Настройка DLP-системы

Большинство компаний сталкивается с потребностью защиты своих конфиденциальных данных от внешних и внутренних угроз. И если с внешними врагами все понятно: необходимо обеспечивать защиту от любого объекта, который пытается прорваться в контур безопасности, то внутренние риски не всегда очевидны. По этой причине компании и принимают решение о покупке и установке DLP-системы — программного обеспечения для защиты конфиденциальной информации.

Цели внедрения DLP-системы

Какие цели преследует компания, которая внедряет программное обеспечение для защиты информации от утечек?

Во-первых, основная цель: обеспечение безопасного обращения сотрудниками с конфиденциальными данными и чувствительной информацией. Это безопасность во внутрикорпоративных коммуникациях, безопасность в общении с партнерами, клиентами и другими субъектами круга общения сотрудников.

Во-вторых, это пресечение рисков, которые создаются умышленно или по невнимательности (незнанию). Это касается утечек информации через внешние и внутренние каналы связи.

В-третьих, это получение пула достоверных данных об эффективности труда сотрудников, подтвержденного и аргументированного статистическими данными об активности в рабочий день. Может использоваться в управлении персоналом и корректировке кадровой политики компании.

В-четвертых, это получение аналитики по разнообразным данным об эффективности сотрудников и общей картине информационной безопасности компании. Это обеспечивает вариативность управленческих решений и возможность пересмотра существующих бизнес-процессов.

В-пятых, это выявление недружественных контактов как в периметре компании, так и за ее пределами. При этом инсайдеры доступны и открыты к корректировке поведения (можно зафиксировать нелояльность, предупредить, нести административное и материальное наказание, уволить), а внешние недоступны, и их выявление помогает в пресечении дальнейших контактов с представителями компании.

Подробнее эта тема исследована в статье «Задачи современных DLP-систем».

Этапы настройки DLP-системы

После того как был сформирован запрос на установку DLP-системы, необходимо определиться со всеми этапами, которые необходимо осуществить до начала работы с ПО. Сюда входят:

  1. Определение с подрядчиком и выбор программного обеспечения.
  2. Проведение оценочного аудита бизнес-процессов.
  3. Проведение аудита рисков и потенциальных угроз безопасности.
  4. Изучение организационно-распорядительной документации компании, нормативно-правовая подготовка к установке DLP-системы.
  5. Оценка информационных ресурсов компании.
  6. Установка и настройка DLP-системы.     

Выбор поставщика DLP-системы

Первый этап перед покупкой DLP-системы — это выбор поставщика ПО, компании-вендора, чей продукт будет выполнять задачи по информационной безопасности. Это действие должно быть полностью лишено эмоций и основано только на критериях:

Опыт поставщика ПО в разработке, полный цикл создания программного обеспечения

Компания должна оценить предыдущий опыт вендора, насколько давно продукт (DLP-система) создается поставщиком, какая команда стоит за разработкой. Возможно, в открытом доступе будет информация о топ-менеджерах и учредителях. 

Приоритетной особенностью для покупателя является приобретение продукта, созданного одной компанией. Критично, чтобы программное обеспечение, направленное на максимизацию информационной безопасности, само по себе не представляло угрозу из-за утечки данных. 

Дело в том, жизненный цикл ПО состоит из нескольких этапов: от идеи, через проектирование, создание (разработку дизайна, кодирование, последующее тестирование) до внедрения с постпродажной поддержкой. Использование привлеченной силы в разработке через аутсорсинг и аутстаффинг IT-команд — быстрое популярное решение по расширению штата сотрудников. Однако при этом не всегда гарантируется 100 % качество этих услуг, и могут возникнуть дополнительные риски ИБ (атака на цепочку поставок). Желательно, чтобы все эти этапы закрывались силами одной компании-разработчика.

Наличие портфолио и реализованных кейсов по внедрению ПО

Хороший результат, если поставщик DLP-системы будет обладать большим опытом в разработке этого программного обеспечения, комплексом кейсов, которые уже на практике реализованы у клиентов и дали результаты в ИБ.

