Способы предотвращения утечки информации. Утечка и средства защиты конфиденциальной информации Предотвращение утечки конфиденциальной информации

Угрозы информационной безопасности. Классификация угроз

Построение надежной защиты информационной системе организации невозможно без предварительного анализа возможных угроз безопасности системы.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Угрозами информационной безопасности называются потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам информационной системы.

Все угрозы безопасности, направленные против программных и технических средств информационной системы, в конечном итоге оказывают влияние на безопасность информационных ресурсов и приводят к нарушению основных свойств хранимой и обрабатываемой информации.

Угрозы информационной безопасности различают по следующим основным признакам (рис. 5.3)

По характеру возмущающих воздействий на систему угрозы разделяются на случайные или непреднамеренные и умышленные . Источником непреднамеренных угроз могут быть выход из строя аппаратных средств, неправильные действия работников информационной системы или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы следует держать во внимании, так как ущерб от них может быть значительным.

Умышленные угрозы в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды. Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).

По характеру нанесенного ущерба умышленные угрозы подразделяют на пассивные и активные .

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

По области возникновения умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние .



Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями).

По данным зарубежных источников, получил широкое распространение промышленный шпионаж - это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

По способу реализации можно выделить классы угроз безопасности, направленных против информационных ресурсов:

Угрозы, реализуемые либо воздействием на программное обеспечение и конфигурационную информацию системы , либо посредством некорректного использования системного и прикладного программного обеспечения;

Угрозы, связанные с выходом из строя технических средств системы , приводящим к полному или частичному разрушению информации, хранящейся и обрабатываемой в системе;

Угрозы, обусловленные человеческим фактором и связанные с некорректным использованием сотрудниками программного обеспечения или с воздействием на технические средства, в большей степени зависят от действий и "особенностей" морального поведения сотрудников;

Угрозы, вызванные перехватом побочных электромагнитных излучений и наводок, возникающих при работе технических средств системы, с использованием специализированных средств технической разведки.

Рис.5.3. Классификация угроз информации

Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

Разглашения конфиденциальной информации;

Ухода информации по различным, главным образом техническим, каналам;

Несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

Перехват электронных излучений;

Применение подслушивающих устройств (закладок);

Дистанционное фотографирование;

Перехват акустических излучений и восстановление текста

принтера;

Чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

Копирование носителей информации с преодолением мер защиты;

Маскировка под зарегистрированного пользователя;

Маскировка под запросы системы;

Использование программных ловушек;

Использование недостатков языков программирования и операционных систем;

Незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

Злоумышленный вывод из строя механизмов защиты;

Расшифровка специальными программами зашифрованной информации;

Информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки - это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений.

Однако есть и достаточно примитивные пути несанкционированного доступа:

Хищение носителей информации и документальных отходов;

Инициативное сотрудничество;

Склонение к сотрудничеству со стороны взломщика;

Выпытывание;

Подслушивание;

Наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников.

Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

Недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

Использование неаттестованных технических средств обработки конфиденциальной информации;

Слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

Текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

Организационные недоработки, в результате которых виновниками утечки информации являются сотрудники.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых - порча информации в базах данных и программном обеспечении компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Об инцидентах, связанных с информационной безопасностью, и методах борьбы с ними сказано немало. Возникает резонный вопрос: «А стоит ли еще раз обсуждать эту тему?» К сожалению, мне, как и многим моим коллегам по цеху, приходится дать положительный ответ. Большинство руководителей компаний продолжают отказываться воспринимать информационные ресурсы в качестве ключевых активов. Однако уже сегодня понятно, что один компьютерный инцидент может поставить даже крупную корпорацию на порог катастрофы.

С точки зрения специалиста по расследованию компьютерных преступлений можно выделить три основных цели, которые наиболее подвержены атакам со стороны компьютерных злоумышленников. Во-первых, деньги; во-вторых, информация; и, в-третьих, репутация. Думаю, не стоит лишний раз говорить о том, что все упомянутые активы так или иначе между собой тесно взаимосвязаны. Поэтому киберудар по одному из них может привести к возникновению ущерба в смежной области.

Почему эти три актива представляют максимальный интерес для компьютерных злоумышленников? Потому что во всех этих случаях речь идет о возможности получения сверхдоходов.

Например, деньги. Тут и так все понятно. Идейных борцов за денежные знаки немало в виртуальном мире, и атаки на системы интернет-банкинга сегодня самый распространенный тренд на российском рынке киберпреступности. В итоге только за прошлый год российским компьютерным мошенниками удалось похитить со счетов юридических лиц 758,5 млн долларов.

А вот сетевые атаки на бренд и иные репутационные активы пока не имеют такого распространения, но уже все чаще встречаются при разборе инцидентов. Если компании принадлежит популярный бренд, которому массово доверяют потребители, мошенники обязательно постараются воспользоваться этим, чтобы под его прикрытием выманить у пользователей деньги. Фальшивый сайт, на главной странице которого расположен логотип той или иной организации, воспринимается большинством пользователей в качестве легального, принадлежащего этой организации, и потому доверенного. Таким образом, все претензии в случае мошеннических действий будут направляться в адрес компании, чей бренд был атакован. И хотя она абсолютно не причастна к нарушениям закона, это не будет особым оправданием в глазах интернет-сообщества, которое живо реагирует на любые подобные инциденты. «Ложечка», конечно, потом найдется, но вернуть прежний уровень доверия будет уже не так просто.

Последним активом, который стоит выделить особо, когда речь заходит о кибератаках на корпоративную инфраструктуру, является информация. Секреты производства, научные разработки, отчетность, финансовая документация, бизнес-планы, договоры, цены, персональные данные сотрудников - все это и многое другое представляет значительный интерес для компьютерных злоумышленников. Что-то можно продать недобросовестным конкурентам на черном рынке, что-то можно использовать для шантажа руководства пострадавшей компании, а что-то пригодится для осуществления мошеннических операций. При этом похищенные деньги можно вернуть, честное имя - восстановить, а вот, например, утеря «ноу-хау» действительно может привести к утрате конкурентных преимуществ и даже исчезновению бизнеса.

