CC BY
171
УДК 004.05 ББК 32.973-018.2 К 38
Киздермишов А.А.
Кандидат физико-математических наук, доцент кафедры автоматизированных систем обработки информации и управления инженерно-физического факультета Адыгейского государственного университета, Майкоп, e-mail: Askhad_75@rambler.ru Киздермишова С.Х.
Кандидат социологических наук, доцент кафедры экологии и защиты окружающей среды экологического факультета Майкопского государственного технологического университета, Майкоп, e-mail: Suliet@rambler.ru
К вопросу о вводе в эксплуатацию DLP-систем
(Рецензирована)
Аннотация. Рассмотрены вопросы, связанные с функциональными возможностями современных отечественных DLP-систем, связь ввода в эксплуатацию DLP-системы с решением организационно-правовых вопросов, приводятся рекомендации по внесению изменений в локальные нормативные акты, предложен алгоритм внедрения DLP-системы в организации.
Ключевые слова: DLP-системы, комплексный подход к решению задачи по защите информации, контроль действий сотрудников, корпоративные автоматизированные информационные системы.
Kizdermishov A.A.
Candidate of Physics and Mathematics, Associate Professor of the Department of Automated Systems of Processing Information and Control at Engineering-Physics Faculty, Adyghe State University, Maikop, ph. (8772) 593911, e-mail: Askhad_75@rambler.ru Kizdermishova S.Kh.
Candidate of Sociology, Associate Professor of Department of Ecology and Environmental Protection of Environmental Faculty, Maikop State University of Technology, Maikop, e-mail: Suliet@rambler.ru
On the issue of the commissioning of DLP-systems
Abstract. The paper examines the issues related to the functionality of modern DLP-systems, domestic DLP-systems, and the relationship of the commissioning of the DLP-system with the solution of organizational and legal issues. The publication provides recommendations for changes in local regulations. An algorithm for implementing the DLP-system in the organization is proposed.
Keywords: DLP-systems, complex approach to the solution of the problem of information protection, monitoring of employees' actions, corporate automated information systems.
В последние годы как в крупных корпорациях, так и в федеральных государственных учреждениях построены крупные автоматизированные информационные системы, которые принято называть корпоративными. Очевидно, что владельцы корпоративных автоматизированных информационных систем заинтересованы в сохранности обрабатываемой информации. Как известно, для организации эффективной защиты информации требуется применять комплексный подход, который заключается в одновременном применении правовых, организационных и технических мер [1, 2]. В Российской Федерации утвержден состав и базовые наборы [1] организационных и технических мер защиты информации, не составляющей государственную тайну, персональных данных при их обработке в информационных системах персональных данных, содержащейся в государственных информационных системах, который включает тринадцать и пятнадцать групп мер. В связи с этим для обеспечения комплексного подхода необходимо применять не менее десятка различных средств защиты информации. В целях предотвращения утечки информации, как правило, для каждого технического канала (группы мер) используется узкоспециализированное средство защиты информации.
Таким образом, построение и эксплуатация комплексной системы защиты информации в организации, кроме решения задач по вводу в эксплуатацию средств защиты информации, требует решения задач по созданию центра единого администрирования их работы, сопоставления и реагирования на инциденты, выявленные различными (разнородными) средствами защиты информации, и других вопросов обеспечения их совместной работы. Существен-
но упростить построение и эксплуатацию комплексной системы защиты информации в организации поможет ввод в эксплуатацию комплекса средств защиты информации одного разработчика (интегратора), которые изначально на стадии проектирования были объединены в единую систему.
В частности, в качестве описанной выше системы может быть применена DLP-система. Существует несколько расшифровок термина DLP: Data Loss Prevention - предотвращение потери данных; Data Leak Prevention - предотвращение потери данных; Data Leakage Protection - защита от утечки данных [3-5]. DLP-системы обычно представляют собой комплексы из нескольких программных средств, перехватывающих и анализирующих как исходящие, так и циркулирующие внутри корпоративной системы потоки информации, а также способных осуществлять анализ на уровне хоста (системные) и на уровне приложения (прикладные) (как правило, применяются два метода анализа данных: атрибутный и семантический). Однако, по состоянию на сегодняшний день, предназначение DLP-систем не ограничивается предотвращением утечки информации. В связи с необходимостью реализации комплексного подхода к решению задачи по защите информации, DLP-системы получили развитие, в частности, были дополнены функционалом, позволяющим осуществлять контроль над тем, как сотрудники осуществляют обработку конфиденциальной информации, и блокировать нелегитимную передачу информации. Именно этим обстоятельством можно объяснить рост их популярности [3-5].
