității angajaților de a lucra singuri cu sistemul.

Când configurați, trebuie să aveți în vedere întrebarea: „Clientul dorește să folosească sistemul DLP ca instrument de instruire a utilizatorilor în lucrul cu informații confidențiale sau ca instrument de supraveghere?”. Companiile occidentale folosesc pe scară largă prima opțiune. Ideea lui nu este doar de a face utilizatorii conștienți de prezența unui sistem DLP, ci și de a implica angajații obișnuiți în organizarea securității datelor. Ca rezultat - o schimbare a comportamentului lor către o mai mare responsabilitate. Cu cât organizația este mai mare, cu atât mai obiectiv este solicitată o astfel de abordare: numărul propriului departament de securitate a informațiilor este limitat, iar sistemele DLP pot necesita costuri semnificative cu forța de muncă la începutul operațiunii. Crowdsourcingul intern poate oferi un sprijin tangibil într-o întreprindere atât de laborioasă. Principiul gamificării a ajuns și într-un domeniu de aplicare precum funcționarea sistemelor DLP. Ca parte a paradigmei jocurilor de noroc, compania renunță la așa-numita „palmă pe mâini” - o fereastră pop-up standard, de culoare roșie, concepută pentru a provoca stres maxim utilizatorului. În cazul unei încălcări accidentale a politicii de securitate, utilizatorul va vedea o descriere a motivului blocării acțiunii sale și o notă de subsol despre cum să evite încălcarea în viitor. O altă parte importantă a jocului este motivația pozitivă explicită. Atribuirea de insigne utilizatorilor pentru respectarea reglementărilor de securitate a datelor, publicarea de rapoarte grafice frumoase ale sistemelor DLP despre cei a căror interacțiune cu datele este cea mai corectă etc.

Cu aparenta simplitate a abordării, un astfel de mecanism ajută la introducerea și consolidarea conceptului de „protecție împotriva scurgerii de date” în viața de zi cu zi a angajaților, pentru a face din protecția datelor să nu fie un concept străin utilizatorului, ci un concept integral și natural. (dar nu plictisitor) parte a fluxului de lucru. A doua opțiune implică ascunderea maximă a prezenței produsului în mediul informațional. Se recomandă formularea răspunsului la această întrebare ca etapa nr. 0.

constatări

Implementarea DLP este adesea complicată de factori obiectivi: diferența de funcționalitate, lipsa singurei opțiuni de implementare corectă și un singur caz de utilizare. Chiar și decizia de implementare a protecției împotriva scurgerilor de date poate fi întârziată de client din cauza miturilor asociate cu sistemele DLP („sprijinirea DLP va ocupa întreaga resursă de securitate a informațiilor”, „trebuie să implementați DLP pentru cel puțin un an și jumătate sau nu-l implementează deloc”, etc.) etc.), precum și datorită faptului că implementarea eficientă necesită implicarea reprezentanților afacerilor etc.

În acest caz, pe baza experienței, executantul trebuie să ofere scenarii care să arate valoarea soluției atât reprezentanților blocului tehnic al clientului, cât și reprezentanților afacerilor. DLP sunt capabili să arate un rezultat rapid și obiectiv care va ajuta clientul să facă alegerea corectă.

Pentru organizațiile care adoptă o abordare responsabilă a securității propriilor date și a clienților lor, DLP este o soluție obligatorie.

Concentrându-se pe numele în limba engleză a acestei clase de produse, mulți cred în continuare că sistemele DLP sunt concepute exclusiv pentru a proteja împotriva scurgerilor de informații. O astfel de amăgire este caracteristică celor care nu au avut ocazia să se familiarizeze cu toate posibilitățile unor astfel de remedii. Între timp, sistemele moderne sunt instrumente analitice complexe cu ajutorul cărora angajații IT, securitatea informațională și economică, controlul intern, personalul și alte departamente structurale pot rezolva diverse probleme.

ZECE PROVOCĂRI

În cadrul acestui articol, nu vom atinge sarcinile de business de nivel superior determinate, conform metodologiei COBIT5, pe baza relației dintre business și obiectivele IT: obținerea de beneficii, optimizarea resurselor (inclusiv costurile), optimizarea riscurilor. Vom coborî un nivel și vom lua în considerare sarcini aplicate specifice, evidențiind printre ele pe cele care pot fi rezolvate de sistemele moderne DLP.

I. Expunerea angajaților fără scrupule:

  • detectarea faptelor de transmitere a informațiilor protejate;
  • depistarea infracțiunilor economice;
  • remedierea faptelor de comunicare neetică;
  • arhivarea evenimentelor și gestionarea incidentelor.