Стоит отметить, что в отличие от первых двух случаев расследование инцидентов, связанных с утечками информации, имеет иную специфику. Дело здесь заключается в том, что хищения денежных средств и сетевые атаки на бренды по сути своей являются мошенничествами. То есть присутствуют соответствующие квалифицирующие признаки, нанесен определенный ущерб и т. д., а значит, при наличии соответствующих доказательств злоумышленников можно привлечь к уголовной ответственности и потребовать возмещения причиненного ущерба. Информация защищается законом несколько в ином порядке, и не всегда можно однозначно сказать, является ли она конфиденциальной или нет и был ли вследствие утечки нанесен компании какой-либо ущерб. Поэтому в этой статье мне бы хотелось уделить внимание некоторым особенностям, связанным с расследованиями утечек.

Режим коммерческой тайны как профилактическая мера

Прежде, чем обратиться непосредственно к вопросам расследования подобного рода инцидентов, необходимо остановиться на режиме коммерческой тайны, без внедрения которого защитить корпоративную конфиденциальную информацию в рамках правового поля представляется затруднительным.

Каждая компания независимо от того, ведет ли она уже успешный бизнес или же только появилась на рынке, имеет свои секреты ведения бизнеса и достижения успеха. В одном случае это оригинальные разработки по организации структуры деятельности (например, разветвленная структура региональных представителей, система управления внутри организации); в другом - эксклюзивные методики производства продукции или оказания услуг; в третьем - маркетинговые мероприятия, направленные на продвижение продуктов и услуг компании. Все вышеуказанное в той или иной степени может относиться к любой компании как на российском, так и на мировом рынке.

Кроме того, любая компания имеет свой личный опыт в сфере ведения бизнеса и обладает уникальным набором собственных разработок и инструментов, которые способствуют ее развитию на рынке. Информация о таких инструментах по естественным причинам является объектом пристального внимания конкурентов, желающих получить сведения о разработках компании для применения в своих интересах. Конечно, компания – обладатель такой информации строго следит за тем, чтобы сведения не были раскрыты и не был причинен соответствующий ущерб. Для достижений указанных целей и защиты своих интересов компании устанавливают режим коммерческой тайны.

«Коммерческая тайна» - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Под информацией, составляющей коммерческую тайну в соответствии с N 98-ФЗ «О коммерческой тайне», понимается любая информация, содержащая научно-технические, технологические, производственные, финансово-экономические сведения, в том числе составляющие секреты производства («ноу-хау»), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которым нет свободного доступа на законном основании и в отношении которых обладателем такой информации введен режим коммерческой тайны.

Таким образом, при осуществлении защиты информации, составляющей коммерческую тайну, организации имеют возможность обезопасить себя от существенных рисков, например, финансового ущерба, защитить свою репутацию и повысить конкурентоспособность. Если в организации отсутствует введенный режим коммерческой тайны или он введен с нарушением законодательства, то отсутствует и сама коммерческая тайна.

Закон содержит перечень необходимых действий для введения режима коммерческой тайны в организации:

  1. определить перечень информации, составляющей коммерческую тайну;
  2. ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
  3. провести учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
  4. отрегулировать отношения по использованию информации, составляющей коммерческую тайну, с работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
  5. нанести на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» с указанием обладателя этой информации.

Стоит отдельно остановиться на одном важном моменте, связанном с определением перечня информации, составляющей коммерческую тайну. Закон дает право самостоятельно определять сведения, которые будут считаться в организации в качестве конфиденциальных, исходя из специфики бизнеса и особенностей самой компании, ограничиваясь лишь некоторыми исключениями. Следовательно, в компаниях стараются сделать максимально расширенный перечень информации. Но на практике туда попадает и та информация, которая по законодательству не может быть признана коммерческой тайной. В таких случаях при утечке коммерческой тайны защитить интересы организации будет не возможно, так как введенный режим коммерческой тайны будет противоречить законодательству. Поэтому при введении режима коммерческой тайны необходимо обязательно проконсультироваться со сторонними специалистами, которые помогут избежать возможных ошибок и нарушений.

После проведения указанных выше мер режим коммерческой тайны считается введенным, что в целом поможет защитить интересы компании.

Но на практике, когда происходит утечка конфиденциальной информации, организациям приходится сталкиваться с различными сложностями при защите своих прав и интересов в государственных органах, особенно в части возмещения ущерба. Например, при проведении расследования подобного инцидента организации сталкиваются с проблемой доказывания виновности нарушителя и привлечения его к ответственности. Это происходит из-за того, что сам факт введения режима коммерческой тайны еще не гарантирует защиту прав компании в полном объеме, так как дополнительно требуется, что бы в организации полностью было соблюдено трудовое законодательство, а так же проведены необходимые организационные меры. Например, издание необходимых приказов о введении режима коммерческой тайны, разработка внутренних положений и соответствующие инструктажи персонала по данному вопросу.

Отдельно хочу заметить, что при требовании возмещения ущерба от утечки конфиденциальной информации возникают проблемы расчета самого ущерба, так как нет точных и общепринятых алгоритмов расчета. Поэтому необходимо предусмотреть в локальных документах организации и договорах с контрагентами способ расчета ущерба или фиксированные денежные штрафы в случае утечки информации, составляющей коммерческую тайну. Данные действия способствуют положительному результату при возмещении ущерба.

Утечка конфиденциальной информации: меры по расследованию инцидента

Какие инциденты, связанные с утечками информации, можно выделить? Это могут быть:

  • хищения сведений для аутентификации во внутренних системах;
  • кража интеллектуальной собственности;
  • использование рабочих компьютеров для сторонней деятельности;
  • передача сведений ограниченного доступа через программы обмена мгновенными сообщениями и почтовые сервисы/клиенты.

Утечка конфиденциальной информации может осуществляться как умышленно (например, из корыстной заинтересованности), так и случайно (оставление документов на рабочем столе). Соотношение умышленных и случайных утечек практически одинаково. Важно, что любую из них необходимо расследовать для выявления нарушителя, привлечения его к ответственности и возмещения нанесенного ущерба.

