Безопасно ли внедрение технологий безопасности?

Что является главным при внедрении DLP-систем?

Безмалый В.Ф. MVP Consumer Security.

Странный вопрос в заголовке статьи? Отнюдь. Бездумное внедрение технологий информационной безопасности (ИБ) может привести к общему снижению уровня безопасности, потому что во многих фирмах отсутствует понимание стратегии развития ИБ, под ИБ понимают «латание дыр».,

Что такое DLP?

Сегодня в распоряжении любой компании находится информация, которую можно считать внутренней, служебной или коммерческой тайной. Данная информация считается конфиденциальной.

Для того, чтобы отличить конфиденциальную информацию от неконфиденциальной существует несколько основных технологий анализа:

  • анализ текста по содержанию (т.е. нахождение определенных ключевых слов или фраз);
  • анализ формальных признаков документа (отправитель, получатель и т.д.);
    • fingerprints (или цифровые отпечатки — создание базы конфиденциальных документов-образцов, анализируемые документы проверяются на совпадение с образцами из базы);
  • другие.

В последние годы резко выросло число случаев хищений или случайных потерь информации. Это может принести компании колоссальные убытки.

С целью защиты от этого вида угроз были разработаны первые системы защиты конфиденциальной информации от утечек — Data Leakage Prevention Systems (сокращенно DLP-системы).

Все каналы утечки в DLP-системах делят на три группы:

  • утечки, использующие сетевые каналы связи (Интернет, электронная почта, системы передачи мгновенных сообщений, сетевые принтеры и т.д.);
  • утечки с использованием локальных рабочих мест (запись на CD, DVD, USB-накопители, локальный принтер);
  • утеря или хищение носителей информации (ноутбук, диск резервного копирования и т.д.).

Защититься от утери или хищения носителей информации можно только внедрив устойчивое шифрование этих носителей.

Слабая сторона шифрования

Инфраструктура открытых ключей (PKI — Public Key Infrastructures), использующая S/MIME-шифрование, достаточно широко используемое средство надежной защиты корпоративной электронной почты во время пересылки, обеспечивающее открытие почты теми лицами, которым оно адресовано. Однако получатель может передать эту информацию другому лицу, скопировать ее на мобильный носитель, на другой компьютер или по ошибке направить эту информацию другому лицу (потенциальному злоумышленнику).

Ограничение несанкционированных действий

Microsoft Windows Rights Management Services (RMS). Это дополнительная служба для Windows Server 2003 (R2) в редакциях Standard, Enterprise, Web и Datacenter, помогающая предотвратить несанкционированное обращение к электронной информации в онлайновом и автономном режиме, внутри границ корпоративного брандмауэра и за его рамками.

RMS расширяет стратегию безопасности, защищая информацию с помощью политик использования, которые сопровождают эти данные, куда бы они не попали. Сотрудник, создающий документ, может определить политики использования адресатом полученной информации. В частности можно определить, кто может открывать, редактировать, переадресовывать и/или выполнять те или иные операции с этим документом.

Ограничение режима просмотра и использования:

  • шифрование ограничивает аудиторию просмотра данных — это смогут делать только уполномоченные пользователи;
  • используются строгие и постоянные политики разграничения доступа к информации;
    • автор информации сам применяет необходимую политику с помощью приложения, поддерживающего технологию RMS;
  • данные об ограничении прав хранятся в самом документе на уровне файловой системы;
    • вся защита работает в интерактивном и автономном режиме, внутри границ корпоративного брандмауэра и за его рамками.

Надежность решения:

  • используются встроенные возможности и утилиты Windows Server 2003;
    • промышленные технологии защиты информации — шифрование, сертификаты на базе стандарта XrML, проверка подлинности;
  • гибкая технология с возможностями индивидуальной доработки;
    • набор инструментов разработчика RMS SDK содержит интегрированный SDK для клиентов и серверов RMS;
  • защиту секретной информации обеспечивает любое приложение с поддержкой RMS;
    • позволяет сторонним разработчикам информационных технологий интегрировать средства защиты информации в свои продукты для создания универсальных платформенных решений.

Рассмотрим другую DLP-систему.

