Разработка методологии и внедрение Автоматизированной системы защиты конфиденциальной информации Общества от внутренних злоумышленников, выявление в потоке данных документов и сведений, составляющих коммерческую тайну и предотвращение их утечки

Потехин В.П.

Выпускник группы CISO-09

Школы IT-менеджмента

РАНХиГС при Президенте РФ

1. В дипломной работе рассматривается процесс построения автоматизированной системы для использования службой безопасности дочернего зависимого общества крупной российской телекоммуникационной компании, основными задачами которой является системная интеграция и выполнение полного цикла работ при реализации сложных инфраструктурных проектов в интересах государственных органов и корпоративных Клиентов.

Основнаязадача компании – эксплуатация и развитие инфраструктуры электронного правительства. В настоящий момент компания выполняет комплексные работы по созданию Единой биометрической системы, разработку и сопровождение сегментов Единой государственной информационной системы в сфере здравоохранения, автоматизацию региональных и муниципальных органов исполнительной власти, создает решения для коммерческих организаций для информационного взаимодействия с Системой межведомственного электронного взаимодействия и Единой системой идентификации и аутентификации, занимается развитием системы Доверенного электронного документооборота в интересах заказчиков материнской компании. По заказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации и Центральной избирательной комиссии Российской Федерации разработана услуга «Мобильный избиратель», реализованная на Едином портале госуслуг и в мобильном приложении «Госуслуги». В компании работают более 600 специалистов. Компания имеет широкую географию присутствия в России: основной офис расположен в Москве, обособленные подразделения (ОП) в 10 городах. Функционирование информационной инфраструктуры компании обеспечивается с помощью выделенных криптографически защищенных каналов связи, предоставленных материнской компанией. Локальные сети головного офиса и обособленных подразделений объединены с помощью этих каналов и не имеют прямого доступа в сеть Интернет.

2. Первоочередной целью обеспечения информационной безопасности является построение критичных процессов ИБ, сформированных исходя из наиболее вероятных угроз для организаций информационного сегмента и содержащих как организационные процедуры, так и технологические решения. Наибольшими возможностями для нанесения ущерба обладает собственный персонал Компании, он же внутренний нарушитель, которые имеет полноценный доступ ко всей инфраструктуре компании.Известно, что для эффективной борьбы с внутренними угрозами важно предотвращать их, а не бороться с последствиями. Для этого составлен отчет о результатах обследования корпоративной информационной системы (ИС), ее структуры, компонентов, связей как внутри этих систем, так и с другими системами. Корпоративная сеть компании территориально распределенная, объединяющая центр обработки данных, центральный офис в г.Москва и офисы, расположенные в десяти городах РФ. Составлена схема сети по всем объектам, проведен анализ корпоративных инфраструктурных сервисов, автоматизированных рабочих мест и средств защиты информации. Сделанные выводы легли в основу обоснования перед руководством компании необходимости формирования перечня мер по укреплению информационной безопасности корпоративной ИС Компании. В адрес руководства компании направлены выводы, что наиболее вероятной угрозой ИБ является угроза утечки информации. Провести оценку материального и репутационного ущерба компании достаточно сложно. Исходя из этого дана рекомендация следующего содержания: «Наиболее эффективным методом управления рисками утечки конфиденциальной информации является снижение вероятности наступления нежелательного события». Для достижения указанной цели необходимо было заложить в бюджет денежные средства для приобретения и внедрения аппаратно-программного комплекса защиты от утечек КИ.

Поскольку безопасность каналов связи обеспечивается материнской компанией, требуется контролировать только:

·         рабочие станции пользователей;

·         внутренние серверы компании, в том числе служебные – почтовый сервер, Web- и FTP-серверы, антивирусный сервер, файловые хранилища и сервера приложений;

·         принтеры.

Основываясь на топологии сети компании, актуальными угрозами были признаны:

·         угрозы, связанные с нарушением норм безопасной эксплуатации персональных компьютеров (установка и запуск посторонних программ, в том числе загруженных из сети Интернет, загрузка недоверенной операционной системы в обход используемых средств защиты от НСД, подключение к компьютерам посторонних внешних устройств, случайное либо преднамеренное уничтожение информации на жестких дисках, физический доступ посторонних лиц к рабочим станциям);

·         угрозы, связанные с неправомерным использованием корпоративных систем связи (нарушения при использовании электронной почты, нарушения при использовании мессенджеров, неправомерные действия с конфиденциальной информацией);

·         угрозы, связанные с неправомерным использованием принтеров (неправомерные действия с конфиденциальной информацией, непроизводительное расходование корпоративных ресурсов).

3. Исходя из специфики деятельности компании, одним из условий было приобретение АПК построенного на «железе» и ПО российских производителей, обладающих всеми необходимыми лицензиями и сертификатами ФСТЭК России, ФСБ России, аккредитации ЦБ РФ.  Комплекс должен эффективно и незаметно работать в сетях любой сложности, а также в компаниях с территориально распределенной структурой. Внедрение, настройка и управление должно происходить централизованно, с возможностью из центрального офиса контролировать ОП.