Если утечка случилась и данный факт установлен, необходимо, прежде всего, определить носители информации, содержащие интересующие нас сведения. Осмотр, изъятие и иные действия желательно проводить в присутствии независимых компьютерных криминалистов и незаинтересованных лиц, свидетелей, данные которых необходимо занести в соответствующие акты. После этого следует снять полные посекторные копии носителей, дальнейшее криминалистическое исследование которых позволит ответить на максимум вопросов, связанных с инцидентом. Отмечу, что снятие посекторных копий должно проводиться исключительно с использованием программных и аппаратных блокираторов записи. В противном случае копии могут быть не приняты правоохранительными или судебными органами в качестве доказательств при разборе дела. После того, как копии будут сняты, следует опечатать сами носители. Опечатывание производится таким образом, чтобы упаковка смогла гарантировать целостность содержимого, а ее нарушение было невосполнимо.

Параллельно с описанными процедурами следует провести выгрузку сведений из имеющихся в компании журналирующих систем (сетевое оборудование, видеонаблюдение, DLP, IPS, иные системы). Стоит отдельно отметить, что использование DLP-систем может значительно упростить проведение расследования. Такие решения имеют систему журналирования и собственные независимые архивы; также DLP-системы предоставляют возможность проводить поиск требуемых данных по заданным критериям.

Если в компании используется DLP-система и случае регистрации утечки с ее помощью, необходимо зафиксировать полученные сведения и задокументировать сам факт инцидента, параллельно составив соответствующие документы (служебная записка, акт осмотра и т. д.). Сведения из DLP-системы следует выгрузить и записать на носители информации. Одновременно с этими мероприятиями можно начинать аналитические работы по изучению истории работы данного пользователя для того, чтобы определить умысел в его действиях. Это также позволит установить круг пользователей, причастных к инциденту, и устройства, с помощью которых нарушитель осуществлял хищение информации. Как только будут определены эти устройства и если это возможно, следует осуществить их осмотр с дальнейшим изъятием и опечатыванием, о которым говорилось выше.

Возникает справедливый вопрос о том, что делать с опечатанными носителями информации, их посекторными копиями и сведениями из DLP-системы. Наиболее логичный шаг - передать все на исследование в независимую лабораторию компьютерной криминалистики. Это позволит восстановить хронологию события, извлечь необходимые данные, оформить их в качестве допустимых доказательств и подготовить отчет по итогам исследования. Все это потребуется для дальнейшей передачи в правоохранительные и судебные органы для защиты прав и интересов обладателя конфиденциальной информации.

Утечка конфиденциальной информации: правовое преследование

Точка при расследовании любого инцидента информационной безопасности может быть поставлена только в том случае, когда нарушитель будет признан виновным и понесет заслуженное наказание. Так и при утечке конфиденциальной информации основной целью пострадавшей компании является привлечение виновного лица к ответственности и возмещение причиненного ущерба компании.

«Внутренняя» утечка коммерческой тайны подразумевает распространение сведений работниками компании. В основном на практике такие нарушители несут дисциплинарную, административную ответственность и возмещают реально причиненный ущерб за данные действия. Хотя в половине случаев утечка информации происходит по вине сотрудников компании, к сожалению, компании стараются не сообщать в правоохранительные органы и не привлекать своих работников к уголовной ответственности, так как это может отразиться на репутации компании.

В случаях «внешних» утечек, когда хищение информации произошло по вине стороннего злоумышленника, необходимо обязательно обращаться в правоохранительные органы для поиска и привлечения виновных лиц к уголовной ответственности и возмещения причиненного ущерба. В настоящее время наблюдается активный рост утечек конфиденциальной информации при неправомерном доступе к компьютерной информации и использовании вредоносных программ. Подобные преступления можно квалифицировать по совокупности статей 183, 272, 273 Уголовного кодекса РФ и уголовное наказание в этом случае может доходить до 7 лет в виде лишения свободы.

Аналитическая статья Вениамина Левцова, Директора по развитию направления информационной безопасности, LETA IT-company.

Не проходит недели, чтобы в новостных лентах не упоминалось об очередной зафиксированной утечке конфиденциальных данных. Это порождает повышенный интерес бизнес-сообщества и IT-специалистов к системам защиты от подобных действий злоумышленников. А от подразделений, отвечающих за обеспечение информационной безопасности, все активнее требуют построения системы отслеживания и блокирования несанкционированных утечек информации.

Однако у руководителей бизнеса, а порой и у сотрудников технических служб, нет четкого представления, что собой представляют решения по противодействию утечкам информации. Цель настоящей статьи - помочь разобраться, что понимается под системой защиты от утечек, рассказать о смежных системах, определить, какие задачи должны решать системы по борьбе с утечками и какие механизмы при этом используются.

I. Что такое DLP-системы?

Википедия (http://ru.wikipedia.org ) дает следующее определение системы защиты от утечек:

Предотвращение утечек (англ. Data Leak Prevention, DLP) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Отметим, что на практике большое число компаний порой годами использует такие систе мы только в режиме слежения (аудита) , а не блокирования .

Важным дополнением к определению является также и то, что DLP-система должна охватывать все основные каналы утечки конфиденциальной информации. Именно такой позиции придерживается сегодня большинство экспертов в этой области. Кроме того, DLP-система должна быть чувствительной по отношению к проверяемому содержанию (контенту) и обеспечивать автоматизированный механизм отслеживания нарушений заданных правил, то есть без привлечения существенного числа сотрудников-контролеров. С учетом сказанного автор предлагает следующее определение системы защиты от утечек данных:
автоматизированное средство, позволяющее распознавать и/или блокировать перемещение конфиденциальных данных за пределы защищаемой информационной системы по всем каналам, используемым в повседневной работе.

Итак, основная задача технической системы защиты от утечек:

  • получить описание конфиденциальных данных;
  • после чего уметь распознавать их в потоке, исходящем из внутреннего информационного поля организации вовне;
  • реагировать на обнаруженные попытки. Именно этот функционал составляет ядро любого DLP-решения.