InfoWatch Traffic Monitor. Данное ПО осуществляет фильтрацию исходящего почтового (SMTP) и интернет (HTTP) трафика, а также сообщений IM (например, ICQ), что позволяет выявить и предотвратить попытки пересылки конфиденциальной информации.

Перехваченные данные проходят фильтрацию на основе контентного анализа содержимого с использованием лингвистического движка Morph-o-Logic© и формальных атрибутов (отправитель, получатель и т.д.). В зависимости от заданных правил пересылаемое сообщение может быть запрещено к пересылке, разрешено или помещено в карантин. Информация обо всех задержанных и подозрительных объектах перенаправляется офицеру безопасности. При этом весь исходящий (SMTP), интернет- (HTTP) трафик, сообщения интернет- пейджеров (ICQ), а также данные, записываемые пользователями на сменные внешние носители, собираются в собственную базу данных InfoWatch Traffic Monitor, где сохраняются в своем первоначальном виде. Затем сообщения индексируются, подвергаются разделению на отдельные части, т.е. приводятся в вид, пригодный для дальнейшего анализа. Таким образом, InfoWatch Traffic Monitor позволяет создать корпоративный архив информации, которая отсылалась за пределы компании,проводить систематизацию и осуществлять контроль над историей переписки, а также ретроспективный анализ инцидентов утечки конфиденциальной информации.

Проблемы при внедрении DLPсистем

Как правило, служба ИТ начинает установку подобных систем (особенно RMS), не особо задумываясь о том, что собственно внедрение системы — это последний шаг во внедрении подобных технологий. Предшествовать ему должны целый ряд документов, которые еще нужно написать и подготовить, а это процесс длительный, так как в коммерческой организации крайне сложно ранжировать информацию по степени конфиденциальности, целостности и доступности. В большинстве организаций нет даже полного списка решаемых задач и, не говоря уже о том, что эти задачи не документированы.

Следовательно, внедрения DLP-систем нужно начинать с проведения аудита решаемых задач и последующего разграничения информации по степени конфиденциальности, целостности и доступности. В противном случае внедрение подобной системы отнимет массу времени и ресурсов, не дав ничего взамен!

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений составляющих государственную тайну), хранимой и обрабатываемой в компьютерной сети, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации. Приведем пример определения категорий конфиденциальности, целостности и доступности.

Категории конфиденциальности защищаемой информации

«СТРОГО КОНФИДЕНЦИАЛЬНАЯ» — информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна);

«КОНФИДЕНЦИАЛЬНАЯ» — информация, ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);

«ОТКРЫТАЯ» — информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Категории целостности защищаемой информации

«ВЫСОКАЯ» — к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи -ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов;

«НИЗКАЯ» — к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, хеш-функций);

«НЕТ ТРЕБОВАНИЙ» — к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Категории функциональных задач

В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени (категории) доступности функциональных задач.

Требуемые степени доступности функциональных задач:

«БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» — доступ к задаче должен обеспечиваться в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

  • «ВЫСОКАЯ ДОСТУПНОСТЬ» — доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
  • «СРЕДНЯЯ ДОСТУПНОСТЬ» — доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

«НИЗКАЯ ДОСТУПНОСТЬ)) — временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата — несколько недель).

Вместе с тем стоит вспомнить, что согласно требований украинского законодательства, степень конфиденциальности информации определяет ее владелец.

Однако, если вы думаете, что определив эти категории, вы уже можете внедрять DLP — вы ошибаетесь! Самым главным остается вопрос (особенно при использовании RMS) — как заставить сотрудника присваивать документам требуемые категории доступности? Ведь, как минимум, его нужно этому обучить! И вот тут-то и начинается основная проблема. Нужно не только обучить ИТ использованию продукта, не только научить сотрудников как использовать продукт, но убедить их его использовать! А вот это самое главное, иначе ваша система будет дорогой и абсолютно бесполезной игрушкой!

Заключение

В заключение хотелось бы отметить, что основная цель данной статьи заключалась не в описании DLP-систем, не в описании тех неприятностей, с которыми вы можете встретиться в своей работе, а в том, чтобы вы поняли, что прежде чем внедрять ту или иную технологию безопасности – нужно правильно продумать к чему это может привести и заранее быть к этому готовым. Нельзя надеяться только на технологии! Ведь с ними работают люди, а людям свойственно ошибаться!