II. Reducerea riscurilor și creșterea nivelului general de securitate a informațiilor:

  • blocarea canalelor de scurgere și/sau a anumitor mesaje informative;
  • detectarea încălcării sistematice de către angajați a politicii de securitate adoptate.

III. Asigurarea conformității cu cerințele legale și alte cerințe (conformitate):

  • categorizarea informatiilor;
  • conformitatea cu reglementările de reglementare și contribuie la realizarea conformității cu cerințele standardelor și bunelor practici.

IV. Analiza și îmbunătățirea eficienței procesului:

  • prognozarea și identificarea posibilelor probleme cu angajații;
  • analiza fluxurilor de date și a informațiilor stocate.

UN STRĂIN ÎNTRE VOI ȘI

Expunerea angajaților fără scrupule vă permite să luați deciziile de management necesare în timp (inclusiv despărțirea legal competentă de astfel de oameni). Pentru a face acest lucru, este necesar să se detecteze însuși fapta evenimentului, să-l interpreteze și să-l clasifice corect și să se asigure păstrarea probelor găsite.

Detectarea faptelor de transfer de informații protejate către destinatarii nelegitimi este cea mai solicitată caracteristică a sistemelor DLP. De obicei, sistemul este configurat pentru a detecta secrete comerciale, date personale, numere de card de credit și alte informații confidențiale (în funcție de industrie și de specificul unei anumite organizații).

Potrivit centrului analitic InfoWatch, scurgerile de date personale sunt cele mai frecvente, urmate de secretele comerciale (vezi Figura 1).

În funcție de soluția specifică, sistemele DLP pot monitoriza și analiza următoarele canale principale de transmitere a informațiilor: e-mail, transmitere de date prin Internet (rețele sociale și forumuri, servicii de partajare a fișierelor și stocare în cloud, acces Web la e-mail etc.), copiere către medii externe, tipărirea documentelor.

Identificarea infracțiunilor economice nu este scopul principal al sistemelor DLP. Cu toate acestea, destul de des, analiza corespondenței permite depistarea pregătirilor pentru acestea sau deja a faptului săvârșirii unui act ilegal. Aceasta detectează, de obicei, discuțiile de contracol și alte conversații neautorizate care ar putea dăuna companiei.

În plus, tipărirea formularelor goale cu sigilii și semnături sau trimiterea acestora cuiva poate indica indirect și o posibilă pregătire pentru falsificarea documentelor. Dar nu ar trebui să se bazeze pe sistemele DLP ca panaceu - pregătirea unor astfel de crime este ușor de ascuns.

Remedierea faptelor de comunicare lipsită de etică apare ca urmare a analizei corespondenței dintre angajați și cu destinatarii externi. Sistemele moderne DLP sunt capabile să identifice comportamentul agresiv și distructiv - de exemplu, incitarea și apelurile la sabotaj, „teroare psihologică”, „trolling”, amenințări și insulte. Mai recent, un coleg de-al meu a reușit să oprească o potențială infracțiune: sistemul DLP a detectat conspirație în corespondența a doi angajați pentru a provoca vătămare corporală unui al treilea angajat.

Arhivarea si sistematizarea tuturor mesajelor informative necesare pentru a investiga în continuare incidentele și pentru a asigura greutatea legală a probelor. Nu este suficient să poți identifica incidentele, trebuie și să salvezi informațiile obținute și să oferi un mecanism convenabil pentru analiza lor.

CANALE DE „UMPLERE”.

Reducerea riscului de scurgere a informațiilor protejate se realizează prin monitorizarea și blocarea constantă a canalelor de scurgere, precum și prin avertizarea utilizatorilor care sunt văzuți în încălcarea politicilor de securitate.

Studiul Ponemon Institute (raportul „Este compania ta pregătită pentru o încălcare a datelor mari?”) a arătat că în ultimii doi ani, o treime dintre companiile chestionate au înregistrat peste 1000 de cazuri de scurgere de informații confidențiale: 48% au avut scurgeri de date. doar o dată, 27% - de două ori, 16% au experimentat incidente similare de până la cinci ori, 9% au înregistrat mai mult de cinci scurgeri. Aceasta indică relevanța amenințărilor luate în considerare.

Blocarea canalelor de scurgeri și/sau a anumitor mesaje informaționale poate reduce semnificativ riscul scurgerii de informații. Pentru a face acest lucru, există mai multe abordări: blocarea porturilor I/O, interzicerea accesului la anumite categorii de site-uri (partajarea fișierelor, e-mail) și/sau analizarea conținutului mesajelor transmise și apoi blocarea transferului.

În unele cazuri, sistemele DLP pot oferi identificarea încălcărilor sistematice de către angajați a politicii de securitate adoptate: trimiterea de mesaje către terți într-o formă deschisă (necriptată), tipărirea documentelor fără aplicarea anumitor ștampile, trimiterea accidentală de e-mail-uri către persoane din afară.