II. Близкие или смежные системы защиты

Прежде чем продолжить рассмотрение систем по противодействию утечкам, оценим близкие к ним или смежные по функционалу. Системы защиты конфиденциальной информации от утечки по техническим каналам служат для обнаружения разного рода жучков, «закладок», устройств прослушивания и т. д. У данных систем похожие названия, но на этом сходство заканчивается - задачи они решают разные. Пожалуй, единственный общий элемент схем внедрения таких систем и DLP-решений лежит в управленческой плоскости. В обоих случаях необходимо определить перечень сведений конфиденциального характера и сформировать процесс отнесения информации к этому разряду.

Существует класс систем слежения за действиями сотрудников , к возможностям которых порой относят и выявление каналов утечки конфиденциальной информации. Обычно функционал таких систем включает тотальное журналирование всех действий пользователя, в том числе открытие им страниц в Интернете, работу с документами, отправку документов на печать, клавиатурные нажатия и т. д.

Безусловно, использование подобных систем может принести определенную пользу в борь­бе с утечками данных. Но, во-первых, искать в огромном объеме логов придется силами отдельной группы специально обученных «надзирателей». Во-вторых, это все же пост­контроль нарушений- блокировать саму утечку такой продукт не сможет.

Системы управления правами (Rights Management Services) - позволяют ограни­чить число пользователей и множество раз­решенных операций для документа. Контроль выполняется за счет централизованного уп­равления правами, шифрования и специаль­ных plug-in"oB к приложениям, работающим с документами.

Вероятно, системы разделения прав являются наиболее мощным конкурентом DLP, позволяя предотвратить многие из известных сценариев утечки информации. Разделение прав в первую очередь защищает не содержание документа, а его «контейнер». Так что если у пользователя нет прав на работу сдокументом, он попросту не сможет его открыть. Кроме того, такие сис­темы обычно позволяют ограничивать и ряд других операций с защищаемым документом его печать, снятие экранной копии, копирова­ние его фрагментов через Clipboard, отправку по каналам электронной почты и т. д. Вместе с тем, есть немало ситуаций, когда системы управления правами не позволяют перекрыть распространенные сценарии уте­чек. Посудите сами...

  1. Документ в его финальной редакции был отнесен к числу конфиденциальных, он попадает под защиту системы управления правами. Но на серверах и на компьютерах сотрудников продолжают храниться его черновики и предыдущие версии. Они могут быть очень похожи на окончательный вариант, но их пере­дача вовне никак не ограничена.
  2. Пользователь, не авторизованный на отправку документа по электронной почте, открывает его и стенографирует содержание в другой, незащищенный документ. Никаких ограничений на перемещение вовне созданно­го им документа система не поддерживает.
  3. В большинстве случаев чувствительная для бизнеса информация содержится в записях баз данных. Автору неизвестно о том, как можно осуществить контроль доступа к таким данным средствами систем управления правами.

Существующие на рынке системы монито­ринга и архивирования почтовых сообщений очень близки по своей идеологии к DLP-решениям. Как правило, они позволяют устанавливать некие ограничения на контекст (размер, тип, местоположение файла) и со­держание информации, покидающей защи­щаемую информационную систему. Причем основной акцент делается на доступности и продуктивности почтового архива. А вот ме­ханизмы определения ключевых слов для рас­познавания конфиденциальных документов не отличаются гибкостью и удобством. Кроме того, обычно отсутствуют и механизмы контроля утечек с конечных устройств.

Есть также класс решений по контролю операций с внешними устройствами, самым распространенным примером которых явля­ется съемный USB-накопитель. Такие системы нечувствительны по отношению к содержа­нию. Устройство может быть заблокировано вообще, могут блокироваться попытки за­писи на него файлов определенного объема или заданного формата. Однако определить действия в зависимости от содержания не­возможно.

III. От защиты информации к управлению рисками

К счастью, остались в прошлом времена, ког­да забота о за щите информации была одним из пунктов в длинном списке задач IT-службы Теперь, как правило, инициатива по постро­ению системы борьбы с утечками принадле­жит подразделениям, управляющим бизнесом компании и отвечающим за его безопасность Самым серьезным аргументом в пользу внедрения системы противодействия утеч­кам конфиденциальной информации явля­ется требование закона. Именно появление соответствующих нормативных актов в США, Японии и Западной Европе стало, навер­ное, главным катализатором возникновения DLP как класса решений. Можно нисколько не сомневаться, что и у нас интерес к ним немедленно вырос бы, появись в России им­перативные правовые нормы, однозначно обязывающие компании обеспечить наличие технических средств защиты от инсайдеров. Но пока основными мотивами для инициации процесса остаются либо желание отреагиро­вать на факт уже случившейся утечки, либо намерение снизить вероятность наступле­ния подобного события в будущем Как видите, вполне естественно мы перешли к разговору в терминах управления рисками.

Действительно, первый шаг процесса, ведущего к внедрению DLP-системы, - отнесение проблемы утечек информации к области риск-менеджмента.

Практически для любой организации сейчас существует немало данных, последствия несанкционированной утечки которых может нанести ей ощутимый ущерб. Заранее оценить размер этого ущерба почти невозможно. Но в большинстве случаев для того, чтобы осознать опасность, исходящую от утечек информации, достаточно представить даже общие последствия: снижение доверия и отток клиентов, проблемы в конкурентной борьбе, затраты на PR, утечка программного кода, технологий, ноу-хау и многое другое. База заемщиков среднего по размерам банка, который потратил немало средств на создание имиджа «надежного», попадает на «Горбушку». Интересно, у вас возникнет желание открыть в этом банке депозит? Внутренняя аналитика инвестиционного фонда попадает к конкуренту или к клиентам фонда (иногда неизвестно, что может иметь более серьезные последствия). Теперь конкурент лучше понимает вашу стратегию, а у клиента появляются неприятные вопросы. Как думаете, сколько потенциально может потерять этот фонд в такой ситуации? Крупная сеть супермаркетов добивается получения уникальных условий поставки товара. Разумеется, специальные цены предоставляются на условиях конфиденциальности. И вот они попадают к конкуренту, который работает с тем же поставщиком на гораздо менее привлекательных условиях. Как думаете, сохранятся для вас специальные цены? Не ухудшатся ли отношения с поставщиком после всего этого?

