Dlp контроль что это
DLP и Закон: как правильно оформить внедрение системы для защиты от утечек
Сегодня хотелось бы еще раз поднять такую важную тему, как легитимность внедрения систем для защиты от утечек информации. Прекрасно, когда компания задумывается о сохранности своих информационных активов и внедряет DLP-решение. Но если этому внедрению не сопутствует юридическое оформление, часть функций DLP просто «отваливается». Компания не сможет использовать данные DLP в суде против сотрудника, виновного в разглашении конфиденциальной информации (а может и пострадать от иска самого сотрудника, например). Сегодняшний небольшой материал рассказывает, как этого избежать и где «подстелить солому».
В соответствии с ТК РФ, 98-ФЗ, 152-ФЗ и пр., функционирование DLP в организации включает несколько аспектов, требующих юридического оформления. Сразу оговоримся, что список документов, который мы даем ниже, несколько избыточен. Если каких-то регламентов у вас нет, это может быть не смертельно. Но у нас за годы работы в этой сфере сложилось мнение, что сопроводительных документов много не бывает, особенно если компании предстоит судиться с сотрудником, «слившим» конфиденциальные данные.
Еще один важны момент – большинство регламентов и положений требует подписи сотрудника, который либо выступает в качестве одной из сторон соглашения, либо подтверждает ознакомление с содержанием документа. Поэтому к работе над юридическим оформлением внедрения DLP необходимо привлекать HR-отдел и, естественно, юристов.
Информация ограниченного доступа
Прежде всего, надо понимать, что конфиденциальными данными является не то, что компания хотела бы держать в секрете, а то, что формально закреплено в качестве информации ограниченного доступа. К информации ограниченного доступа относятся персональные данные, коммерческая, служебная, профессиональная тайна, сведения о сущности изобретения и пр. Поэтому первым шагом компания должна определить и документировать перечень информации ограниченного доступа, с которым сотрудники должны быть ознакомлены под роспись. Документы, которые понадобятся на данном этапе:
Разглашение информации ограниченного доступа
Теперь, когда мы выяснили, какую информацию будем защищать, и кто имеет к ней легитимный доступ, можно перейти непосредственно к вопросам ее возможного разглашения. В первую очередь, необходимо сформировать документы, в явном виде запрещающие разглашение сотрудниками информации ограниченного доступа, ставшей им известной в связи с исполнением трудовых обязанностей. Такой запрет должен быть прописан в документах двух типов: общие регламенты компании и документах, касающихся режима защиты информации.
Далее, как мы понимаем, запрет ничего не стоит, если не прописана ответственность за его нарушение. Лица, разгласившие информацию ограниченного доступа, могут привлекаться к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в порядке, установленном законодательством Российской Федерации. И, в частности, напомню, что разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, является основанием для увольнения сотрудника по инициативе работодателя (ТК РФ, статья 81, пункт 6в).
Правила обработки/защиты информации и использование средств мониторинга
Следующим шагом необходимо составить локальные нормативные акты, определяющие правила обработки и защиты информации ограниченного доступа. Сотрудники должны быть ознакомлены с ними под роспись, и мы рекомендуем компаниям хранить копии журналов ознакомления.
Сотрудники должны знать (т.е. опять-таки расписаться в ознакомлении), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга.
Также не лишними будут следующие документы:
Личная информация на корпоративных ресурсах
Отдельно должны быть прописаны все правила, касающиеся личной информации сотрудников, ее хранения и передачи с использованием корпоративных ресурсов.
Подразделение информационной безопасности
Обязанности безопасников тоже должны быть регламентированы и прописаны в положении о подразделении ИБ и должностных инструкциях его сотрудников. Как минимум, в список входят контроль соблюдения правил обработки и защиты информации ограниченного доступа и реагирование на инциденты информационной безопасности.
DLP-система
Как заставить DLP-систему работать
DLP-системы завоевали определенное место на рынке средств защиты информации от утечек. Однако споры об их эффективности не умолкают. Причина — не только в завышенных ожиданиях, сформированных вендорами, но и в том, что каждая сложная система требует адекватной настройки.
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP-системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор»». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5–6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
Рекомендуем режим блокировки подключать лишь на правила, которые в 100 % случаев являются истинными утечками. При условно-ложных срабатываниях рекомендуется подключать режим фиксации инцидентов.
