Чек-лист: как происходит внедрение DLP-системы в ИТ-инфраструктуру компании

Раньше компании использовали DLP-системы только для защиты инфраструктуры от утечек конфиденциальной информации и персональных данных. С развитием технологий улучшилось качество анализа и перехвата контента и сейчас DLP-системы — это универсальный инструмент для принятия управленческих решений не только по ИБ, но и HR, экономической безопасности и так далее. Поэтому многие компании уже внедрили систему или планируют это сделать в ближайшее время.

Внедрение системы в уже сформированную инфраструктуру компании — не всегда легкий процесс. В этом материале мы рассказали, по какому принципу работают DLP-системы и составили пошаговый план внедрения.

Принцип Data-Centric Security

DLP-системы работают по принципу Data-Centric Security. Его суть заключается в том, чтобы защитить разобщенные данные, обнаружить их и категоризировать, построить поведенческие модели использования и отследить аномальные операции со структурированными и неструктурированными данными.

Информация, согласно принципу Data-Centric Security, подразделяется на группы:

• Data-in-use — это данные (документация, мультимедиа), которые используют на рабочих станциях. С ними работают конечные пользователи;
• Data-at-rest —  данные, которые статично хранятся на серверах, рабочих станциях, СХД, ноутбуках и других мобильных устройствах;
• Data-in-motion — данные, которые передаются по сетевым каналам внутри корпоративной сети и вне ее контура.

Этапы внедрения DLP-системы

Чтобы контролировать данные всех групп, внедрение DLP-системы проходит в несколько этапов, которые помогают определить структуру и функционал системы, перечень данных и работающих с ними пользователей.

1. Анализ правовой базы внедрения DLP-систем

Основная задача внедрения DLP-системы — контролировать и управлять инцидентами информационной безопасности (ИБ) в соответствии с требованиями и рекомендациями нормативно-правовых актов:

• ГОСТ 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности менеджмент инцидентов информационной безопасности»;
• 152-ФЗ в части, которая касается работы с персональными данными клиентов и сотрудников компании;
• 161-ФЗ в части, которая касается правил и норм работы с национальной платежной системой;
• 98-ФЗ в части, которая касается требований по защите коммерческой тайны.

При внедрение DLP-системы компания должна опираться на действующее законодательство, контролировать соблюдение стандартов работы с конфиденциальными данными и не затрагивать личные данные и права пользователей.

2. Подготовка к внедрению DLP-системы

На подготовительном этапе специалисты по ИБ проводится аудит защищенности информации, в ходе которого:

• оценивают существующие и потенциальные риски;
• определяют уровень безопасности работы с внутренней документацией;
• изучают сетевые и серверные компоненты системы (анализ структуры и организации СХД);
• генерируют критерии конфиденциальности и создают перечни данных, которые относятся к критически важной информации;
• определяют базовые правила работы с данными для пользователей, исходя из их должности.

Результат подготовительного этапа — это общая оценка степени защищенности информационной системы компании с указанием основных уязвимых мест и проблем. Например, каналов утечки информации, механизмов передачи данных с ограниченным доступом, наличие привилегированных пользователей с информацией, доступ к которой запрещен или ограничен.

3. Выбор внедряемой DLP-системы.

При выборе DLP-системы необходимо руководствоваться принципом: потенциальный ущерб и репутационные издержки от потери или разглашения конфиденциальной информации должны превышать стоимость установки и использования DLP-системы.

Критерии, по которым можно оценить процесс внедрения DLP-системы:

• интеграция системы с инфраструктурой компании и поддержка ее функций;
• профессиональные навыки, которые потребуются специалистам по ИБ для работы с DLP-системой.

На декабрь 2022 года этим критериям полностью удовлетворяют отечественные DLP-системы: Infowatch Traffic Monitor от компании Infowatch, SecureTower от компании Falcongaze и StaffCop от компании «Атом Безопасность».

4. Проектирование и модификация внедряемой DLP-системы

Специалисты в области ИБ модифицируют DLP-систему под ИТ-инфраструктуру компании, чтобы минимизировать возможные неполадки и сбои в будущем.

5. Установка и настройка DLP-системы

Производится тонкая настройка опций для расширения системы безопасности с учетом конструктивных и архитектурных особенностей информационной системы компании.

Специалисты по ИБ проводят ряд тестов под нагрузкой и проверяют, насколько корректно работают все элементы системы и обеспечивается доступность данных.

В настроенной и сконфигурированной DLP-системе должен быть набор функций:

1. перехват информации. Контроль и фиксация любых данных, которые передаются по внутренней и внешней сети;
2. анализ информации. По установленным и настроенным маркерам безопасности система должна определять вид, тип передаваемой информации, а также ее источник и приемник. Например:

• механизм анализа и контроля форм позволяет обнаруживать документы, содержащие конфиденциальную информацию, налоговые, медицинские, страховые формы и материалы отчетности;
• механизм анализа цифровых сигнатур позволяет производить снятие цифровых сигнатур (отпечатков) документов, чтобы обнаружить конфиденциальную информацию в неструктурированных данных: doc, docx, pdf, бинарные файлы и мультимедийные файлы;
• механизм контроля доступа пользователей позволяет анализировать и сопоставлять метаданные файлов путем идентификации источников данных, места их хранения и уровня доступа конкретного пользователя по отношению к этим данным;

1. блокировка или уведомление об инциденте. Обработка данных в соответствии со встроенными политиками безопасности.

6. Сопровождение DLP-системы

На этапе сопровождения DLP-системы компания-интегратор:

• устраняет неисправности и вносит изменения в документацию;
• дополнительно обучает персонал;
• анализирует и проводит экспертизу обрабатываемой информации;
• оптимизирует и настраивает DLP-систему при необходимости. 

Выводы 

При грамотном внедрении DLP-системы и ее интеграции с другими механизмами защиты специалисты по ИБ оперативно выявляют и устраняют актуальные внутренние и внешние угрозы. За счет повышения уровня информационной безопасности бизнес и государственные корпорации минимизируют финансовые потери и репутационные риски, которые могут произойти из-за утечек персональных данных и конфиденциальной информации.