Продолжать можно очень долго, но не вызывает сомнения, что для любой организации существует множество ситуаций, связанных с утечками информации, ущерб от которых весьма чувствителен для бизнеса. Существует 4 классических подхода к управлению рисками: принятие, исключение, передача, снижение. Рассмотрим проблему через призму этих подходов.

Принятие. Предполагаем, что существует некоторая вероятность наступления события - утечки информации. Оцениваем убытки, готовим список мер на случай наступления, но не производим инвестиций во внедрение решения по борьбе с утечками. Этот подход едва ли применим - потери бизнеса могут поставить под вопрос само его существование.

Исключение. В нашем случае практически невыполнимо. Даже внедрение современной DLP-системы не спасет от ряда нетипичных сценариев. Например, почти невозможно защититься от переписывания текста секретного документа на бумагу или от телефона со встроенной камерой в руках инсайдера. Драконовские санкции в отношении персонала, допустившего утечку, также не гарантируют исключения риска.

Передача. Сложно представить, как можно транслировать риск утечки информации на внешнюю организацию. Насколько известно автору, подобные риски не страхуются. Трудно также предположить, что IT-аутсорсер сможет взять на себя часть возмещения последствий. Можно передать DLP-систему на аутсорсинг лишь в смысле ее технической эксплуатации, но как передать весь объем рисков - не вполне понятно.

Снижение. Предпринимаются меры по существенному снижению вероятности наступления нежелательного события. По сути, объем требуемых затрат связан с достижением приемлемого уровня риска. Именно этот подход ведет нас к внедрению DLP-системы. В реальности борьба с инсайдерами - далеко не единственная область, где можно лишь снизить риск, сделать его более управляемым. Представьте, что вы садитесь за руль своего автомобиля. Он исправен, прошел регулярное ТО, резина - по сезону. Ваши документы в порядке, вы трезвы, пристегнуты ремнем, знаете маршрут и никуда не спешите, у вас полная КАСКО. Итак, вы сделали все от вас зависящее, чтобы снизить риск возникновения препятствий вашему движению к цели. Но кто сказал, что за поворотом вас не ждет уставший водитель грузовика, вылетевшего на встречную? Вас не ждет гвоздь в колее дороги, по которой вы будете двигаться? Кстати, не истек ли срок службы огнетушителя в вашем багажнике? Итак, риски сохраняются. Но в подавляющем большинстве случаев при таких условиях вы благополучно доедете до пункта назначения.

Итак, принятие мер поможет существенно снизить риск, сделать управляемой реакцию на наступление негативных последствий. Но полностью исключить возможность утечки информации практически невозможно.

IV. Основные пути утечки информации

Можно выделить 3 основных сценария, приводящих к выведению информации за пределы информационной среды компании: сетевой, локальный и в связи с утратой носителя.


Рассмотрим эти сценарии более подробно.

Сетевой сценарий предполагает отправку информации за «периметр» контролируемого информационного поля средствами электронной почты, через системы передачи мгновенных сообщений (ICQ, MSN, AOL), посредством веб-почты (mail.ru, gmail.com), через использование ftp-соединения, путем печати документа на сетевом принтере. Для обнаружения конфиденциальной информации, передаваемой сетевыми средствами, требуются механизмы перехвата почтового и интернет-трафика, а также контроль за сетевыми принт-серверами.

Локальный путь вывода информации включает применение внешних USB-накопителей и съемных жестких дисков, запись на CD/DVD и локальную печать.
Очевидно, единственным способом отслеживания такого рода действий является установка на компьютере пользователя программы-агента, способной отслеживать потенциально опасные действия и реагировать на них в соответствии с централизованно управляемыми политиками.

Незаконное завладение носителем (переносным компьютером, смартфоном) в реальности является самым распространенным случаем, когда конфиденциальная информация становится доступной третьим лицам. Ноутбуки теряются и воруются - почти каждая компания сталкивается с этим риском, и свести его к нулю невозможно. Практически единственный действенный способ борьбы в данном случае - шифрование всего диска или отдельных файлов.

В настоящее время среди экспертов нет единой точки зрения по поводу того, относить ли шифрование переносных устройств к типичному функционалу систем борьбы с утечками данных. По мнению автора, поскольку этот сценарий утечки является весьма распространенным, полноценное решение должно предусматривать и криптографическую защиту. К слову, производители многих существующих DLP-систем (McAfee, Symantec, InfoWatch) уже включают в свои пакеты средства шифрования конечных устройств.

В рамках настоящей статьи не хотелось бы останавливаться на описании конкретных случаев утечек данных, ставших достоянием гласности, и обсуждать, какие из каналов
утечек используются чаще всего. В качестве источника предметной и наиболее актуальной информации по этому поводу можно порекомендовать разделы «Аналитка» и «Новости об угрозах» сайта компании InfoWatch (www. infowatch.ru ), пионера и лидера российского рынка DLP-решений, а также сайт образованной в 2007 году компании Perimetrix (www. perimetrix.ru ).

На этих сайтах можно найти множество примеров, убеждающих в серьезности опасности, которую несут в себе утечки конфиденциальной информации.

V. Методы распознавания защищаемой информации

Ядром любого DLP-решения является механизм, позволяющий распознавать в информации, покидающей защищаемую систему, конфиденциальные фрагменты. Рассмотрим 6 основных механизмов, которые используются для этих целей в DLP-продуктах.

Ручная разметка содержания

Этот подход называют еще контекстным и морфологическим. Определение конфиденциальной информации производится на основе выделения в ней множества значимых, определяющих содержание слов, называемых также ключевыми .

Для каждого из слов определяется некоторый вес , и каждое слово соотносится с некоторой предметной категорией . Например, в категорию «Бухгалтерский отчет» могут попасть общие бухгалтерские термины и какие-то слова, специфичные для бизнеса данной компании. Кроме того, для каждой категории обычно задается и свой порог чувствительности. Система на «боевом дежурстве» ищет в исходящих документах эти самые выделенные, ключевые, слова. Поскольку у каждого ключевого слова имеется некоторый вес и категория (слово может входить и в несколько категорий, в каждую - со своим весом), не составляет труда посчитать суммарный вес обнаруженных в документе ключевых слов для каждой категории. В результате документ может быть автоматически признан конфиденциальным по тем категориям, для которых был превышен порог чувствительности . Эффективность работы описанного механизма может быть существенно повышена за счет подключения внешнего ПО, позволяющего отслеживать не только заданные ключевые слова, но и их словоформы.