5. Проверить, введен ли режим коммерческой тайны
Режим коммерческой тайны дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Защита данных от утечки
Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»
DLP и рекомендации ФСТЭК по защите информации: пересекающиеся параллели
11 февраля 2014 года ФСТЭК России утвердила методический документ «Меры защиты информации в государственных информационных системах». Этот документ применяется для «выбора и реализации в отношении информации, не относящейся к гостайне и содержащейся в государственных информационных системах (ГИС), мер защиты, направленных на обеспечение конфиденциальности, целостности и доступности информации». Регулятор рекомендует применять данный документ для защиты информации как в ГИС, так и в негосударственных информационных системах, в том числе для обеспечения безопасности ПДн.
В документе указаны рекомендуемые меры защиты информации с отсылкой к определенным классам систем, например, таким как средства аутентификации, антивирусы, IDS/IPS и др. При этом регулятор напрямую не указывает на необходимость применения систем защиты конфиденциальных данных от утечек (DLP). Однако эти системы позволяют выполнить такие требования, как обеспечение конфиденциальности, целостности информации, передаваемой из информационной системы, регистрация событий безопасности и др.
Итак, где же можно найти точки пересечения двух, на первый взгляд, параллельных друг другу явлений – регуляторики и защиты от утечек? Подробности под катом.
Для начала скажем пару слов о назначении DLP-систем. Внедрение DLP преследует следующие базовые цели:
Несмотря на то, что DLP-системы не относятся к обязательным для использования средствам защиты информации, продукты данного класса способны обеспечить необходимую функциональность для реализации ряда мер, рекомендуемых ФСТЭК в вышеупомянутом документе.
Обеспечение целостности
«ОЦЛ.5 — Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы».
Неправомерная передача защищаемой информации. Выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования и реагирование на них.
Данная процедура реализуется с помощью разделенного функционала по двум составляющим DLP в зависимости от используемых каналов связи:
Неправомерная запись на съемные носители. Выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них.
Контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах.
Выявление фактов хранения конфиденциальной информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).
Обозначенные меры можно реализовать с помощью функциональности сканирования файловых хранилищ, которая с разной степенью проработанности реализована во всех продвинутых DLP-системах. Эта функциональность позволяет проводить инвентаризацию содержимого как на файловых/облачных хранилищах и локальных жестких дисках, так и на почтовых архивах.
Сканирование файловых хранилищ выявляет конфиденциальные данные и нарушения правил их хранения с помощью следующих механизмов (список может варьироваться в зависимости от системы):
Регистрация событий безопасности
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.
Сбор, запись и хранение информации о событиях безопасности в течение основного времени хранения.
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.
Не все DLP-решения способны отображать факт и время аутентификации пользователей в информационных системах, а также информацию о предоставленных пользователям правах. Но большинство позволяет настраивать запрет запуска определенных приложений и осуществлять контроль действий пользователей при работе в различных информационных системах. В продвинутых DLP-системах, как правило, реализована расширенная градация событий по уровню их критичности, до 4-5 уровней. Это очень удобно для профилирования событий, формирования отчетов и сбора статистики. После анализа данных событий специалист по информационной безопасности, работающий с системой, принимает решение о том, имел ли место инцидент ИБ.
Благодаря сохранению всех событий в базе данных DLP-системы, при обновлении политик можно провести ретроспективный анализ и расследование.
Защита ИС, ее средств и систем связи и передачи данных
Вернемся к базовым целям, стоящим перед DLP-системами. По зрелому размышлению становится очевидным, что для их достижения важна не только возможность сбора и консолидации различного рода логов, но и защита накапливаемых данных при их передаче/обработке и хранении. Собственно, речь идет о том самом понятии неотрекаемости при создании, отправке и получении информации, о которой мы подробно рассказывали в предыдущей статье. Подойти к выполнению этой меры можно с разных сторон. Реализации некоторых DLP-систем подразумевают использование для обеспечения «неотрекаемости» лишь дополнительных коммерческих СЗИ и СКЗИ. Другие же позволяют применять и стандартные возможности операционной системы. Рассмотрим, на что можно опереться, например, в ОС CentOS и БД PostgreSQL:
В нашем следующем материале мы расскажем о применимости ключевых DLP-систем по составляющим модулям к рекомендациям американского стандарта NIST US.
Контроль данных в покое с помощью DCAP-системы
Что не так при контроле данных в покое с помощью DLP?
Как правило, DLP-системы обладают механизмом eDiscovery для работы с данными в покое. В «СёрчИнформ КИБ» за данное направление отвечает модуль под названием «Индексация рабочих станций» (ИРС). Он хорош, но для своей задачи.