Таким образом, внедрение DLP-систем является вполне оправданным мероприятием по усилению информационной безопасности корпоративных автоматизированных информационных систем. Кроме того, рост рынка программных продуктов приведет к снижению цен на DLP-системы [5] и, как следствие, более широкому их применению уже в ближайшие годы.
В связи с вышеизложенным имеет смысл рассмотреть вопросы ввода в эксплуатацию DLP-систем.
Можно сформулировать три наиболее важных вопроса, которые следует учитывать при вводе в эксплуатацию DLP-систем:
• Имеются ли DLP-системы отечественной разработки?
• В какой степени современные отечественные DLP-системы способны обеспечить комплексный подход к решению задачи по защите информации?
• Какие организационно-правовые вопросы следует учесть при вводе в эксплуатацию DLP-систем?
По состоянию на сегодняшний день на отечественном рынке представлены следующие продукты российских разработчиков: DLP-системы InfoWatch и Zecurion DLP. На самом деле таких продуктов больше, но только у этих двух DLP-систем есть сертификаты соответствия ФСТЭК России и аббревиатура DLP в названии. Наличие сертификата соответствия ФСТЭК России является обязательным требованием только для случая ввода в эксплуатацию в государственных информационных системах, однако и в других корпоративных автоматизированных информационных системах имеется информация ограниченного доступа, утечка которой может нанести серьезный ущерб социально или экономически значимому предприятию или учреждению, что, в свою очередь, может создавать предпосылки для возникновения угрозы отрасли производства или системы оказания государственных услуг. Поэтому представляется целесообразным внедрять в эксплуатацию только отечественные DLP-системы, сертифицированные ФСТЭК России.
Для того чтобы оценить, в какой степени современные отечественные DLP-системы способны обеспечить комплексный подход к решению задачи по защите информации, целесообразно использовать набор мер по обеспечению защиты информации, которые установлены нормативными актами, принятыми ФСТЭК России [1, 2]. Результаты такого анализа представлены в виде таблицы 1 [3, 4].
Из таблицы 1 следует, что DLP-системы пока не выполняют задачи из групп мероприятий «Контроль (анализ) защищенности персональных данных» и «Защита среды виртуализации» [1, 2]. Тем не менее, DLP-системы способны обеспечить защиты по 11 из 13 групп мер по обеспечению защиты информации, что является высоким результатом.
Таблица 1
Перечень мер, которые возможно реализовать и/или контролировать средствами отечественных БЬР-систем
№ п/п Код Содержание мер по обеспечению безопасности персональных данных
1. ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа
2. УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
3. УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
4. УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
5. УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
6. УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств
7. ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль над запуском компонентов программного обеспечения
8. ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль над установкой компонентов программного обеспечения
9. ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
10. ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
11. ЗНИ.1 Учет машинных носителей персональных данных
12. ЗНИ.2 Управление доступом к машинным носителям персональных данных
13. ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах
14. ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных
15. ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных
16. ЗНИ.7 Контроль подключения машинных носителей персональных данных
17. ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
18. РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения
19. РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
20. РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
21. РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
22. РСБ.7 Защита информации о событиях безопасности
23. РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе
24. АВЗ.1 Реализация антивирусной защиты
25. АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
26. СОВ.1 Обнаружение вторжений
27. СОВ.2 Обновление базы решающих правил
28. ОЦЛ.5 Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы
29. ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях
30. ЗИС.5 Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств
31. ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе
32. ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов
33. ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами
Следует отметить, что для задач по контролю защищенности информационных систем существуют достаточно глубоко разработанные методики [6-8], которые разработчикам DLP-систем весьма тяжело воспроизвести в краткие сроки без привлечения специалистов из узкоспециализированных на этих вопросах компаний, ввиду их специфической сложности.