Плюсы

  • Можно обеспечить очень тонкую настройку на отдельные документы, в результате будут отлавливаться даже их фрагменты.
  • Возможен контроль и над вновь создаваемыми документами, если они содержат выделенные ранее ключевые термины.

Минусы

  • Подготовка хорошей, тонкой настройки предполагает ручную работу квалифицированного специалиста. Это может занять немало времени.
  • Такой специалист будет вовлечен в работу с конфиденциальной информацией.
  • На практике трудно осуществим быстрый пилотный запуск системы.
  • Относительно высок уровень ложных срабатываний.

Использование контекста хранения информации

Отслеживаются параметры, относящиеся не к содержанию, а к файлу с конфиденциальной информацией. Контролироваться могут формат (причем не по расширению файла, а по его сигнатуре), расположение, размер и т. д. Таким образом, можно задавать правила, препятствующие перемещению файлов, например, определенного формата, вовне.

Плюсы

  • Простота реализации и настройки.


Минусы

  • Хотя подобные технологии контроля реализованы практически во всех DLP-систе-мах, они могут быть использованы лишь как дополняющие основные методы, основанные на анализе содержания.

Использование меток и программы-агента

Этот метод основан на описанном выше подходе, но существенно его расширяет. Изначально необходимо каким-то образом пометить документ, вручную или путем размещения его в определенную папку в сети. После чего система начнет воспринимать его как конфиденциальный. Технически для осуществления такого механизма необходимо наличие на рабочем месте специальной

Программы-агента, которая, собственно, и могла бы распознавать документ как конфиденциальный, «навешивать» признак конфиденциальности на все производные документы и блокировать отдельные действия пользователя с помеченными документами.

Плюсы

  • Простота развертывания и возможность «быстрого старта» реального проекта.
  • Контроль операций, когда компьютер вне сети.

Минусы

  • Нет контроля за черновиками.
  • Не закрывается сценарий стенографирования документа.

Регулярные выражения

С помощью некоторого языка регулярных выражений определяется «маска», структура данных, которые относятся к конфиденциальным. На практике существует немало случаев, когда определение объектов слежения через их формат оказывается эффективным и надежным. В качестве примера можно привести номера кредитных карт, паспортные данные, регистрационные номера автомобилей, активационные коды программного обеспечения и т. д.

Плюсы

  • Минимальное время анализа проверяемых данных.
  • Высокая надежность обнаружения.

Минусы

  • Разработка и отладка регулярного выражения требует привлечения квалифицированного специалиста.
  • Может быть применено только к узкому классу данных.

Статистические методы

Использование статистических, вероятностных методов в DLP-системах представляет интерес в некоторых ситуациях. Например, при анализе больших объемов неструктурированных данных или при анализе неявного сходства. Можно предположить, что эти методы будут все активнее применяться на практике, но как дополнительные.

Плюсы

  • Уникальная эффективность в некоторых случаях, например, для противодействия примитивным обратимым подменам символов.

Минусы

  • Применимо только к небольшому классу сценариев.
  • Непрозрачный алгоритм работы.
  • Потенциально высокий уровень ложных срабатываний.

Снятие «цифровых отпечатков»

Этот метод основан на построении некоторого идентификатора исходного текста. Как правило, реализуется следующий автоматический алгоритм:

  1. Из документа, содержание которого считается конфиденциальным, выделяется текстовое содержание.
  2. Текст некоторым образом разбивается на фрагменты.
  3. Для каждого такого фрагмента система создает некий идентификатор, что-то вроде «хэша», «отпечатка» - как это называется в документации многих производителей.
  4. Конфиденциальный документ представляется в системе набором таких «отпечатков».

Для сопоставления проверяемого текста с множеством конфиденциальных документов для него «на лету» по аналогичному алгоритму строится аналогичный же набор «отпечатков». Если оба множества отпечатков демонстрируют некоторую схожесть, система диагностирует попытку утечки. Как правило, реализуется алгоритм «оцифровки» таким образом, что по «отпечаткам», создаваемым системой, восстановить исходный документ невозможно.

Плюсы

  • Процесс определения конфиденциального документа полностью автоматизирован, не требуется привлечения консультанта для разметки текста.
  • Быстрая настройка системы на новые документы.
  • Отслеживание черновиков и фрагментов документа.
  • Осуществление контроля утечек записей из баз данных.
  • Минимальное время задержки при анализе исходящих документов.
  • Низкий уровень ложных срабатываний.

Минусы

  • Хранение «цифровых отпечатков» требует дополнительных ресурсов.
  • Размер надежно распознаваемого фрагмента обычно составляет от половины страницы текста.




Необходимо отметить, что все DLP-системы поддерживают несколько механизмов идентификации, дополняющих друг друга в различных сценариях.

V. Как работает DLP-система

Рассмотрим схематично, как функционирует DLP-система, противодействующая сетевому и локальному сценариям утечки информации.

Стержневой функционал DLP-системы можно условно разделить на три блока:

  • настройка системы на данные, определенные как конфиденциальные;
  • распознавание действий, направленных на перемещение конфиденциальных данных;
  • формирование доказательной базы для расследования инцидентов.

Настройка системы на данные

В первую очередь необходимо определить данные, перемещение которых будет контролироваться системой, «предъявить» их системе с использованием каких-либо методов, описанных в предыдущей главе и определить реакцию системы на обнаруженные инциденты. Важны также и параметры реакции на инцидент. Предполагает ли она блокирование какой-либо операции: отправки электронного письма, создания экранной копии защищаемого документа, записи данных на USB-накопи-тель. Независимо от блокирования практически всегда в журнал системы производится запись максимально подробной предметной информации об инциденте. Необходимо описать и правила информирования об инциденте

  • сотрудника подразделения, отвечающего за обеспечение информационной безопасности;
  • лица, являющегося владельцем информации;
  • самого подозреваемого в попытке организации утечки.

Это лишь основные настройки базового функционала практически любой DLP-системы.