Признание в сфере IT

Исследуйте поставщика по параметру признания в сфере, узнайте, как конкурентные компании оценивают вендора. Можно просмотреть официальные сайты и социальные сети конкурентов: используют ли они этот продукт в своих сравнениях, на что негативное и позитивное обратили внимание. Изучите другие параметры: насколько популярно ПО в IT-сфере, попало ли оно в ТОП-листы, рекомендации смежных компаний, участие в специализированных форумах, лекциях, конференциях как специалистов сферы.

Техническая экспертиза и сертификация

Исследуйте официальные подтверждение экспертности компании. Если ли у поставщика ПО лицензии и сертификаты на осуществление деятельности по разработке, получила ли DLP-система сертификат качества от регуляторов отрасли, соответствует ли ПО международным и государственным стандартам качества (для ИБ применяются стандарты ISO/IEC 27001 — Системы менеджмента информационной безопасности (СМИБ), ISO/IEC 27002 — Практическое руководство по мерам информационной безопасности).

Отзывы клиентов

Перед выбором ПО постарайтесь получить реальные отзывы пользователей, компаний, которые уже внедрили в свой контур безопасности DLP-систему. Особенно будет полезен отзыв, если компания работает в смежной или такой же области.

Ценообразование

Затраты на покупку DLP-системы состоят из постоянных и разовых платежей. К разовым платежам относится сама покупка программного обеспечения у вендора, а также оплата всех этапов подготовки к установке ПО: аудит системы безопасности, выявление рисков, затраты на анализ рынка DLP-систем, покупка сопутствующего ПО и оборудования, затраты на обучение персонала. К постоянным затратам относится оплата техподдержки, оплата продления лицензий, расширение или снижение количества рабочих станций, администрирование системы и др.

В зависимости от принятой политики безопасности на предприятии, затраты на покупку и обслуживание DLP-системы могут составить от 10 до 50% процентов бюджета информационной безопасности.

Это основные факторы, влияющие на выбор системы.

Проведение оценочного аудита бизнес-процессов

Вся деятельность любой компании сводится в общем смысле к оптимизации и результативном выполнении всех бизнес-процессов, как основных, так и второстепенных. К основным процессам относится деятельность, которая является непосредственно производственной сферой компании (услуги либо изготовление продукции), а к второстепенным все сопутствующие процессы (бухгалтерская, кадровая, экономическая, юридическая деятельность, делопроизводство, обеспечение информационной безопасности и т. д.), то есть все процессы, без которых невозможно осуществлять основную деятельность.

Для настройки и конфигурирования DLP-системы важно понимать все процессы, которые осуществляются в компании, описать их, выделить причастных лиц, зону ответственности. Этот этап необходим:

  • Для настройки доступа пользователей к отдельным модулям и консолям системы.
  • Для настройки группы пользователей (при необходимости осуществления мониторинга группы сотрудников, которые отличаются от существующих структурных разделов компании).
  • При необходимости мониторинга сотрудников, не входящих в базу Active Directory.
  • При настройке индивидуальных параметров статистики активности и производительности пользователя.
  • При использовании отчетности в DLP-системах, для создания уникальных пользовательских отчетов, для определения приоритетности использования предустановленных отчетов.
  • Для определения потребности в автоматической выгрузке отчетов на дату, время и отправку выбранному заранее кругу лиц.
  • Для определения уровня критичности инцидентов безопасности для конкретного предприятия и присвоения соответствующего уровня риска.
  • Создания уникальных пользовательских правил, соответствующих бизнес-процессам предприятия или редактирования и адаптации уже существующих программных правил безопасности.
  • Управления нематериальными и материальными активами (программным обеспечением и оборудованием) и др. настройкам конфигурирования DLP-системы.

DLP-системы могут выполнять не только стандартные функции защиты информации и мониторинга сотрудников. Некоторые программные решения (см. описание SecureTower) имеют функцию аудита оборудования и программного обеспечения, установленного на рабочих компьютерах. Это вводится с целью предотвращения мошенничества с оборудованием сотрудниками. Понимание производственных и бизнес-процессов компании, в том числе в области аудита и управления программными ресурсами, поможет оптимизировать DLP-систему с максимальной пользой для предприятия.

