Применение DLP-систем, как инструмент обеспечения информационной безопасности компании

Тимченко Г.В.
выпускник группы МВА CISO-01
Школы IT менеджмента
РАНХиГС при Президенте РФ

Данная работа рассматривает информационные активы Компании и их уязвимости при различных типах угроз. В случаи реализации угроз Компания несёт убытки не только финансовые, но и опасности подвергается репутация компании, что ставит под сомнение её дальнейший успех.

В рамках дипломного проекта рассматривается объект, использующий в процессе документооборота информацию, являющуюся коммерческой тайной. Таким образом, можно сделать вывод, что данный объект подлежит анализу на соответствие требованиям законодательства, и в случае не соответствия – подлежит модернизации.

Предметом исследования является защита от утечки конфиденциальной информации из Компании.

Актуальность работы связана с увеличивающимся количеством утечек информации в организациях и необходимостью защиты от таких утечек. Эти задачи выполняют так называемые DLP – системы.

Целью проекта является повышение уровня защищённости системы информационной безопасности в ООО «ХХХ».
Задачи дипломного проекта:

• Исследование понятия «информационная безопасность»;
• Классификация каналов утечки информации;
• Описание общих мероприятий по обеспечению информационной безопасности;
• Анализ особенностей DLP-систем и их места в системе информационной безопасности компании;
• Проведение сравнительного анализа DLP-систем;
• Разработка организационных мер по защите информации;
• Описание реализации проекта.

Гипотеза работы заключается в том, что при существующем положении дел после внедрения программного комплекса по защите от утечек информации количество таких утечек резко сократится либо вообще прекратится.

В первой главе рассмотрена задача построения информационной безопасности, для решения которой проводится характеристика информационной системы предприятия, угроз ИБ, и выдвижение требований к системе защиты информационной безопасности.

При этом, под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Далее рассматривается комплекс методов, применяемых для решения задачи защиты информации. Данный комплекс включает в себя: организационные, инженерно-технические, технические и программно-аппаратные методы.

Организационные методы направлены на исключение возможности тайного проникновения на территорию объектов Компании посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников, создание отдельных зон с самостоятельной системой доступа, ознакомление и изучение сотрудников, их обучение работе с защищаемой информацией, ознакомление с мерой ответственности за разглашение, контроль за действиями персонала, проведение расследований нарушений установленных правил.

Инженерно-технические методы ориентированы на оптимальное построение зданий, сооружений, сетей инженерных и транспортных коммуникаций Компании с учетом требований обеспечения безопасности информации.

Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и ориентированы на устранение угроз, связанных с действиями внешних антропогенных источников угроз по добыванию информации незаконными техническими средствами.

Программно-аппаратные методы нацелены на устранение проявления угроз, непосредственно связанных с процессом обработки и передачи информации в информационных системах.

Система обеспечения безопасности информации (СОБИ) представляет собой практическую реализацию на объекте защиты комплекса методов, способов и приёмов противодействия возможным деструктивным воздействиям при реализации значимых угроз.

Во второй главе затрагиваются общие вопросы работы DLP-систем, их роль и особенности применения, проведён сравнительный обзор существующих программных продуктов.

Существующие DLP-системы обеспечивают контроль над распространением конфиденциальной информации за пределы предприятия по всем доступным каналам. DLP-решения (Data Loss Prevention) предотвращают несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы Компании, пересохранение в альтернативные директории и т.д.) через контроль:

• отправки корпоративной и web-почты (mail.ru, gmail.com и т.п.);
• ftp-соединений;
• передачи мгновенных сообщений (ICQ, MSN, AOL и т.п.);
• печати документов на принтере;
• использования внешних USB-накопителей, CD/DVD, мобильных устройств;
• локальных соединений – Bluetooth, WiFi и т.п.

Основные преимущества систем DLP перед альтернативными решениями – продуктами шифрования, разграничения доступа, контроля доступа к сменным носителям, архивирования электронной корреспонденции, статистическими анализаторами – это:

• контроль над всеми каналами передачи конфиденциальной информации в электронном виде (включая локальные и сетевые способы), регулярно используемыми в повседневной деятельности;
• обнаружение защищаемой информации по ее содержимому (независимо от формата хранения, каналов передачи, грифов и языка);
• блокирование утечек (приостановка отправки электронных сообщений или записи на USB-накопители, если эти действия противоречат принятой в компании политике безопасности);
• автоматизация обработки потоков информации согласно установленным политикам безопасности (внедрение DLP-системы не требует расширения штата службы безопасности).

Основное назначение DLP — обеспечивать защиту от случайного или намеренного распространения конфиденциальной информации со стороны сотрудников, имеющих доступ к информации в силу своих должностных обязанностей. Но, помимо того, любая DLP может быть настроена и для борьбы со злонамеренными инсайдерами.

Тем не менее, DLP не могут в прямом смысле предотвратить все утечки, поскольку существуют человеческий фактор, хакерские способы обхода системы. Коммерческая целесообразность данных систем заключается в значительном снижении рисков утечки информации по неосторожности и в частичном снижении рисков преднамеренной кражи конфиденциальных сведений.

Третья  глава посвящена устранению недостатка в системе информационной безопасности предприятия, а именно описанию структуры используемой DLP-системы и внедрения программного-аппаратного комплекса для защиты информации компании.

Одной из основных организационных мер по защите информационной безопасности будет добавление в штат Компании специального сотрудника, отвечающего за разработку, внедрение и выполнение мер информационной безопасности. В качестве альтернативы, возможно наделение уже работающего сотрудниками вышеуказанными функциями.

Кроме того, в рамках организационного направления работ создаётся комплексная система защиты информации (КСЗИ), т.е. совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм её представления.

КСЗИ включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом, при создании подразделения, ответственного за защиту информации (СОК), при обучении и консультации сотрудников СОК, работы по уточнению требований к характеристикам защищённости системы, анализ информационной структуры, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.

Для развёртывания системы защиты информации потребуется установка программного комплекса на специально выделенный сервер. При этом обеспечивается такая конфигурация сети, сетевого оборудования, что весь трафик организации перенаправляется через элементы данного комплекса. Каждый элемент выполняет свои функции по анализу трафика, выделяя неразрешенный или опасный.

В дипломном проекте рассмотрено существующее положение с защитой информации в компании ООО «ХХХ» и сделан вывод, что используемых мер и средств недостаточно.

В качестве основного средства повышения информационной безопасности предлагается использовать семейство программных комплексов защиты информации в составе:

• Zgate — сетевая DLP-система для защиты от утечек корпоративной информации;
• Zlock — система, обеспечивающая  предотвращение утечек конфиденциальной информации через периферийные устройства;
• Zdisk – средство защиты от НСД для  рабочих станций.

Предлагаемый комплекс мероприятий позволит вывести обеспечение информационной безопасности обрабатываемой и передаваемой информации на качественно новый уровень.

Дальнейшее совершенствование системы защиты информации предполагается развивать в направлении конвергенции различных областей информационной безопасности, в частности в следующих направлениях:

• непрерывной модернизации системы защиты информации;
• строгом выполнении и контроле мероприятий разработанной политики  безопасности;
• создании понятия неотвратимой ответственности за нарушение требований политики безопасности у сотрудников предприятия;
• ужесточении требований, предъявляемых к персоналу;
• внедрении современных программных комплексов защиты информации.