Распознавание подозрительных действий пользователей

В случае противодействия утечкам с использованием сетевого сценария , DLP- система осуществляет перехват (блокирование) или зеркалирование (только аудит) отправки, проводит анализ содержания отправки в соответствии с используемыми механизмами контроля. Затем, в случае обнаружения подозрительного содержания, происходит информирование ответственного сотрудника, а детали инцидента вносятся в журнал системы.

Сама же отправка может быть приостановлена, если схема подключения DLP-модуля позволяет это сделать. Надо отметить, что большинство DLP-сис-тем предполагает осуществление «досылки» задержанных ранее сообщений. Назначенный сотрудник оценивает, насколько адекватным был вердикт системы и, если тревога оказывается ложной, вручную отдает команду провести отправку задержанного сообщения.

Подобным образом ведет себя и DLP-система, контролирующая операции с данными на компьютере пользователя . Локальный агент

  • отслеживает факт обращения к конфиденциальной информации (может использоваться механизм меток);
  • блокирует все запрещенные действия (print screen, печать, формирование отправки через коммуникационные каналы и т. д.);
  • блокирует обращение к файлу через программы, не внесенные в число разрешенных для работы с данным файлом;
  • формирует «цифровые отпечатки» открытого документа и препятствует отправке конфиденциального содержания, «набитого» в другой файл;
  • формирует журнал событий, который при очередном сеансе связи передается в консолидированную базу инцидентов.

Важно понимать, что при наличии локального агента с базой меток и «цифровых отпечатков» вердикт принимается на самой рабочей станции. Таким образом удается в онлайн-режиме оперативно блокировать запрещенные действия без потерь времени на обращение к сетевому хранилищу (в том числе, когда ноутбук находится вне сети - в дороге). Итак, сетевые механизмы перехвата оперируют с уже сформированными пакетами, в то время как агентское решение отслеживает сами действия на конечной рабочей станции. Надо отметить, что большинство DLP-решений использует комбинированный подход: и сетевой перехват отправки, и локальный агент.

VI. Основные игроки рынка

Представленные ниже оценки преимуществ отдельных продуктов составлены исходя из опыта работы над реальными проектами. Все цены приводятся лишь в качестве общих ориентиров и являются примерными. Они предполагают полную стоимость проекта, включая интеграционные и аналитические работы. Специфика проектов по внедрению систем противодействия утечкам такова, что реальная оценка их стоимости может быть подготовлена только по результатам исследования конкретной ситуации у заказчика.

InfoWatch

В настоящее время лидирующие позиции на российском рынке сохраняет компания InfoWatch, приложившая немалые усилия для популяризации идей борьбы с инсайдерами. В качестве основного механизма распознавания конфиденциальной информации в продуктах этой компании используется анализ содержания (на базе уникального лингвистического «движка») и формальных атрибутов отправки. Детальная проработка «тонкой» лингвистической разметки позволяет достичь высокого качества распознавания, но надо отметить, что этот процесс требует времени и предполагает оказание профессионального сервиса.

Решение InfoWatch предоставляет развитые средства контроля сетевых сценариев утечки с использованием корпоративной почты и веб-соединения. В этой связи можно упомянуть появление в составе решения универсального прозрачного прокси-сервера, осуществляющего фильтрацию данных. Применение этого подхода, наряду с использованием отдельных перехватчиков, позволяет выбрать наиболее оптимальную для заказчика схему работы решения.

Другая важная тенденция - включение средств шифрования в решение по защите от утечек - также не осталась без внимания вендора. В линейке уже появился продукт InfoWatch CryptoStorage, призванный решать эту задачу. Необходимо отметить, что в состав InfoWatch Traffic Monitor входит собственное хранилище теневых копий перехваченных данных. При этом данные хранятся в структурированном виде с указанием категории и с сохранением возможности полнотекстового поиска. Это позволяет проводить ретроспективный анализ данных и облегчает расследование отдаленных по времени инцидентов.

К явным преимуществам решения на базе продуктов InfoWatch можно также отнести интерфейс на русском языке, наличие лицензии российских контролирующих органов на ряд версий, солидный опыт по внедрению, накопленный самой компанией и ее партнерами, и, конечно же, близость команды разработчиков. Сложно назвать среднюю фиксированную цену проекта на базе InfoWatch, поскольку его реализация включает не только поставку программного обеспечения, но и аппаратное оснащение, а также работы консультанта по подготовке базы контентного анализа. В среднем внедрение всех компонент InfoWatch Traffic Monitor в сети на 1000 рабочих мест может составить от $300 тыс. до $500 тыс.

Websense

Компания Websense, мировой лидер решений по веб-фильтрации, приобрела в 2007 году фирму PortAuthority Technologies, что позволило ей занять ведущие позиции на рынке систем для предотвращения утечек конфиденциальных данных. Линейка продуктов Websense Data Security Suite (DSS), появившаяся на российском рынке во второй половине 2007 года, включает несколько модулей, которые могут приобретаться отдельно. Основным механизмом распознавания конфиденциальной информации в продуктах Websense DSS является «цифровой отпечаток», реализованный в запатентованной технологии PreciseID.

Поддерживаются и другие методы идентификации: правила, словари, статистический анализ. Технология устойчива к операциям вставки-копирования и частичного изменения содержимого документа, не зависит от языка документа и поддерживает русскоязычные кодировки. По опыту работы с этой технологией можно сказать, что она действительно показывает высочайшее качество распознавания и близкий к нулевому уровень ложных срабатываний, сохраняя эффективность даже при некотором изменении содержания. При этом настройка системы на вновь подключаемый документ занимает минуты. Важной и востребованной является возможность противодействовать утечкам содержания реляционных баз данных, также реализованная в технологии PreciseID.

Решение предоставляет широкие возможности по контролю данных отдельных полей, их комбинаций, позволяет задавать пороговые значения количества пересылаемых записей, отслеживать отправку этой информации в теле, теме или во вложениях письма и многое другое. Решение Websense DSS контролирует все основные каналы передачи данных, включая исходящую и внутреннюю электронную почту, исходящий веб-трафик, ftp, приложения обмена мгновенными сообщениями, сетевую печать. Необходимо отметить также реализованную в модуле Websense Data Discover возможность контроля данных на конечных станциях и в сетевых хранилищах.