FORMA STRICT

Conformitatea cu cerințele formale ale autorităților de reglementare și/sau recomandările de bune practici (cele mai bune practici) poate fi corelată cu sarcinile primului și celui de-al doilea grup, dar este luată în considerare separat.

Clasificarea automată a informațiilor este o caracteristică opțională oferită de unele sisteme DLP. Cum functioneaza? Sistemul DLP scanează stațiile de lucru și serverele pentru a identifica fișiere de anumite tipuri și, folosind diverse tehnologii de analiză, ia decizia de a clasifica documentele în anumite categorii.

Această caracteristică poate fi foarte utilă, deoarece, din experiența noastră, doar o mică parte din companii au liste actualizate de informații confidențiale, fără de care este imposibil de înțeles care documente sunt confidențiale și care nu.

Utilizarea sistemelor DLP face posibilă realizarea îndeplinirea unor cerințe de reglementare(de exemplu, ordinele FSTEC din Rusia nr. 21 și nr. 17, regulamentul Băncii Rusiei nr. 382-P) și cele mai bune practici (GOST / ISO 27001, STO BR IBBS, COBIT5, ITIL). Sistemele DLP ajută la clasificarea informațiilor, limitarea locațiilor de stocare, gestionarea evenimentelor și incidentelor, managementul media extern, controlul mesajelor transmise și în multe alte cazuri.

LA CE STĂM, LA CE NE AȘTEPTĂM?

Sistemele DLP pot fi utilizate pentru analiza fluxurilor de date și a informațiilor stocate- de exemplu, pentru a identifica faptele de stocare a informațiilor cu acces restricționat în locuri neautorizate, pentru a determina încărcarea excesivă pe e-mail în prezența stocării fișierelor și altele. Ei identifică posibile blocaje în procesele de afaceri care decurg din comportamentul nesatisfăcător și așteptările nesatisfăcute ale personalului, precum și modalități iraționale de stocare, transmitere și procesare a informațiilor.

Predicția și identificarea potențialelor conflicte de interese se implementează prin analiza corespondenței angajaților și a celorlalte activități ale acestora în rețelele de socializare și pe diverse resurse de pe Internet. Dacă este necesar, sistemele DLP sunt capabile să „înțeleagă” cine va părăsi compania (să caute de lucru sau să discute ofertele primite), să utilizeze greșit resursele IT corporative (comunicare prea lungă pe rețelele sociale, tipărirea documentelor personale, cărților și fotografiilor pe imprimantă, vizitând site-uri de jocuri și altele asemenea), reacționează negativ la deciziile manageriale. Aceste aspecte sunt mai degrabă de competența departamentului de personal și a managerilor de linie, decât a serviciului de securitate.

CARE SUNT SARCINILE?

Indiferent dacă implementați un sistem DLP sau doar vă gândiți să îl implementați, este important să aveți o idee clară despre sarcinile pe care le va rezolva. Fără aceasta, este dificil nu numai să alegeți un producător de soluții, ci și să formulați corect cerințele pentru funcționalitate și setări. Dacă vă concentrați în mod special pe rezolvarea problemelor și nu pe o listă de funcționalități, atunci acest lucru va justifica clar oportunitatea implementării DLP atât pentru departamentul IT, cât și pentru întreprindere în ansamblu.

Andrei Prozorov- InfoWatch, expert principal în securitatea informațiilor, blogger.

Poate părea că în 2017 sistemele DLP au devenit atât de comune în securitatea informațiilor încât problemele de interceptare a traficului au dispărut în fundal.

Abordările diverșilor furnizori de DLP cu privire la ce trafic și unde să colecteze, de regulă, sunt înrădăcinate în propria experiență a primelor proiecte de succes. Evident, această experiență a variat de la furnizor la furnizor, deoarece infrastructura unei întreprinderi este un lucru mai degrabă individual, iar preferințele personale ale specialiștilor în securitatea informațiilor au avut și ele impact.

Cu toate acestea, în cele din urmă, astăzi, aproape orice sistem DLP este capabil să colecteze trafic pe serverele de e-mail, gateway-ul de rețea, serverul proxy și stațiile de lucru finale. Cu toate acestea, acest ultim punct este încă subiectul multor controverse. Pentru unii, agentul DLP este un panaceu pentru toate amenințările, pentru alții suferă. Despre asta vreau să vorbesc în acest articol.

De ce să instalați agenți?

Potrivit clasicilor DLP, un agent este necesar pentru a oferi stațiilor de lucru control asupra datelor în repaus (Data-at-rest) și a datelor în uz (Date-in-use). Datele în mișcare sunt acoperite în proporție de 95% la nivel de server, ceea ce este o veste bună.