Предотвращению передачи конфиденциальной информации за пределы информационной системыпредназначены DLP-системы.Для реализации поставленной задачи проанализированы решения 4-х компаний этого рынка.Критерии отбора были следующие: наличие лицензий и сертификатов, анализ недостатков и преимуществ ПО, защита периметра сети, возможность создавать специализированные решения под бизнес-процессы компании, удобный пользовательский интерфейс. По оценочному признаку выбор пал на решение InfoWatchTrafficMonitor. В 2016 году продукт компании InfoWatch занимал лидирующую позицию в 30,8% объемов продаж (Источник: https://www.anti-malware.ru/russian_dlp_market_2013_2016). В целях соответствия требованиям по импортозамещению, в качестве серверного оборудования выбор пал на аппаратно- программный комплекс производства D-Link, имеющего сертификат соответствия требованиям ГОСТ ISO 9001-2011.

4. Для приобретения комплекса потребовалось приложить немало сил, показать и доказать руководству компании, а затем совету директоров ту ценность, которую обретет компания имея данный комплекс. Экономическое обоснование проекта, ожидаемый эффект от внедрения – минимизация рисков финансовых и репутационных потерь, открытость с заказчиком в лице госорганов, профилактика коррупции, повышение дисциплины сотрудников. Потребовалось также внести коррективы во внутренние нормативные документы. Провести аудит и уточнить/скорректировать тип и характер информации, составляющей КИ, обновить и ввести приказом генерального директора регламент обращения с КИ, установить ответственных лиц и соответственно меры наказания. Внесены изменения в политику информационной безопасности компании, обновлена дорожная карта по профилактике и противодействию коррупции. С сотрудниками компании проведено обучение.   

Практическая реализация. Методика внедрения автоматизированной системы состояла из 4-х этапов: проектирование, пуско-наладочные работы, опытная эксплуатация, приемочные испытания. Разработан и утвержден проект внедрения. Общее время реализации составило 89 человеко/дней.

При внедрении избранной DLP-системы InfoWatchTrafficMonitorвозникла необходимость разработки дополнительных внутренних нормативных документов. Требовалось обеспечить соответствие эксплуатации DLP-системы нормам законодательства о персональных данных, тайне переписки.

Затем возникла необходимость решить еще две проблемы. Во-первых, на контролируемых рабочих станциях устанавливалось большое количество прикладного программного обеспечения, в том числе обеспечивающего высокую нагрузку на процессор персональной машины. В частности, в производственном процессе используются средства виртуализации, отладчики, интегрированные среды разработки для нескольких языков. Требовалось обеспечить совместимость агента DLP-системы с этим программным обеспечением, не создавая трудностей пользователям рабочих станций (замедление работы, срывы запуска программ, срывы отладочной сессии, крах операционной системы и т.д.). Для решения проблемы использовались пилотные рабочие станции с аналогичным набором программного обеспечения. На эти рабочие станции устанавливался агент DLP-системы, после чего производилось нагрузочное тестирование с выполнением операций, аналогичных действиям специалистов-разработчиков. Если эти действия приводили к нештатным ситуациям, осуществлялся анализ лог-файлов агента и системных журналов пилотной рабочей станции, после чего производилась корректировка настроек агента. После определения устойчивой конфигурации агента, которая позволяла эффективно осуществлять контроль рабочей станции и при этом не приводила к возникновению нештатных ситуаций, данная конфигурация использовалась при установке агентов DLP-системы. Благодаря такому подходу, нештатных ситуаций с рабочими станциями, находящимися в продуктивной эксплуатации, удалось полностью избежать.

Во-вторых, возникли сложности с определением признаков конфиденциальной информации в перехватываемых системой файлах. Эту проблему пришлось решить обходным путём, за счёт использования специализированных шаблонов.

5. Использование DLP-системы оказалось экономически эффективным. Так, в ходе эксплуатации системы было установлено, что ряд специалистов-разработчиков (до 30 % сотрудников младшего и среднего звена) искусственно завышает трудоёмкость поставленных задач, увеличивая тем самым отводимое на разработку время. В «дополнительное» время эти специалисты занимались личными делами, вплоть до организации и управления собственным бизнесом (интернет-магазин, консалтинг и пр.). С учётом собранной информации, с этими разработчиками проведены беседы, время на разработку скорректировано.

  Также в ходе эксплуатации DLP-системы были обнаружены недобросовестные действия со стороны двоих руководителей среднего звена. Один из них использовал специалистов-разработчиков для решения частных задач, не связанных с потребностями компании, в интересах посторонних лиц. Ситуация была взята под контроль «безопасниками» компании. Последовал доклад руководству. Результат – депремирование данной группы сотрудников с последующим увольнением из компании.

  Полагаю, что приобретенный аппаратно-программный комплекс по выявлению утечек конфиденциальной информации показал свою эффективность при использовании в компании, ориентированной на работу с государственными заказчиками и банковскими структурами. Повысилась корпоративная культура обращения с конфиденциальной информацией.