Как и в абсолютном большинстве случаев, ввод в эксплуатацию средств защиты информации связан с урегулированием организационно-правовых вопросов. Следует иметь в виду, что ввод в эксплуатацию DLP-системы, кроме технических вопросов, предполагает решение целого ряда организационно-правовых вопросов для урегулирования отношений работодателя и сотрудников, возникающих в результате изменения условий труда, а именно - ввода контроля за работой сотрудника в корпоративной автоматизированной информационной системе («слежкой» за сотрудниками). Далее перечислим организационно-правовые мероприятия, без выполнения которых ввод в эксплуатацию DLP-систем невозможен.
Во-первых, необходимо назначить ответственных работников за эксплуатацию DLP-системы (как правило, это специалисты по защите информации) и разработать следующие локальные нормативные акты:
• Инструкции по установке DLP на серверные части и на автоматизированные рабочие места;
• Руководства пользователя и администратора безопасности DLP;
• Регламенты предотвращения утечек информации и классификации инцидентов утечки информации;
• Положение о мониторинге и контроле; Регламент обнаружения и реагирования на инциденты;
• Правила использования электронных конференций, социальных сетей, файлообмен-ников, мессенджеров, хостингов и т. п. (передача и прием данных, предотвращение утечки информации и т.п.);
• Инструкции по эксплуатации систем электронного документооборота (передача и прием данных, предотвращение утечки информации и т.п.);
• Инструкции по эксплуатации корпоративной электронной почты и общедоступных почтовых сервисов (передача и прием данных, предотвращение утечки информации и т.п.).
Во-вторых, в целях урегулирования отношений работодателя и сотрудников, возникающих в результате изменения условий труда, необходимо внести следующие изменения в «Трудовые договора» (работников) (важно, что изменения необходимо внести за два месяца до ввода в эксплуатацию DLP, так как это - изменение условий труда):
- Раздел «Условия труда» дополнить пунктом: «Работник осведомлен и согласен с использованием работодателем комплексной DLP-(Data Leak Рге\еМ1оп)-системъ\ для защиты информации от утечки и внутренних угроз в целях обеспечения защиты информации (далее DPL), содержащейся в автоматизированных информационных системах работодателя»;
- Раздел «Обязанности работника» дополнить пунктом: «Работник обязуется выполнять требования „Правил внутреннего трудового распорядка" и иных локальных нормативных актов работодателя, устанавливающих внутриобъектовый режим и режим защиты информации, а также порядок их соблюдения»;
- Раздел «Прочие условия» или «Конфиденциальность» дополнить пунктом: «Работник предоставляет право представителям работодателя и организации, осуществляющей техническое обслуживание DLP на договорной основе, получать, обрабатывать и при необходимости передавать данные, обработанные работником средствами вычислительной техники работодателя, и данные, созданные в автоматизированном режиме в результате этой обработки, полученные при помощи DPL, с целью обеспечения защиты информации, содержащейся в автоматизированных информационных системах работодателя, и выявления нарушений законодательства РФ и локальных нормативных актов работодателя».
Также необходимо дополнить Правила внутреннего трудового распорядка пунктами:
- запрещено хранить личную информацию на корпоративных устройствах;
- корпоративные каналы связи и средства обработки информации должны использоваться работниками исключительно для служебных (производственных) целей;
- работникам запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (корпоративная электронная почта, сеть Интернет и другие).