În teorie, adăugarea agentului DLP permite nu numai căutarea informațiilor confidențiale pe computerele angajaților, ci și controlul circulației acestora în situațiile în care mașina este offline sau când informațiile sunt utilizate în mod activ. Cu toate acestea, în practică, alături de oportunități ample, agenții aduc cu ei și o mulțime de dificultăți.

Probleme de instalare

În primul rând, agenții sunt foarte problematici de implementat. Capcana aici constă în proiecte-pilot: de obicei, agenții sunt instalați pe câteva zeci sau sute de mașini fără probleme, dar când vine momentul implementării industriale, iar mii de mașini trebuie să achiziționeze module de agenți, începe distracția.

Când o organizație are probleme la instalarea agenților DLP, desigur, producătorul specific primește mai întâi doza de negativitate. Dar dacă vorbești cu specialiști cu experiență în securitatea informațiilor, se dovedește că problema este globală. Încercați să căutați ceva de genul „dlp agent not install” sau „dlp agent problem”. Veți găsi sute de pagini de forumuri în care utilizatorii se plâng de modulele de agenți ale giganților DLP din lume.

Conflicte cu software-ul existent

A fost o vreme când orice antivirus decent detecta instantaneu un agent DLP ca malware. De-a lungul timpului, majoritatea producătorilor au reușit să rezolve această problemă. Dar este important să ne amintim că, cu cât agentul este mai puternic și cu cât folosește mai multe funcții OS ascunse, cu atât este mai mare probabilitatea de conflict.

De ceva vreme, pe piață circula o poveste despre o anumită organizație din Republica Belarus, unde a fost instalat antivirusul VirusBlokAda. Pentru a implementa partea agent a DLP în organizație, furnizorul a trebuit să dezvolte urgent o „soluție de integrare” cu acest software antivirus. Prin urmare, atunci când auziți că o soluție are integrare cu unul sau altul antivirus, în cele mai multe cazuri nu se înțelege schimbul reciproc de evenimente de securitate a informațiilor, ci mai degrabă neconflictul cu agentul DLP.

Analiza de conținut pe o stație de lucru

Modulul agent este forțat să se mulțumească cu resursele limitate ale stației de lucru a angajatului și, de obicei, este un desktop sau laptop de birou conceput pentru a funcționa cu documente, un client de e-mail și un browser. Cu toate acestea, agentul trebuie să efectueze analiza de conținut direct pe stația de lucru. Acest lucru afectează performanța și este mai ales greu dacă organizația folosește politici de „împrăștiere” menite să protejeze cantități mari de date sensibile, cum ar fi încărcările din baze de date sau documente grafice. Știți cum funcționează stația de lucru OCR sau detectorul de imprimare de mare volum? Merită văzut o dată pentru a vă aminti pentru totdeauna.

False pozitive

Recent, a existat o tendință notabilă către utilizarea combinată a diferitelor sisteme DLP într-o singură infrastructură. Clienții colectează cele mai bune caracteristici din mai multe soluții, iar apoi începe procesul creativ de personalizare a acestei grădini zoologice. Problema este că diferite soluții încep să intercepteze același trafic și să trimită 2-3 notificări pentru același eveniment - desigur, către diferite console. Desigur, acest lucru duce la faptul că locul în arhive se epuizează foarte repede. Și în cele din urmă, când stația de lucru se prăbușește, începe o anchetă, care agent este de vină.

Agenții nu acceptă toate platformele

Imaginea ideală a infrastructurii arată astfel: toți utilizatorii folosesc aceleași stații de lucru, de exemplu, pe Windows 7 sau chiar pe Windows 8, toate problemele de compatibilitate cu care sunt de domeniul trecutului. Acest ideal este rareori îndeplinit în realitate, dar chiar dacă compania ta este cea mai rară excepție, trecerea la Windows 10 este deja pe ordinea de zi.

Problema este că nu toți producătorii pot garanta funcționarea stabilă a agentului cu acest sistem de operare. De exemplu, dacă mergeți la filialele oficiale ale comunităților de asistență pentru furnizori occidentali, puteți vedea un număr mare de plângeri privind incompatibilitatea cu noua creație Microsoft. Dacă vă amintiți cum compania răsucește cu pricepere brațele producătorilor de antivirus, cu ale căror produse sistemul de operare este din ce în ce mai în conflict, atunci se pare că Microsoft este la îndemână și în curând vor ajunge la restul soluțiilor endpoint pentru a se impune. termenii lor de cooperare. Utilizatorii sunt amenințați cu o astfel de instabilitate cu suport de actualizări constante și eșecuri bruște ale agenților DLP.