Как видим, этап аудита процессов очень важен перед настройкой системы. Администраторы, которые будут устанавливать и настраивать функционал DLP, должны знать основы — процессы, для того, чтобы увеличить полезное использование нового ПО и обеспечить максимальную производительность продукта.

Проведение аудита рисков и потенциальных угроз безопасности

Аудит бизнес-процессов позволит перейти на следующий этап — аудит рисков безопасности и потенциальных угроз для компании. Этот этап необходимо осуществить перед установкой и настройкой DLP-системы. Главные вопросы, которые должны задать себе представители или ответственные за процесс сотрудники:

  1. Какая информация, относящаяся к компании, считается конфиденциальной? Где она хранится? Какие меры защиты применяются сейчас?
  2. Кто и в какой деятельности использует конфиденциальную информацию? Как осуществлялся выбор доверенных лиц? Как пользователи получают доступ к этой информации?
  3. Какие пути движения данных в компании используются чаще всего, какие не используются?
  4. Как осуществляется обмен информацией с внешними источниками? Есть ли зафиксированные прецеденты в области ИБ? Есть ли список недружественных контактов, источников связи?
  5. Как ранжировать инциденты информационной безопасности? Защиту от каких рисков считать первостепенной?

Каждая компания выбирает способ проведения аудита рисков и потенциальных угроз безопасности: проводить внутренними силами самого предприятия или пригласить стороннего подрядчика. Каждый способ имеет как свои плюсы, так и минусы. К плюсам  аудита собственными силами относится низкая себестоимость процесса (за счет имеющихся трудовых ресурсов), безопасность информации (данные об уязвимостях не вытекают за периметр компании), скорость проведения. Но при этом аудит своими силами может быть недостаточным из-за квалификации сотрудников, потери объективности восприятия информации. Второй способ дороже по стоимости реализации и может нести дополнительную нагрузку на информационную безопасность компании. Однако он более выгоден в плане привлеченной экспертности и профессионализма, непредвзятости оценки.

Подробнее можно прочитать в «Аудит информационной безопасности: что нужно знать». 

Проверка рисков — один из самых необходимых этапов подготовки к настройке DLP-системы. Именно понимание опасности помогает реализовать защиту, которую предоставляет система, адаптировать имеющиеся инструменты или создать новые, которые соответствуют запросам конкретного бизнеса.

Подготовка организационно-распорядительной документации компании, нормативно-правовая подготовка к установке DLP-системы

После подготовительных мероприятий аудита процессов и рисков, организации готовят нормативно-правовую базу для настройки и конфигурирования DLP-систем.

Необходимо знать, что DLP-система — это не средство слежки. У нее другие функции: предотвращение инцидентов безопасности, блокировка утечки информации, мониторинг эффективности сотрудников. Перечисленные выше пункты не прерогатива, а обязанность компании по хранению и использованию конфиденциальных данных, исполнению всех договоренностей в рамках трудовых отношений с сотрудниками. И установка DLP-системы обеспечивает выполнение следующих законов: 

