Внедрение DLP систем — это очень сложная и трудоемкая задача, которая требует комплексного подхода и соответствующего опыта. С первого взгляда может показаться, что с данной задачей могут легко справиться и штатные инженеры по защите информации: действительно, устанавливать ПО под силу любому системному администратору. Но все-таки установка − это лишь верхушка айсберга, важнейшая же работа в процессе внедрения — определение информации, которую необходимо защищать, формирование политик, настройка внедряемой системы под определенные задачи информационной безопасности предприятия — требует и широких компетенций в разнообразных вопросах защиты информации, и глубоких знаний продуктов. [1].
Прежде чем выбрать DLP-систему для организации нужно продумать ряд вопросов.
Какую функцию она должна выполнять. Возможно, это будет только контроль передвижения конфиденциальной информации. А может быть еще и контроль действий сотрудников в рабочее время.
На каком уровне планируется выполнять мониторинг: на уровне шлюзов (сетевой) или рабочие станции (клиентский). Также стоит рассмотреть комплексное решения. Хостовые DLP-системы функциональнее в использовании, отличаются относительной дешевизной, но при этом имеют ряд недостатков: масштабируемость, низкая производительность и отказоустойчивость. Данные решения больше подойдут для мелких и средних предприятий. Сетевые технологии DLP-систем подобных недостатков не имеют, они довольно легко масштабируются и интегрируются со сторонними продуктами других вендоров.
Потенциальная возможность интеграции представляют собой весьма важный аспект при выборе системы. Если в организации уже используются продукты какой-либо компании, то и DLP-система должна поддерживать возможность интеграции с ней. Кроме того, функционирующие системы документооборота, базы данных и другое программное обеспечение для корректной работы также обязаны быть совместимы с DLP-системой.
Ещё одним важным аспектом является контроль каналов передачи информации. Нужно решить, поддержка каких сетевых протоколов требуется (электронная почта, IP-телефония, мессенджеры, HTTP и т. д.), необходимо ли контролировать беспроводную передачу данных (Wi-Fi Bluetooth). Некоторые технологии предотвращения утечек конфиденциальной информации поддерживают контроль мобильных устройств, поэтому стоит решить, необходима ли эта функция в данном случае. Также важен контроль локальных каналов (использование съемных носителей информации, печать на локальных и сетевых принтерах и т. д.) [2].
Аналитические возможности DLP-системы имеет большое значение. В настоящее время функциональность технологий предотвращения утечек в этом плане очень широка. Актуальные решения, представленные на рынке, позволяют совершать морфологический и лингвистический анализ, поиск по атрибутам файлов, по словарям и т. д. Они способны противостоять попыткам маскировки текста при помощи замены символов или стенографии, могут извлекать текст из пересылаемых сообщений и многое другое. Список функциональных возможностей нынешних DLP-систем почти одинаков. Важно, чтобы процесс поиска и анализа данных был автоматизированным и удобным.
И, конечно же, необходимо обратить внимание на наличие требуемых для компании лицензий и сертификатов, а также соответствия техническим требованиям предъявляемым к серверной и клиентской части.
Перед внедрением выбранной системы предотвращения утечек конфиденциальной информации надо составить перечень конфиденциальных данных, перечень рабочих мест, списки пользователей с установленными правами. Также нужно определить круг лиц, которым будут приходить оповещения о свершившихся инцидентах [3].
Весь процесс внедрения можно разделить на четыре больших этапа. Далее рассмотрим действия, которые нужно выполнить на каждом из них для успешного внедрения системы предотвращения утечки конфиденциальной информации.
Планирование работ и развертывание тестовых частей DLP-системы в ограниченном объеме.
В рамках данных работ проводится планирование и организация установки ограниченного количества клиентских частей на площадке заказчика. Установку нужно произвести на ПК с различными наборами ОС и ПО, которые используется в организации.
Работы проводятся до начала закупки серверного оборудования и программных продуктов с целью отработки технологии тиражирования клиентских частей в масштабе организации.
Подготавливается дистрибутив установки клиентских частей (заращиваются актуальные версии у вендоров, создаются загрузочные флешки/диски). Проводится установка тестовых клиентских частей на выделенных АРМ
Сбор данных необходимых для проведения работ.
В рамках данной работы производится сбор идентификационных данных, необходимых для дальнейшего проведения работ. В состав ИД входят:
− сведения по размещению оборудования, его подключению к сети электропитания и сети передачи данных в серверных помещениях на объектах;
− сведения по интеграции DLP-системы с корпоративной почтовой системой, прокси-сервером доступа в сеть Интернет, Active Directory и сетевым оборудованием (в части SPAN);
− сведения по организации межсетевого взаимодействия между компонентами DLP-системы;
− данные, необходимые для подготовки специализированного классификатора (базы контентной фильтрации — БКФ), подготовки описания и структуры классификатора, настройки политик и правил реакции системы при перехвате различного рода информации (на основании структуры БКФ);
− данные по АРМ, на которые будет производиться установка агента DLP-системы (актуальная, исчерпывающая информация по АРМ, позволяющая однозначно идентифицировать все станции).
В состав исходных данных по АРМ должны входить:
− сетевое имя и IP-адрес АРМ;
− объект размещения АРМ;
− наименование и версия операционной системы (с указанием ServicePack);
− учетная запись пользователя и пароль с правами локального администратора на данном АРМ.
Разработка Плана пусконаладочных работ (ППР).
ППР представляет собой документ, содержащий:
− перечень лиц, выполняющих работы;
− перечень объектов, на которых выполняются работы;
− перечень и характеристики АРМ, на которых будет устанавливаться DLP-система;
− состав планируемых работ на объекте;
− требования и условия проведения работ;
− сроки проведения работ.