Agent mobil - mai bine ucide

În jurul anului 2012, Symantec a inaugurat o nouă eră a dezvoltării DLP - prevenirea scurgerilor pe dispozitivele mobile. Soluția lor a fost să aibă iPhone sau iPad configurat să funcționeze printr-un tunel VPN care direcționează tot traficul dispozitivului către un server DLP unde politicile sunt verificate. Ei bine, tehnic totul este implementat foarte transparent. Ați încercat vreodată să treceți toată ziua cu VPN-ul activat? Rămâne doar să ghicim cât de repede se descarcă bateria dispozitivului. Mai mult, în acest exemplu, nu se pune problema vreunui agent DLP pe un dispozitiv mobil. Știind cât de puternic negativ tratează Apple orice aplicație de fundal și, cu atât mai mult, pe cele care interferează cu procesul de prelucrare a datelor, un astfel de agent nu este destinat să se nască. Nu se știe de ce Symantec nu a dezvoltat o soluție DLP pentru Android. Poate că problema este în segmentarea sistemului de operare și va fi foarte dificil pentru dezvoltatori să suporte diferite versiuni de agenți pentru toate modelele de telefoane. Da, și pentru majoritatea procedurilor de interceptare a traficului, va trebui să rootați dispozitivul și nu orice agent de securitate cu experiență va permite chiar și unui producător de încredere să facă acest lucru.

constatări

O implementare la scară completă a unui sistem DLP este dificil de imaginat fără monitorizarea punctului final. Restricții privind utilizarea suportului USB, control clipboard - aceste canale pot fi controlate numai din partea agentului.

Dacă vorbim despre traficul de comunicații, atunci tehnologiile moderne fac posibilă interceptarea aproape a tuturor lucrurilor pe gateway-ul de rețea și pe serverul proxy. Analizați chiar și traficul SSL în modul transparent fără setări în proprietățile browserului. Prin urmare, vă recomandăm să vă alegeți întotdeauna cu înțelepciune interceptorii. Prea des, soluția „mai ușoară pentru agent” se dovedește a fi profund defectuoasă.

Implementarea sistemelor DLP este ușoară, dar configurarea acestora pentru a începe să ofere beneficii tangibile nu este ușoară. În acest moment, la implementarea sistemelor de monitorizare și control al fluxurilor de informații (versiunea mea a descrierii termenului DLP), este folosită cel mai des una dintre următoarele abordări:

  1. Clasic . Cu această abordare, compania a definit deja informațiile critice și cerințele pentru procesarea acesteia, iar sistemul DLP controlează doar implementarea acestora.
  2. Analitic . Totodată, compania are o idee generală că este necesar să se controleze diseminarea informațiilor critice (de obicei informații confidențiale), dar captarea fluxurilor de informații și cerințele necesare pentru acestea nu au fost încă determinate. Apoi, sistemul DLP acționează ca un fel de set de instrumente care colectează datele necesare, a căror analiză va face posibilă formularea clară a cerințelor pentru prelucrarea informațiilor și apoi, în plus, mai precis, configurarea sistemului în sine.

Voi da pe scurt exemple de etapele implementării DLP, caracteristice fiecărei abordări.

Abordare clasică a implementării DLP:

  1. Definiți principalele procese de afaceri și analizați-le . La ieșire, trebuie să obțineți un document " " (uneori poate fi o listă mai extinsă, ceva ca un document de lucru " Lista informațiilor controlate", pentru că, de exemplu, doriți să controlați și să preveniți folosirea blasfemii în corespondența electronică) și documentul de lucru „Lista deținătorilor de informații”. Înțelegerea cui deține această sau acea informație este necesară pentru a determina ulterior cerințele pentru prelucrarea acesteia.
  2. Determinați principalii purtători de informații și metode de transmitere. Este necesar să înțelegem ce informații controlate media pot fi prezente în infrastructura IT a organizației. În același timp, este o bună practică să se elaboreze astfel de documente de lucru precum „ Lista suporturilor de stocare" și " Lista posibilelor canale de scurgere de informații".
  3. Definiți cerințele pentru utilizarea informațiilor și a serviciilor . Se întâmplă adesea ca astfel de cerințe să fie formulate în politici separate, de exemplu, în documentele „Politica de utilizare a e-mailului”, „Politica de utilizare a internetului” și altele. Cu toate acestea, este mai convenabil să dezvoltați un singur " Politica de utilizare acceptabilă„. Este logic să se indice cerințele pentru următoarele blocuri: lucrul cu e-mailul și internetul, utilizarea mediilor amovibile; utilizarea stațiilor de lucru și a laptopurilor, procesarea informațiilor pe dispozitive personale (PDA-uri, smartphone-uri, tablete etc.), utilizarea tehnologiei copiatoare și stocarea datelor în rețea, comunicarea în rețelele sociale și blog-uri, utilizarea serviciilor de mesagerie instantanee, prelucrarea informațiilor fixate pe suport de stocare (hârtie).
  4. Familiarizați angajații cu cerințele de utilizare a informațiilor și serviciilor identificate în pasul anterior.
  5. Proiectați un sistem DLP . În ceea ce privește designul tehnic, recomand să dezvolte cel puțin " Sarcina tehnică" și " Programul de testare și metodologia". De asemenea, utile și documente precum " ", în care trebuie să specificați în detaliu modul în care sistemul va filtra informațiile și va răspunde la evenimente și incidente, și " „, în care veți fixa rolurile și limitele de responsabilitate pentru gestionarea DLP.
  6. Implementați și configurați sistemul DLP, puneți-l în funcțiune de probă. Inițial, acest lucru se face cel mai bine în modul monitor.
  7. Efectuați instruire pentru personalul responsabil cu gestionarea și întreținerea DLP . În această etapă, ați dori să vă dezvoltați Un set de instrucțiuni de joc de rol pentru DLP(gestionare și furnizare) .
  8. Analizați rezultatele și rezultatele operațiunii de probă, efectuați modificări (dacă este necesar), puneți în funcțiune comercială.
  10. Examinați în mod regulat incidentele și îmbunătățiți politica de configurare DLP.