  • Федерального закона № 152-ФЗ «О персональных данных» от 27.06.2006 г. Этот закон регулирует обработку персональных данных в России и устанавливает требования к защите этих данных, включая меры, которые могут быть выполнены с помощью систем DLP для предотвращения несанкционированного доступа и утечек информации.
  • Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. Устанавливает правовые основы информационной безопасности и использования информационных технологий, включая внедрение систем DLP для защиты конфиденциальной информации.
  • Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросу уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»  от 21.07.2014 г.. Этот закон вводит требования по локализации данных, хранению и обработке персональных данных граждан РФ на территории страны, которым должны соответствовать системы DLP.
  • Федерального закона № 149-ФЗ «О связи» от 07.07.2003 г.. Охватывает требования к обеспечению безопасности в области связи, что важно для систем DLP, управляющих передачей данных.
  • Приказа ФСТЭК России № 17 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 15.07.2018 г.. Определяет конкретные меры безопасности для защиты критической информационной инфраструктуры, которые могут включать системы DLP.
  • Постановления Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.. Предоставляет конкретные требования к защите персональных данных, включая организационные и технические меры, которые могут быть реализованы с помощью систем DLP.
  • Федерального закона № 230-ФЗ «Гражданский кодекс Российской Федерации, часть четвертая» от 18.12.2006 г.. Согласно ГК РФ Статья 1225 «Охраняемые результаты интеллектуальной деятельности и средства индивидуализации» утверждается список нематериальных средств и достижений, которым обеспечивается правовая охрана и утечка которых пресекается в том числе с помощью DLP-систем. 

Организационно-распорядительная документация компании, обеспечивающая правовое сопровождение DLP, также один из этапов настройки и установки системы. Сюда можно отнести:

  • Изменение политики безопасности, где фиксируется необходимость установки системы, основные задачи и функции, которые она будет выполнять в контуре безопасности информации.
  • Специализированные приказы о назначении зоны ответственности сотрудников, введении положения о конфиденциальности, режима коммерческой тайны, разграничение доступа к информации.
  • Создание руководства по информационной безопасности, описания технологических процессов введения и взаимодействия с DLP-системой.
  • Должностные инструкции отдела безопасности информации.
  • Дополнительные трудовые договоры, информирующие о мерах ИБ и закрепляющие персональную ответственность для сотрудников.

Отдельно необходимо выделить введение режима коммерческой тайны как этапа подготовки к установке и настройке DLP-системы.

Режим коммерческой тайны — это внутренняя установка компании, комплекс мер по обеспечению информационной безопасности внутри периметра предприятия. В рамках этого режима предприятие охраняет коммерческие данные от утечек и потери и вводит индивидуальную ответственность для сотрудников за действия, которые негативно отразятся на конфиденциальности.

Определение, какая информация относится к коммерческой тайне, требования к мерам по охране конфиденциальности информации и другие параметры установлены в Федеральном законе № 98-ФЗ «О коммерческой тайн» от 29.07.2004 г. (ред. от 14.07.2022 г.). Согласно ему, этапы внедрения этого режима должны включать:

  1. Определение перечня информации, составляющей коммерческую тайну. Это первый этап, который разграничивает информационное поле внутри предприятия на два сегмента: информация общего пользования и конфиденциальная. Именно на защиту конфиденциальной информации нацелен режим.
  2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка. Предприятие принимает комплекс мер по защите конфиденциальных данных, включая издание приказа о введении режима коммерческой тайны, который официально вводит этот статус в периметр компании, и установку мер обеспечения безопасного обращения с информацией, включая DLP-системы, которая является одним из основных видов тематического ПО.
  3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана. Аудит бизнес-процессов и рисков информационной безопасности помогает определить круг лиц, которым необходимо использовать конфиденциальные данные. Точный список поможет выстроить границы безопасности и внести необходимые изменения в настройку процессов ИБ, в том числе настройку DLP-системы.
  4. Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров. Новый режим коммерческой тайны на предприятии должен быть закреплен официально в отношениях сотрудник-работодатель. Это обеспечивается как общими документами (положение о коммерческой тайне), так и персональными соглашениями с сотрудниками.
  5. Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Оценка информационных ресурсов компании

Настройка и внедрение DLP-системы требует создания полной картины о движении информации в периметре компании. В предыдущих этапах были оценены процессы и риски ИБ, документально оформлено и введено положение о защите информации на предприятии. Следующий шаг — аудит и оценка информационных ресурсов, которые требуют защиты. На этом этапе определяется, что относится к информационным ресурсам, где хранится информация, кто имеет доступ и главное, что необходимо защищать.

Информационные ресурсы компании — это совокупность всех данных, которыми она обладает. Сюда принято относить научно-техническую, правовую, юридическую, бухгалтерскую, финансово-экономическую, отраслевую информацию (и другие виды в зависимости от сферы деятельности компании), архивные, библиотечные ресурсы и другие виды данных. 