Таким образом, алгоритм внедрения в работу организации DLP-системы можно представить, как показано на рисунке 1:
Разработка технических
требований (условий) для закупки (разработки) DLP-системы
Закупка (приобретение) DLP-системы
Тестирование DLP-системы
Ввод DLP-системы в опытную эксплуатацию
Ввод DLP-системы в эксплуатацию
Разработка локальных нормативно-правовых актов в соответствии с требованиями по защите информации [1, 2]:
• цель и задачи;
• класс защищенности;
• перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
• перечень объектов защиты информационной системы;
• требования к мерам и средствам защиты информации;
• стадии (этапы работ) создания системы защиты;
• требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
• функции заказчика и оператора по обеспечению защиты информации в информационной системе;
• требования к защите средств и систем;
• требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
Внесение изменений (дополнений) в локальные нормативно-правовые акты:
• Инструкции по установке БЬР на серверные части и на автоматизированные рабочие места;
• Руководства пользователя и администратора безопасности;
• Регламенты предотвращения утечек информации и классификации инцидентов утечки информации;
• Положение о мониторинге и контроле;
• Регламент обнаружения и реагирования на инциденты;
• Правила использования электронных конференций, социальных сетей, файлообменников, мессенджеров, хостингов и т.п. (передача и прием данных, предотвращение утечки информации и т.п.);
• Инструкции по эксплуатации систем электронного документооборота (передача и прием данных, предотвращение утечки информации и т.п.);
• Инструкции по эксплуатации корпоративной электронной почты и общедоступных почтовых сервисов (передача и прием данных, предотвращение утечки информации и т.п.);
• Трудовые договоры;
• Правила внутреннего трудового распорядка.
Рис. 1. Алгоритм внедрения в работу организации DLP-системы
В заключение можно сказать, что по состоянию на сегодняшний день DLP-системы, несмотря на их первоначальное предназначение, являются одним из наиболее предпочтительных решений проблемы построения комплексной системы защиты информации.
Примечания:
1. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК РФ от 18 февраля 2013 г. № 21 (ред. от 23.03.2017). URL: http://fstec.ru/normotvorcheskaya/akty
2. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК РФ от 11 февраля 2013 г. № 17 (ред. от 15.02.2017). URL: http://fstec.ru/normotvorcheskaya/akty
3. Официальный Интернет-ресурс группа компаний INFOWATCH, Российский разработчик комплексных решений для обеспечения информационной безопасности организаций. URL: https://www.infowatch.ru
4. Официальный Интернет-ресурс. Компания Zecurion. URL: http://www.zecurion.ru
5. Киздермишов А. А. К вопросу о добровольной сертификации средств автоматизированного анализа защищенности и обнаружения уязвимостей // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 3 (166). С. 137-141. URL: http://vestnik.adygnet.ru
6. Киздермишов А.А. К вопросу о применении CVE-совместимых сетевых сканеров // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 1 (154). С. 136-140. URL: http://vestnik.adygnet.ru
7. Киздермишов А.А. Анализ возможности использования свободно распространяемых сетевых сканеров // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2014. Вып. 3 (142). С. 201-205. URL: http://vestnik.adygnet.ru
8. Официальный Интернет-ресурс. Экспертный центр электронного государства. Состояние российского рынка DLP-систем - исследование. Пресс-релиз - 27.06.2016. URL: http://d-russia.ru
References:
1. On the statement of the structure and maintenance of organizational and technical measures for safety of personal information at their processing in information systems of personal information: the order of FSTEK of the RF of February 18, 2013 No. 21 (ed. of 23.03.2017). URL: http://fstec.ru/normotvorcheskaya/akty
2. On the approval of requirements on the protection of information which is not the state secret, containing in the state information systems: the order of FSTEK of the RF of February 11, 2013 No. 17 (ed. of 15.02.2017). URL: http://fstec.ru/normotvorcheskaya/akty
3. The official Internet resource is INFOWATCH, the Russian developer of integrated solutions for providing information security of organizations. URL: https://www.infowatch.ru
4. Official Internet resource. Company Zecurion. URL: http://www.zecurion.ru
5. Kizdermishov A.A. On voluntary certification of means of the automated analysis of security and detection of vulnerabilities // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 3 (166). P. 137-141. URL: http://vestnik.adygnet.ru
6. Kizdermishov A.A. On application of CVE-compatible network scanners // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 1 (154). P. 136140. URL: http://vestnik.adygnet.ru
7. Kizdermishov A.A. The analysis of the possibility to use the freeware network scanners // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2014. Iss. 3 (142). P. 201-205. URL: http://vestnik.adygnet.ru
8. Official Internet resource. Expert Center of the Electronic State. State of the Russian market of DLP-systems - research. Press release - June 27, 2016. URL: http://d-russia.ru