AnaliticAbordarea implementării DLP:

    Proiectați un sistem DLP . În acest moment, un simplu" termeni de referinta" și " Programe și metode de testare".

    Definiți și configurați politicile DLP minime. Sarcina noastră nu este să monitorizăm și să blocăm orice activitate, ci mai degrabă să colectăm informații analitice despre canalele și mijloacele folosite pentru a transfera cutare sau cutare informație corporativă.

    Oferiți instruire personalului responsabil cu gestionarea și întreținerea DLP. Aici puteți folosi instrucțiunile standard pentru „vânzător”.

    Implementați și configurați sistemul DLP, puneți-l în funcțiune de probă (în modul monitorizare).

    Analizați rezultatele și rezultatele operațiunii de probă. Sarcina este de a identifica și analiza principalele fluxuri de informații.

    Efectuați modificări (dezvoltați) principalele documente care reglementează monitorizarea și controlul informațiilor, familiarizați angajații cu acestea. Documentele " Lista informațiilor confidențiale" și " Politica de utilizare acceptabilă".

    Efectuați modificări ale setărilor DLP, determinați procedura de gestionare și menținere DLP, puneți-l în funcțiune comercială. Dezvoltarea documentelor" Standard corporativ pentru configurarea politicilor DLP", "Regulamentul privind repartizarea rolurilor pentru managementul și întreținerea DLP", "Un set de instrucțiuni de joc de rol pentru DLP".

    Faceți modificări (în absență, dezvoltați) în procedura de gestionare a incidentelor (sau analogi).

    Analizați în mod regulat incidentele și îmbunătățiți politica de configurare DLP.

Abordările diferă, dar ambele sunt destul de potrivite pentru implementarea sistemelor DLP. Sper că informațiile prezentate mai sus vă vor putea conduce la noi gânduri de succes cu privire la protejarea informațiilor de scurgeri.

Chiar și un administrator de sistem începător se poate ocupa de instalarea unui sistem DLP. Dar reglarea fină a DLP necesită anumite abilități și experiență.

Fundația pentru funcționarea stabilă a produselor din clasa DLP este pusă în etapa de implementare, care include:

  • determinarea informațiilor critice care trebuie protejate;
  • elaborarea unei politici de confidențialitate;
  • stabilirea proceselor de afaceri pentru a aborda problemele de securitate a informațiilor.

Efectuarea unor astfel de sarcini necesită o specializare restrânsă și un studiu aprofundat al sistemului DLP.

Clasificarea sistemelor de protectie

Alegerea unui sistem DLP depinde de sarcinile pe care trebuie să le rezolve o anumită companie. În cea mai generală formă, sarcinile sunt împărțite în mai multe grupuri, inclusiv controlul mișcării informațiilor confidențiale, supravegherea activității angajaților în timpul zilei, monitorizarea rețelei (analiza gateway-urilor) și complexe (rețele și stații de lucru finale).

În scopul majorității companiilor, alegerea unei soluții DLP cuprinzătoare va fi optimă. Sistemele gazdă sunt potrivite pentru întreprinderile mici și mijlocii. Avantajele host DLP sunt funcționalitatea satisfăcătoare și costul scăzut. Printre minusuri se numără performanța scăzută, scalabilitatea, toleranța la erori.

Network DLP nu are astfel de dezavantaje. Sunt ușor de integrat și de interacționat cu soluții de la alți furnizori. Acesta este un aspect important deoarece sistemul DLP trebuie să funcționeze în tandem cu produsele deja instalate în rețeaua corporativă. La fel de importantă este compatibilitatea DLP cu bazele de date și cu software-ul utilizat.