Для настройки DLP-системы важно понимать приоритет защиты данных, какие информационные ресурсы содержат критически важную информацию, какие нет. Практически это помогает, например, установить метки конфиденциальности на особо важные файлы, контролировать и блокировать их отправку, обеспечить более точную настройку контентного и атрибутивного анализа, разграничить зоны доступа для сотрудников и др. функции.

Процесс установки DLP-системы

Современные DLP-системы рассчитаны на уменьшение трудностей при установке программного обеспечения, чтобы каждый клиент после покупки мог установить ПО самостоятельно, используя руководство или помощь техподдержки, если это необходимо. 

Для DLP-систем принята клиент-серверная архитектура, которая позволяет устанавливать ПО на разных серверах: как на физический, так на виртуальный сервер или группу серверов (в зависимости от количества единиц, которые будут устанавливаться). 

Для установки необходимо скачать и распаковать архив с дистрибутивом, полученным от поставщика DLP-системы. Большинство вендоров предлагает бесплатный тестовый период, поэтому сначала будет устанавливаться пробная триальная версия, а далее использование будет оплачиваться.

Для установки DLP-системы существуют минимальные системные требования, которые обеспечат работу программного обеспечения. Они касаются объема процессора, сетевых адаптеров, оперативной памяти и жесткого диска, версии операционной системы и так далее. Подробнее с требованиями на примере SecureTower можно познакомиться на тематической странице сайта.

Также необходимо заранее продумать систему хранения перехваченной информации (с использованием различных типов СУБД), как платных, так и бесплатных форм (например, Microsoft SQL, Oracle SQL, PostgreSQL (рекомендуемая СУБД для SecureTower), так и другие. Для расчета потребляемой памяти необходимо умножить количество рабочих станций с установленными DLP-системами на количество месяцев, в течение которых нужно хранить данные. В среднем, согласно подсчетам специалистов Falcongaze, необходимо около 2 Гб памяти на одну станцию в месяц.

Настройки и конфигурирование DLP-системы

Для начала следует понимать, что подход к настройке DLP-системы двусторонний. Для начала используется общая настройка работы всех элементов программы и централизованная установка системы через Консоль администратора.

Данная консоль позволяет в режиме реального времени мониторить состояние системы, управлять лицензиями и категоризатором, настраивать индивидуальные характеристики для агентов, управлять пользовательскими правами и привилегиями, добавлять для расширения функций поиска фото и изображения, получать отчеты о работе системы, устанавливать и изменять параметры по всем путям перехвата,  периодичность индексирования данных и многое другое. 

На примере SecureTower Консоль администратора состоит из модулей:

Мониторинг состояния

Данные о загрузке ЦПУ, оперативной памяти и месте на жестком диске, а также данные мониторинга состояния каждого из установленных компонентов, используемых системой (почтового сервера, сервера журналирования, инвентаризации, уведомлений и др.)

Центральный сервер

Это основной компонент программы, так как через него проходит весь пул перехватываемой информации, соединяет все компоненты системы, хранит перехваченную информацию, управляет лицензированием, настройкой распознавания текста, речи и печатей, авторизацией серверов и другими функциями.

Пользователи и привилегии

Используется для создания и редактирования карточек пользователей, добавления новых групп, прав доступа к DLP-системе, интеграции с системой учета с Active Directory, журналированием действий с карточками пользователей.

Агенты

В первую очередь обеспечивает дистанционную установку агента прямо из Консоли администратора, используя учетные записи из системы Active Directory. Также для настройки индивидуальных профилей агентов (всего ключевого функционала), получения системной информации об их работе, автоматического индексирования рабочих станций по списку из Active Directory, выбранным из схемы агентов или вручную, и другие функции.

Обработка почты

Модуль для взаимодействия с почтовыми серверами, перехвата почты, фиксирования внутренних почтовых серверов, введения доверенных почтовых адресов и списка правил фиксации.

