Защита конфиденциальной информации (КИ) является неотъемлемой частью бизнес-процессов любой организации. К такой информации можно отнести коммерческую тайну, производственные секреты, ноу-хау, персональные данные и служебную информацию. Защита этих данных и доступ к их использованию регламентированы действующим законодательством Российской Федерации. Такая информация является ценным ресурсом для любой организации и поэтому должна подлежать защите. Для обеспечения защиты КИ в организации может быть внедрена система предотвращения утечки данных (с англ. data leak prevention, DLP-система). DLP-система – инструмент предотвращения утечек КИ из информационной системы организации за пределы защищаемого периметра, обнаружения и устранения угроз.
На Российском рынке представлены различные решения DLP-систем отечественных вендоров, рассчитанные на любой бюджет, что, в свою очередь, может позволить организациям, намеренным внедрять такие системы, выполнить требования Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Некоторые DLP-системы имеют сертификаты соответствия требованиям по безопасности информации Федеральной службы по техническому и экспортному контролю, а также сертификаты Министерства обороны Российской Федерации на отсутствие не декларированных возможностей.
Главной целью внедрения и использования DLP-системы является повышение общего уровня информационной безопасности (ИБ) организации за счет своевременного выявления и, при необходимости, блокирования неправомерной передачи КИ по различным каналам связи, а также минимизация возможного ущерба для организации от неправомерных или ошибочных действий работников при взаимодействии с информационным ресурсами организации.
Внедрение DLP-системы может помочь ответственным работникам за обеспечение ИБ в организации решать следующие задачи:
- контролировать обработку КИ на серверах и автоматизированных рабочих местах (АРМ), выявлять факты хранения КИ на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы);
- выявлять факты неправомерного копирования КИ, записи на съемные носители информации, передачи по открытым каналам связи и обеспечивать незамедлительное реагирование на них;
- выявлять факты неправомерного вывода на печать документов, содержащих КИ, и обеспечивать незамедлительное реагирование на них;
- обеспечивать контроль распространения КИ внутри организации в случае, если работник находится на удаленной работе;
- выявлять факты обработки информации, свидетельствующей о незаконной деятельности работников, коррупции или злоупотреблении служебными полномочиями;
- обеспечивать контроль нецелевого использования ресурсов организации;
- выявлять информацию, недопустимую в процессе эксплуатации ИТ-инфраструктуры организации.
- выявлять нелояльных работников организации;
- обеспечивать прогнозирование возможных рисков в ИБ на основе поведенческого анализа;
- обеспечивать архивирование и хранение информационных сообщений и файлов данных.
Принцип работы DLP-системы может заключаться в:
- осуществлении передачи информации через сетевые каналы передачи данных (web-сервисы, почтовые и файловые сервера, сервисы мгновенных сообщений), через сетевой шлюз и контролироваться модулем сетевого перехвата, который также передает перехваченные данные на сервер. Если при обработке передаваемых данных была выявлена КИ и система классифицировала эту передачу как инцидент ИБ, автоматически срабатывает режим защиты, и запускается процедура реагирования на инцидент, например, происходит блокирование передачи информации, оповещение приходит работникам, ответственным за обеспечение ИБ в организации. Информация об инциденте ИБ вместе с копией перехваченного документа может сохраняться в самой DLP-системе;
- осуществлении контроля печати и копирования документов на съемные машинные носители, а также контроле портов и подключаемых устройств. Программные агенты DLP-системы, установленные на АРМ, контролируют локальные процессы обработки информации;
- контроле хранящейся КИ на серверах и АРМ путем сканирования и применения политик безопасности к хранящейся информации;
- визуализации процесса расследования инцидентов ИБ в виде графиков;
- контроле рабочего времени;
- установке дополнительного программного обеспечения, предназначенного для поиска КИ на общих сетевых ресурсах, АРМ, серверах и в хранилищах документов.
Для определения событий ИБ в DLP-системе настраиваются политики безопасности. Разработка политик безопасности DLP-системы осуществляется ответственным работникам за обеспечение ИБ в организации на основании следующих сведений:
- об объектах защиты;
- о потенциальных каналах утечки информации, подлежащих контролю DLP-системой;
- об уровне критичности инцидентов ИБ, связанных с утечкой КИ;
- о потенциальных нарушителях.
Деятельность по обнаружению и регистрации инцидентов ИБ основывается на результатах проводимого в организации мониторинга ИБ, в рамках которого осуществляется сбор информации о событиях ИБ и иных данных мониторинга, свидетельствующих о возможном возникновении инцидента ИБ.
DLP-система выявляет события и инциденты ИБ, используя следующие механизмы анализа:
- проверка файлов, находящихся в корпоративной сети (сетевых папках, локальных дисках, АРМ) организации;
- контроль входящего/исходящего трафика;
- лингвистический анализ текста сообщений и документов;
- контроль доступа к периферийным устройствам;
- контроль операций копирования на периферийных устройствах, сетевых подключений вне корпоративной сети организации;
- контроль снятия снимков экрана с возможностью последующей блокировки;
- выявление регулярных выражений / ключевых слов;
- контроль печати документов;
- сканирование файлов без установки клиентского программного обеспечения;
- применение политик безопасности;
- анализ формата (типа) файлов;
- интеграция со службой каталогов;
- детектирование выгрузок из баз данных;
- выявление текстовых объектов по определенной структуре;
- анализ и распознавание текста;
- построение графа связей между работниками организации.
Мониторинг и выявление инцидентов ИБ может осуществляться посредством:
- автоматического оповещения DLP-системой о нарушении политик безопасности;
- формирования в автоматическом и ручном режимах ответственными работниками за обеспечение ИБ в организации в DLP-системе мониторинга запросов с помощью задания поисковых запросов, основанных на критериях отбора событий ИБ посредством выбора нужных параметров или их комбинаций.
Ответственным работником за обеспечение ИБ в организации по факту выявления события ИБ путем анализа может проводиться первичная оценка события ИБ на наличие нарушения, при которой он может либо подтвердить, либо не подтвердить факт нарушения политик безопасности DLP-системы.
При работе в DLP-системе может быть предусмотрена возможность определения типа критичности инцидента ИБ:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки работников при обработке КИ;
- несоблюдение требований локальных нормативных актов организации, рекомендаций по ИБ;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
Тип критичности инцидентов может определяться на этапе внедрения DLP-системы или в процессе ее эксплуатации.
Как правило, все события ИБ находятся в базе данных DLP-системы с возможностью выгрузки отчетности.
Кратко рассмотрев принцип работы DLP‑систем, можно сделать вывод, что благодаря возможностям DLP-систем снижаются риски утечки КИ из-за неправомерных действий работников организации, совершенные как целенаправленно, так из-за халатности, невнимательности или незнания локальных нормативных актов, регулирующих ИБ в организации. Также, такие системы упрощают деятельность работников ответственных за обеспечение ИБ в организации, помогая охватывать и обрабатывать большой объем информации за короткий промежуток времени, что, в свою очередь, позволяет выявлять инциденты ИБ и оперативно реагировать на них.