Atunci când alegeți DLP, sunt luate în considerare canalele de transmisie a datelor care sunt utilizate în companie și care trebuie protejate. Cel mai adesea acestea sunt protocoale de e-mail, telefonie IP, HTTP; rețele fără fir, Bluetooth, suporturi amovibile, imprimare pe imprimante, în rețea sau independent.

Funcțiile de monitorizare și analiză sunt componente importante ale funcționării corecte a unui sistem DLP. Cerințele minime pentru instrumentele analitice includ analiza morfologică și lingvistică, capacitatea de a corela datele controlate cu dicționarele sau fișierele „de referință” salvate.

Din punct de vedere tehnic, soluțiile moderne DLP sunt în mare parte aceleași. Eficacitatea sistemului depinde de setarea competentă a automatizării algoritmilor de căutare. Prin urmare, avantajul produsului va fi un proces simplu și ușor de înțeles de configurare a DLP, care nu necesită consultări regulate cu specialiștii tehnici ai vânzătorului.

Abordări ale implementării și personalizării

Instalarea unui sistem DLP într-o companie urmează cel mai adesea unul dintre cele două scenarii.

Abordare clasicăînseamnă că compania client stabilește în mod independent lista de informații care necesită protecție, caracteristicile procesării și transmiterii acestora, iar sistemul controlează fluxul de informații.

Abordare analitică constă în faptul că sistemul analizează mai întâi fluxurile de informații pentru a izola informațiile care necesită protecție, iar apoi le ajustează pentru o monitorizare mai precisă și asigurarea protecției fluxurilor de informații.

ETAPE DE IMPLEMENTARE DLP

conform schemei clasice:

conform schemei analitice:
  • analiza proceselor de bază ale afacerii și pregătirea unei liste de date confidențiale;
  • crearea unui proiect de protecție DLP;
  • „inventarul” transportatorilor și rutelor de circulație a datelor care sunt amenințate de acțiuni neautorizate;
  • stabilirea permisiunilor minime ale politicii de confidențialitate;
  • înregistrarea procedurii de lucru cu servicii de informare, inclusiv resurse de internet, dispozitive amovibile, PC-uri, laptopuri, tablete, imprimante, copiatoare, suporturi de imprimare;
  • familiarizarea specialiștilor responsabili de activitatea DLP cu principiile de bază ale funcționării sistemului;
  • familiarizarea angajaților cu cerințele de circulație a informațiilor în companie;
  • porniți sistemul în mod experimental;
  • crearea unui proiect DLP care să indice modul în care sistemul răspunde la incidentele identificate, precum și modalitățile de management extern;
  • analiza rezultatelor pilotului;
  • lansarea sistemului experimental în modul de observare;
  • efectuarea de modificări la setările sistemului;
  • formarea specialiştilor responsabili cu activitatea DLP;
  • analiza rulării pilot a sistemului DLP, dacă este necesar - setări suplimentare;
  • lansarea sistemului în funcționare „industrială”;
  • analiza regulată a funcționării sistemului, ajustarea parametrilor.

Probleme în timpul funcționării DLP

Practica arată că cel mai adesea problemele de funcționare a sistemelor DLP nu se află în caracteristicile tehnice ale lucrării, ci în așteptările ridicate ale utilizatorilor. Prin urmare, abordarea analitică a implementării protecției funcționează mult mai bine, fiind numită și consultanță. Companiile „maturează” în materie de securitate a informațiilor, care s-au confruntat deja cu implementarea instrumentelor de protecție a informațiilor confidențiale și știu ce și cum să protejeze mai bine, cresc șansele de a construi un sistem de protecție eficient și funcțional, bazat pe DLP.

Greșeli frecvente la configurarea DLP

  • Implementarea regulilor șablonului

Adesea, departamentului de securitate a informațiilor i se atribuie rolul unui departament de service pentru alte departamente ale companiei, care oferă „clienților” servicii pentru prevenirea scurgerilor de informații. În timp ce pentru o muncă eficientă, specialiștii în securitatea informațiilor necesită o cunoaștere aprofundată a operațiunilor companiei pentru a „ascuți” sistemul DLP, ținând cont de procesele individuale de afaceri.

  • Acoperirea nu a tuturor canalelor posibile de scurgere de date confidențiale

Controlul protocoalelor de e-mail și HTTP prin intermediul unui sistem DLP cu utilizarea necontrolată a porturilor FTP sau USB este puțin probabil să ofere o protecție fiabilă a datelor confidențiale. Într-o astfel de situație, este posibil să se identifice angajații care trimit documente corporative către poșta personală pentru a lucra de acasă, sau cei care stau în afara programului de lucru pe site-uri de întâlniri sau rețele sociale. Dar împotriva „scurgerii” deliberate a datelor, un astfel de mecanism este inutil.