Сервер ICAP

Предназначен для настройки режимов работы с прокси-серверами по

ICAP-протоколу для осуществления перехвата, а также фильтрации и блокировки сетевого трафика по протоколам HTTP и HTTP(S).

Модули Распознавание изображений и Распознавание речи

Модуль предназначен для настройки и расширенной настройки средств распознавания речи и изображений и получения статистики по осуществленным операциям этого типа.

Отчеты

Используется для получения статистики по обновлениям системы, по пользователям и настройки более точной статистики.

Политики безопасности 

Модуль дает сводную информацию по зафиксированным нарушениям правил безопасности, статусам инцидентов и их категориям в режиме онлайн. В Косноли администратора находятся в основном только настройки модулей Отчеты и Политики безопасности, а весь функционал модулей — в Консоли пользователя.

Сервер уведомлений

Используется для получения статистики и настройки уведомлений по протоколам SMTP и Syslog, которые используются в модулях Политики безопасности, Отчеты, Журнал событий и Агенты.

Журнал событий

Сервер  журналирования  событий  отвечает  за  мониторинг  состояния  всех  серверных компонентов  системы.  Настройки  сервера  позволяют  указать  компоненты,  которые подлежат   мониторингу,  а  также  настраивать  отправку  уведомлений   на   указанный адрес  электронной почты  в  случае  возникновения  событий  заранее оговоренного уровня.

Каждый из этих модулей используется для создания максимально персонифицированного перехвата и аналитики данных для конкретных компаний, использующих DLP-системы.

 

Настройки Консоли клиентов

Консоль пользователя (Консоль клиентов) используется для непосредственной визуализации всей деятельности по перехвату и анализу данных, идентификации пользователей и их действий в контуре предприятия, а также мониторинга и оценки сетевой и локальной активности сотрудников.

Представлена в виде модулей, каждый из которых обеспечивает полноценную работу с данными, перехватываемыми DLP-системой.

 

Общие настройки для Консоли клиента  (основные настройки) находятся на главной странице консоли и разделены на подразделы:

Основные настройки

Касаются улучшения визуализации (можно настроить формат открытия документов в новой вкладке, ширину столбцов в списке результатов, масштаб отображения содержимого консоли, использование анимации в интерфейсе и др.), точности отображения индивидуальных параметров (определять имя компьютера по IP-адресу, формат отображения имя пользователя) и индивидуальные пожелания по настройке (выбор темы, часовой пояс др. региона) и так далее. 

 

Настройки просмотрщиков (загрузка недостающих значков сайтов, минимальное число веб-страниц, минимальный размер документа и др.).

Ассоциации просмотрщиков (выбор расширения и плагина для просмотра (просмотрщик-DJVU-документов, просмотрщик DOC-документов, просмотрщик изображений, мультимедиа, файлов с исходным кодом и др.).

 

 

Также в левом верхнем углу доступны дополнительные возможности адаптации пакета SecureTower к индивидуальному использованию и сведения о самой программе: настройка языка программы, список последних документов, панель инструментов, руководство пользователя, о программе и др.

Кроме этого, в каждом из модулей есть возможность дополнительной настройки DLP-системы. Необходимые параметры поиска, экспорт и импорт информации, возможность сохранения и настройки отображения Конструктора дела (для модуля Активность пользователей), визуализация параметров отображения и др.

Чьими силами осуществляется настройка и конфигурирование DLP-системы

Как правило, во время покупки программного обеспечения оговаривается, чьими силами происходит настройка и конфигурирование DLP-системы. Эти функции могут входить в стартовый пакет при покупке ПО, а также могут оплачиваться отдельно, если это необходимо опытному пользователю. 

В стандартном представлении настройкой и конфигурированием DLP-системы занимается компания-вендор удаленно, находясь в контакте с покупателем. В частных случаях можно запросить вызов специалистов на предприятие, однако это скорее частные примеры, чем распространенная практика.

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально опасных сотрудников
  • Ведение архива бизнес-коммуникации