«Предложения по совершенствованию методов и средств защиты от утечки конфиденциальной информации ООО “123”

Согласно п10.4 ФЗ-98 «Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.»
Руководством предприятия ООО «Авиаспецтехнология» определена необходимость применения средств и методов технической защиты информации, составляющей коммерческую тайну. Наиболее популярным техническим средством защиты информации от утечки является DLP-система.
В рамках курсовой работы в основном будет рассматриваться DLP-система, однако, с целью научной новизны будет кратко рассмотрен вариант выявления утечки информации с использованием межсетевого экрана нового поколения, NGFW, обрабатывающего сетевые пакеты на уровне L7. В отличие от классических rules-based межсетевых экранов, работающих на уровне L4, L7-файрволлы имеют возможность более полной обработки сетевых пакетов, что позволяет выявлять факт утечки информации.
DLP-система (Data Lear Prevention) переводится как предотвращение утечки данных. Русский аналог данного термина, на мой взгляд, является более полным – «Система защиты конфиденциальных данных от внутренних угроз». При этом, внутренние угрозы могут иметь как умышленный, так и непреднамеренный характер.
DLP-системы внедряются в сеть предприятия для решения следующих задач:
Контроль передачи информации за пределы сетевого периметра организации вне зависимости от используемых протоколов (IM-мессенджеры, Skype, сервис корпоративной электронной почты, HTTP(S)-протокол, FTP и т.д.);
Контроль копирования информации на съемные носители, вне зависимости от типа носителя (CD, DVD, USB-FLASH, MTP-устройства и т.д.);
Контроль печати на сетевых и локальных принтерах;
Контроль COM-портов;
Блокирование попыток передачи конфиденциальной информации;
Информирование администраторов безопасности об инциденте, связанным с попыткой передачи конфиденциальной информации;
Создание теневых копий информации;
Выявление конфиденциальных документов, хранящихся в непредназначенных для хранения защищаемых сведений каталогах (например – рабочая станция пользователя);
Спектр задач, которые должна решать DLP-система, достаточно широкий и не ограничивается «охраной» сетевого периметра организации. Для обеспечения данной производительности, в DLP-систему включены следующие компоненты:
Агентский модуль, устанавливаемый на рабочую станцию пользователя корпоративной сети;
Сетевой шлюз DLP-системы, развернутый на границе сетевого периметра;
Центр отчетности об инцидентах, содержащий в себе подробную информацию о выявленных несанкционированных действиях пользователей;
Центр конфигурирования DLP-системы, в т.ч. набора правил корректной идентификации конфиденциальной информации
Коммерческие DLP-системы, по сути, должны решать две противоположные задачи. С одной стороны, DLP-система должна по максимуму выявлять все попытки передачи конфиденциальной информации, с другой стороны важным показателем качества работы DLP-системы является минимизация количества ложных срабатываний. Для решения этой проблемы DLP-системы используют три различных подхода:
Вероятностный метод идентификации. Данный метод основан на лингвистическом анализе содержимого, а также на так называемых цифровых отпечатках. Преимуществом данного метода является относительная простота реализации и дальнейшего конфигурирования. К недостаткам относится высокий процент ложных срабатываний;
Детерминированный метод идентификации. Данный метод основан на метках файлов. В содержимое каждого документа добавляется специальная метка, эквивалентная грифам секретности бумажного документооборота. DLP-система, использующая данный метод идентификации, проверяет наличие данных меток. К недостаткам данного метода относится сложность защиты целостности меток, а также тенденция на снижение контроля за метками на большом временном промежутке;
Комбинированный метод идентификации. Данный метод сочетает в себе вышеуказанные варианты обнаружения конфиденциальной информации и, на текущий момент, является оптимальным методом для DLP-систем.
Независимая исследовательская организация ForresterResearch разработала 4 критерия оценки DLP-систем:
Многоканальность. DLP-система должна охватывать максимальное количество каналов утечки информации, в т.ч. и не сетевых (съемные носители информации, печать документов и т.д);
Унифицированное управление модулями. DLP-система должна иметь единую точку управления. Это означает, что все модули DLP-системы должны управляться из одной консоли, доступной ИТ-администратору/ Администратору безопасности;
Наличие активной защиты. DLP-система должна обладать функционалом блокирования попыток передачи конфиденциальной информации, то есть предоставлять активную защиту. Пассивная защита означает, что в функционал DLP-системы входит лишь уведомление администратора безопасности о наличии инцидента, связанного с утечкой конфиденциальной информации;
Классификация информации на основании анализа как содержимого, так и контекста. DLP-система должна обладать функционалом выявления максимально подробной информации об инциденте, а именно – данные отправителя/получателя, протокол передачи данных, и т.д.
На территории РФ одними из самых используемых DLP-систем являются:
InfoWatch Traffic Monitor;
McAfee DLP;
Websense;
Symantec DLP;
В рамках проектной части рассмотрим внедрение отечественной DLP-системы InfoWatch Traffic Monitor, произведенной компанией ЗАО «ИнфоВотч». Компания ЗАО «ИнфоВотч» является одним из лидеров российского рынка в части разработки средств защиты информации. Данная организация ежегодно проводит (является генеральным спонсором) международную конференцию по информационной безопасности – BIS SUMMIT, на которой собираются ведущие производители средств защиты информации. К примеру, в статье, размещенной на веб-ресурсе BIS SUMMIT – https://bis-expert.ru/blog/2560/59193 независимый эксперт и блоггер Андрей Прозоров высказывает мысль, что кроме DLP-систем необходимо использовать и иные средства защиты информации, способные также выявлять утечки конфиденциальных данных. Для подтверждения позиции эксперта рассмотрим функционал межсетевых экранов нового поколения (NGFW) в части выявления утечки конфиденциальной информации.
NGFW, в отличие от стандартных rules-based файрволов, умеет анализировать сетевые пакеты на уровне L7 (уровне приложений). Подобный, расширенный анализ сетевого трафика, позволяет в том числе выявлять утечки конфиденциальной информации. Рассмотрим лог-файлы L4 и L7-файрволлов.