  • Incidente false pe care administratorul de securitate cibernetică nu are timp să le proceseze manual

Salvarea setărilor implicite în practică se transformă într-o avalanșă de alerte false. De exemplu, la solicitarea „detalii bancare”, un specialist în securitatea informațiilor este bombardat cu informații despre toate tranzacțiile din companie, inclusiv plata pentru papetărie și livrarea apei. Sistemul nu poate procesa în mod adecvat un număr mare de alarme false, așa că unele reguli trebuie să fie dezactivate, ceea ce slăbește protecția și crește riscul de a pierde un incident.

  • Eșecul de a preveni scurgerea datelor

Setările DLP standard vă permit să identificați angajații care sunt angajați în afaceri personale la locul de muncă. Pentru ca sistemul să coreleze evenimentele din rețeaua corporativă și să indice o activitate suspectă, este necesară o reglare fină.

  • Deteriorarea eficienței DLP din cauza alinierii fluxurilor de informații în jurul sistemului

Sistemul de securitate a informațiilor ar trebui să fie „ajustat” asupra proceselor de afaceri și a reglementărilor acceptate pentru lucrul cu informații confidențiale, și nu invers - ajustând activitatea companiei la capabilitățile DLP.

Cum să rezolvi problemele?

Pentru ca sistemul de protecție să funcționeze ca un ceas, trebuie să parcurgeți toate etapele de implementare și configurare a DLP, fără excepție, și anume: planificare, implementare, verificare și ajustare.

  • Planificare

Constă în definirea precisă a programului de protecție a datelor. Răspunsul la o întrebare aparent simplă: „Ce vom proteja?” Nu fiecare client are unul. O listă de verificare formată din răspunsuri la întrebări mai detaliate vă va ajuta să dezvoltați un plan:

Cine va folosi sistemul DLP?

Cine va administra datele?

Care sunt perspectivele de aplicare a programului pe trei ani?

Ce obiective urmărește managementul atunci când implementează un sistem DLP?

Care sunt cerințele atipice pentru prevenirea scurgerilor de date într-o companie?

O parte importantă a planificării este clarificarea obiectului protecției sau, cu alte cuvinte, specificarea activelor informaționale care sunt transferate de anumiți angajați. Specificațiile includ clasificarea și contabilizarea datelor corporative. Execuția sarcinii este de obicei separată într-un proiect separat de protecție a datelor.

Următorul pas este identificarea canalelor reale de scurgere de informații, care este de obicei o componentă a unui audit de securitate a informațiilor într-o companie. Dacă canalele potențial periculoase detectate nu sunt „închise” de către complexul DLP, ar trebui luate măsuri suplimentare de protecție tehnică sau ar trebui să fie aleasă o soluție DLP cu o acoperire mai completă. Este important să înțelegeți că DLP este o modalitate eficientă de a preveni scurgerile cu eficacitate dovedită, dar nu poate înlocui toate instrumentele moderne de protecție a datelor.

  • Implementarea

Depanarea programului în conformitate cu solicitările individuale ale unei anumite întreprinderi se bazează pe controlul informațiilor confidențiale:

  • în conformitate cu caracteristicile documentației speciale adoptate de societate;
  • în conformitate cu caracteristicile documentației standard comune tuturor organizațiilor din industrie;
  • folosind reguli care vizează identificarea incidentelor (acțiuni atipice ale angajaților).

Controlul în trei pași ajută la detectarea furtului deliberat și a transmiterii neautorizate a informațiilor.

  • Examinare

Complexul DLP face parte din sistemul de securitate a informațiilor companiei și nu îl înlocuiește. Iar eficiența soluției DLP este direct legată de funcționarea corectă a fiecărui element. Prin urmare, înainte de a schimba configurația „fabrică” pentru nevoi private, companiile efectuează monitorizări și analize detaliate. În această etapă, este convenabil să se calculeze resursa umană necesară pentru a asigura funcționarea stabilă a programului DLP.

  • Ajustare

După analizarea informațiilor colectate în etapa de testare a funcționării soluției DLP, aceștia încep să reconfigureze resursa. Acest pas include perfecţionarea regulilor existente şi stabilirea de noi reguli; schimbarea tacticii de asigurare a securității proceselor informaționale; personal pentru lucrul cu sistemul DLP, îmbunătățirea tehnică a programului (adesea cu participarea dezvoltatorului).

Complexele DLP moderne rezolvă un număr mare de sarcini. Cu toate acestea, potențialul DLP este realizat pe deplin doar pe baza unui proces ciclic, în care analiza rezultatelor sistemului este înlocuită cu rafinarea setărilor DLP.