Задача eDiscovery – найти конфиденциальное содержимое. Просто найти. Не выявлять подробности о правах доступа или действиях с этой информацией. В этом и есть разница. Но у ИБ-специалистов возникают задачи не просто точечного поиска документов. Нужно выявить всех сотрудников, которые имеют доступ к файлам, определить, какие были внесены последние изменения, какие редакции критичных файлов сохранены и т.п. И здесь в дело должен вступить DCAP.
Коротко о DCAP
Пора расшифровать аббревиатуру, уже примелькавшуюся в тексте. DCAP-системы (Data-Centric Audit and Protection) предназначены для автоматизированного аудита данных в файловой системе, поиска нарушений прав доступа и отслеживания изменений в критичных документах.
В основном DCAP-системы по Gartner должны концентрироваться на следующем:
FileAuditor. Прошлое
Задумываясь о новом продукте в начале 2018 года, мы ставили такие задачи для альфа-версии:
Первым делом в нем задаются объекты интереса. Ими могут выступать как расширение файла (определяется по имени либо по сигнатуре), так и место. Если задавать несколько условий, система будет объединять их по логическому «И».
Как видно из скриншота, система поддерживает маски.
Следом работа перетекает на вкладку «Условия поиска». Их также можно объединять. Здесь задаются условия по содержимому файла, ведь важно найти не все подряд файлы, а файлы с определённым содержимым. Например, с грифами.
И здесь ключевую роль играют аналитические возможности. На момент выхода в публичный релиз в августе 2019 года мы поддерживали 3 вида поиска:
Поиск по тексту
Это полноценный фразовый поиск с кучей «примочек».
Можно искать фразу как с учётом морфологии, так и по точному совпадению. Либо по маске. Порядок слов, транслит, опечатки – все эти опции призваны помочь создать максимально точный поисковый запрос и упростить контроль версий документов.
Отдельно хотелось бы отметить опцию поиска по последовательности символов, которая позволяет искать по неиндексированной информации (например, по символам №, @, \, /, “ и прочим). В итоге, лёгким движением рук можно отыскать все копии и версии какого-нибудь важного договора.
Если бы при формировании запроса мы оставили только «Договор №135\», система бы нашла все документы, содержащие эту последовательность.
Поиск по атрибутам файла
На данный момент доступен поиск по 4 атрибутам:
Тем самым, можно сфокусироваться не только на содержимом файла, но и на его «свежести». Например, искать только новые документы.
Пример хоть и абстрактный, но показывает, что при желании систему можно настроить на анализ данных весьма точечно.
Закономерно мог возникнуть вопрос: что будет, если придёт Ди Каприо и скажет «We need to go deeper»?
Всё будет в порядке. Поиск по атрибутам работает для любой вложенности, поэтому «счётчик уровней» в качестве отдельной опции добавлять не стали.
Поиск по регулярному выражению
Хорошо подходит для поиска структурированной информации. То есть таких данных, которые созданы по определённым правилам. Например, номер паспорта, номер телефона. Или локально придуманное только для вашей организации правило.
Регулярное выражение из скриншота выше ищет документы, содержащие слово «Изделие» (и его различные формы), затем допускается несколько «неучитываемых» символов. А следом обязательно должны быть 2 большие буквы из русского алфавита, 4 цифры и (опционально) одна маленькая буква. Тем самым, с помощью одного правила находим все вариации: и «Изделие ЛО3456х», и «Изделия АР1111».
Таким был путь от задумки в начале 2018 года. К августу 2019-го состоялся официальный релиз.
FileAuditor. Настоящее
Сперва пару слов о доработках, которые были выполнены к релизу.
FileAuditor – самостоятельный продукт, который не конфликтует со сторонними системами. При этом он хорошо и бесшовно интегрируется с «СёрчИнформ КИБ».
Поддержаны и «агентский», и «сетевой» режимы работы. Как и в случае с DLP, у каждого из режимов есть свои плюсы и минусы. Так, агент может работать только с семейством Windows. В то же время многие хранилища работают на других ОС. И здесь на помощь приходит «сетевой» режим, для которого ни ОС, ни файловая система не важны. Важно лишь, чтобы служба могла «достучаться» до файлов по SMB. Также в сетевом режиме работы есть возможность взаимодействия с облачными сервисами хранения (Dropbox, Яндекс.Диск и др.), базами данных, системами документооборота и другими объектами ИТ-инфраструктуры.
Добавлена понятная статистика по сканированию. Чтобы наглядно было видно, чем сейчас заняты агенты и сетевая служба.
Можно задавать как общие правила анализа данных, так и персональные для отдельно взятой машины.
Добавился новый вид поиска – поиск по словарю, когда в файле ищется упоминание определённого количества слов.
Итак, правила заданы, службы запущены. Пора взглянуть на результаты работы. Видны они в Консоли аналитика.