Развертывание DLP-системы в полном объеме.
В рамках данных работ проводится развертывание серверных и клиентских компонент DLP-системы в объеме полнофункциональной системы.
Проводятся следующие работы:
− подключение серверного оборудования DLP-системы к сети электропитания объекта;
− подключение серверного оборудования DLP-системы к сетевой инфраструктуре объекта;
Установка и настройка серверной части DLP-системы;
− настройка взаимодействия компонент DLP-системы;
− настройка интеграции со SPAN-портом коммутатора;
− настройка интеграции с почтовым сервером;
− настройка интеграции с прокси-сервером;
− настройка интеграции с Active Directory;
− настройка БКФ;
− настройка правил и политик реакции системы.
Установка клиентских компонентов на АРМ.
Установка модуля для контроля информации в общедоступных сетевых хранилищах.
Полная настройка системы выполняется согласно «Руководству администратора» специалистом прошедшим обучение. Ниже представлено описание настроек, которые необходимо выполнить при внедрение.
Корпоративная почтовая система.
Для осуществления мониторинга исходящего SMTP-трафика на серверах корпоративной почтовой системы, исходящие письма необходимо дублировать посредством скрытой копии на сервер DLP-системы.
Для создания скрытых копий исходящих сообщений, необходимо создать и настроить коннектор, который будет пересылать почту на сервер DLP-системы.
Создание и настройка коннектора состоит из трех шагов:
- Создание SMTP-коннектора, который будет пересылать почту на сервер.
При создании SMTP-коннектора коннектора указывается адресное пространство, в рамках которого работает данный коннектор, и адрес сервера, на который необходимо пересылать все скрытые копии исходящих сообщений.
- Создание контакта, на который будет производиться перенаправление копий почтовых сообщений.
На данном шаге указывается почтовый контакт, на который будут пересылаться все скрытые копии исходящих сообщений. При этом домен почтового адреса контакта должен совпадать с доменом коннектора.
- Создание транспортного правила для копирования писем.
В создаваемом правиле должно быть прописано, что скрытые копии создаются для всех внутренних и внешних пользователей организации (опция «from users inside or outside the organization»). При необходимости в транспортном правиле можно настроить ограничения, например, чтобы исходящие письма с определенных e-mail адресов или пула IP-адресов не сопровождались формированием скрытой копии исходящего сообщения.
В результате вышеописанных действий, почтовый сервер при получении сообщения от пользователя, проверяет, попадает ли данный пользователь под ограничения, установленные в транспортном правиле, прописанном на почтовом сервере.
Корпоративный прокси-сервер.
Для осуществления мониторинга исходящих HTTP-запросов пользователей Интернет‑сегмента в сеть Интернет необходимо, чтобы корпоративный прокси‑сервер поддерживал ICAP-протокол и был настроен на работу с DLP-системой.
Для осуществления мониторинга исходящих HTTPS-запросов пользователей Интернет‑сегмента в сеть Интернет необходимо, чтобы прокси‑сервер поддерживал инспекцию SSL‑трафика. Так же необходимо, чтобы на прокси-сервере был установлен цифровой сертификат c определенными параметрами.
Сетевое оборудование.
Для осуществления контроля незашифрованного ICQ-трафика (протокол OSCAR) пользователей, трафик, направленный от пользователей Интернет‑сегмента в сеть Интернет, должен дублироваться посредством SPAN‑порта на коммутаторе, настроенного на передачу трафика на сервер.
Microsoft Active Directory.
Для осуществления возможности получения актуальной информации о рабочих станциях и сотрудниках необходимо предоставить доступ с серверов DLP-систем к серверу Active Directory по протоколу LDAP.
Поставка лицензий на программные продукты.
В рамках выполнения работ должна быть осуществлена поставка лицензий на ПП, необходимые для развертывания DLP-системы в объеме полнофункциональной системы. Количество лицензий, необходимых для развертывания в полном объеме определяется до начала поставки на основе фактического количества устанавливаемых клиентских.
Опытная эксплуатация DLP-системы и приемочные испытания.
В рамках выполнения работ по участию в опытной эксплуатации DLP-системы и проведении приемочных испытаний в полном объеме, исполнитель выполняет следующие работы:
− отрабатывает замечания, полученные в рамках предварительных испытаний (при необходимости);
− проводит анализ функционирования DLP-системы, на основании заполненного Заказчиком журнала ОЭ с зафиксированными выявленными проблемами;
− выполняет отладку работы политик и правил реакции системы на перехваченные объекты;
− выполняет работы по отладке БКФ;
− участвует в проведении приемочных испытаний.
Испытания проводятся согласно утвержденному документу «Программа и методика испытаний». В приемочных испытаниях принимают участие представители исполнителя и заказчика.
Внедрение и настройка системы DLP в опытную эксплуатацию первоначально лучше всего сделать в режиме мониторинга. Когда система DLP работает в режиме мониторинга, то количество ложных срабатываний в силу отсутствия адаптации политик может насчитывать тысячи. Постепенно применяемые политики безопасности настраиваются в соответствии с реальными потребностями и возможностями организации таким образом, чтобы уже в режиме уведомления, а в дальнейшем и блокировки, количество ложных срабатываний не было «зашкаливающим» и система реагировала только на конфиденциальную информацию.
После запуска в промышленную эксплуатацию следует регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP.
Литература:
- Грибунин В. Г. Комплексная система защиты информации на предприятии. — М.: Академия, 2009. — 415 с.
- Чернокнижный Г. М. Защита конфиденциальной информации в корпоративной сети от утечек. // Научные труды SWorld. — 2013. — № 4. С. 23–27.
- Ковалев А. Как выбрать DLP-систему? // Защита информации. Инсайд. — 2012. — № 2. С. 75–77.