Рабочее пространство состоит из четырёх блоков:
Режим «Только текст» показывает обработанный (проиндексированный) файл. Главная польза заключается в том, что система подсвечивает те места, по которым произошла сработка, и позволяет быстро «перескакивать» от одной сработки к другой. Актуально для больших многостраничных документов.
Сравните сами. Без подсветки:
Сразу понятно, куда смотреть.
Если документ подпадает сразу под несколько правил, в режиме «Только текст» можно переключаться между результатами и смотреть, что «подсветилось» по каждому.
Тем самым получаем обратную связь от системы для доработки правил аудита данных.
Режим «Операции» позволяет просматривать все операции, совершённые с файлом. Удобно, когда надо восстановить хронологию действий с документом.
Ну и куда без прав доступа. Пригодится для наведения порядка.
Интеграция с «КИБ» даёт FileAuditor’у дополнительные преимущества. По любому из файлов можно поискать файл в перехвате DLP-системы, а также сформировать по файлу контентный маршрут. Последний позволяет установить не только «нулевого пациента», с которого начал распространяться файл, но и всех «контактировавших» с этой информацией.
Для дополнительной автоматизации также есть интеграция с AlertCenter. Этот продукт входит в состав КИБ и отвечает за автоматическую проверку перехваченной информации по заданным поисковым запросам.
Этот симбиоз даёт больший простор для автоматизации. Из простого и очевидного: можно настроить получение уведомлений, если под правила FileAuditor’а попали новые файлы.
Из более весёлого: AlertCenter позволяет к каждому созданному поисковому критерию подцепить выполнение внешнего скрипта. То есть в случае инцидента, система может отдавать определённые параметры скрипту, который даёт команду на запуск ядерных ракет.
FileAuditor. Будущее
Очевидно, что продукту есть куда расти. И планы развития как минимум на пару лет уже расписаны. По понятным причинам приводить их здесь не хочется, чтобы не скатываться в продажи воздуха. А вот то, что уже оттестировано в боковых ветках и лишь ждёт намеченного часа, чтобы влиться в основной релиз, глянуть можно.
Самая значительная переработка коснулась поиска по регулярным выражениям. Одна донельзя неинформативная строчка превратилась в полноценный редактор. Есть и пояснения используемых квантификаторов, и область проверки. Добавили возможность создавать сложные регулярные выражения, состоящие из нескольких «простых».
Помните ранее в статье упоминалось, что FileAuditor ставит на файл «служебную» метку. Очень скоро настанет её звёздный час. На основе расставленных меток в «КИБ СёрчИнформ» можно будет создавать правила блокировок. Это значит, что передачу информации DLP сможет блокировать на лету по любым каналам, не нагружая при этом агент.
Что ж, хоть пост и получился объёмным, в нём нашли отражение далеко не все вопросы. Поэтому перечислим наиболее часто встречающиеся из них в блиц-формате вопрос-ответ.
1. Сильно тормозит машину?
Нет. Можно настроить так, чтобы сотрудник не почувствовал неудобств (проверка по расписанию, проверка только если загрузка ЦП меньше N%, проверка только в отсутствии активных сессий и т.д.)
2. Сколько места занимает перехват?
Может вообще не занимать, если вы включили только аудит данных. Если вы включили аудит и теневое копирование, то только тогда файлы, подпадающие под правила, будут копироваться в хранилище. В FileAuditor реализована система дедупликации. Если файл «разлетелся» по сети, то в хранилище будет лежать только один файл, а не 50 копий.
3. В каком виде хранится перехваченная информация?
Все теневые копии передаются и хранятся только в зашифрованном виде.
4. Хранилище обязательно должно быть на том же сервере, что и остальная часть системы?
Нет. Можно указать любую сетевую папку, если вам надо.
5. Как долго идёт сканирование?
Принципиальный момент, первое ли это сканирование. Напомним, после первого сканирования агент уже фиксирует изменения и новые файлы. Если файл не менялся, агент это видит и не тратит на него время. Если же брать конкретные цифры, то на реальном тесте у клиента 70 ТБ в первый раз система индексировала порядка 10 дней. Второе сканирование этого же объёма заняло порядка 30 минут.
6. Со всеми форматами работаете?
Да (на самом деле нет). Зависит от самого правила. Если надо проверять содержимое файла, то мы ограничены теми форматами, которые на данный момент поддерживает SearchServer (порядка 150). Если же надо контролировать атрибуты (например, дата создания\изменения файла), то формат любой.
UPD Составили документ в формате howto про аудит данных в компании, скачать можно у нас на сайте.