Этот механизм позволяет осуществлять регулярные проверки на предмет обнаружения конфиденциальных документов, их фрагментов и «черновиков», используя возможности технологии PreciseID. Что касается защиты от локальных сценариев утечек, в настоящее время используется интеграция с решениями других производителей. Но уже до конца этого года компания планирует выпуск собственного агента Websense DSS, функциональность которого будет перекрывать практически все сценарии утечек с конечной рабочей станции. Затраты на проект внедрения решения по защите от утечек на базе линейки Websense DSS в сети на 1000 рабочих мест могут в среднем составить $100–150 тыс. при стоимости лицензий на полный набор модулей около $70 тыс. Продукт предоставляется на условиях подписки, то есть требуется ежегодное продление лицензий.

McAfee

Решение для защиты от утечек McAfee Host DLP появилось на российском рынке в конце 2007 года. Оно базируется на применении программы-агента, которая управляется с единой консоли McAfee ePolicy Orchestrator, устанавливается на компьютер и контролирует операции пользователя с конфиденциальной информацией. В настоящее время в линейку McAfee Data Protection наряду с DLP-функциональнос-тью включены также широкие возможности по шифрованию данных и контролю внешних устройств. Соответственно, McAfee Data Protection может успешно использоваться и для решения задачи по контролю политик использования внешних уcтройств, например, USB-накопителей.

По опыту использования этого продукта можно сказать, что он обеспечивает надежную защиту через механизмы тэггирования (по сути, установки меток) документов и снятия «цифровых отпечатков». Продукт демонстрирует удивительную чувствительность, реагируя даже на небольшие фрагменты защищаемых документов - вплоть до нескольких строк. Наряду с возможностями мониторинга и блокирования отправки информации через корпоративную почтовую систему, http, ftp, системы передачи мгновенных сообщений, продукт позволяет блокировать такие операции, как копирование фрагментов защищаемого документа через clipboard и снятие экранной копии.

Важно, что агент продолжает выполнять свои защитные функции даже когда ноутбук с данными находится вне сети предприятия - отключить процесс неподготовленному пользователю не под силу. Если заказчик выбирает продукты McAfee для построения полноценной защиты и от внутренних угроз, и от внешних (вирусы, сетевые атаки и т. д.), это открывает ему дополнительные возможности. В частности, упрощается управление системой информационной безопасности, появляются дополнительные сценарии контроля, минимизируются общие затраты и т. д.

Благодаря использованию системы управления McAfee ePolicy Orchestrator (одной из лучших в антивирусной индустрии) и удачной реализации программы-агента это решение подойдет для компаний с распределенной инфраструктурой и большим парком переносных компьютеров. А с учетом относительно демократичной политики лицензирования, продукт устроит и небольшие предприятия с парком от 50-ти компьютеров. Оценочная стоимость внедрения наиболее полного решения McAfee Total Protection for Data (TDA), включающего McAfee DLP, McAfee Endpoint Encryption и McAfee Device Control на 1000 пользователей может составить $100–130 тыс.

VII. С чего начать?

Этот материал не смог охватить еще очень много интересных вопросов использования систем противодействия утечкам информации. Как подойти к выбору DLP-системы? Как построить технико-экономическое обоснование ее использования? Что может быть включено в пилотное внедрение DLP-системы и на какие вопросы следует при этом обратить внимание? Как вплетаются работы по внедрению DLP-системы в общую схему управления информационной безопасностью? Каковы особенности проектов по внедрению таких систем?

Автор надеется продолжить изложение этих тем в последующих публикациях, а в завершение хотелось бы ответить на вопрос: «Так с чего же начать?» Практика показывает, что полноценное внедрение системы противодействия утечкам информации на базе одного из DLP-продуктов возможно только при активном участии специализированного системного интегратора. И первое, с чего, пожалуй, стоит начать, - обратиться к консультанту. Это может быть IT-компания, обладающая солидным опытом внедрения систем противодействия утечкам информации. Совместно вам предстоит пройти три начальных этапа.

Первое - обсудить с группой экспертов консультанта текущую ситуацию и цель внедрения DLP-системы на предприятии.

Второе - принять участие в «живой» демонстрации предлагаемых к внедрению DLP-систем. В рамках показа стоит попробовать системы, что называется, «на вкус» и совместно с экспертами выбрать одну из них для пилотного развертывания.

И, наконец, третье - согласовать с консультантом параметры пилотного запуска системы, зафиксировать ожидания от его реализации и провести развертывание На деле все эти стадии могут быть завершены в срок от двух до трех месяцев, после чего можно приступать к основному проекту по внедрению системы противодействия утечкам информации.

Вениамин Левцов
 Директор по развитию направления ИБ
LETA IT-company

Журнал "IT Manager", август 2008 года

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

На современном этапе развития общества информация является таким же активом компании, как ее продукты и услуги, технологии и процессы, финансовые и трудовые ресурсы. Во многих компаниях большая часть информации хранится и обрабатывается в электронном виде. Конечно, это в разы повышает удобство работы и скорость взаимодействия, а также позволяет автоматизировать бизнес-процессы и т.п. Однако риски, связанные с нарушением установленного статуса информации (конфиденциальность, целостность, доступность), растут пропорционально выгоде.

ПРЕДОТВРАЩЕНИЕ утечки информации по сути своей является обеспечением одного из неотъемлемых ее свойств - конфиденциальности. Разглашение конфиденциальной информации приводит к прямым материальным убыткам, потере интеллектуальной собственности, снижению репутации организации и уровня доверия клиентов и партнеров. Кроме того, увеличивается риск финансовой ответственности компании за нарушение правовых норм, регулирующих процессы обработки конфиденциальных данных. В большинстве случаев предотвратить утечку и сократить риски нарушения конфиденциальности только техническими средствами или только организационными методами невозможно - необходим комплексный подход. Каждый владелец информации должен уметь ответить на следующие вопросы: где хранятся конфиденциальные данные, кто имеет к ним доступ, кем и как они используются, куда перемещаются?

Подходы к выбору решения и технологий защиты

Наилучшим техническим вариантом для предотвращения утечки данных является применение систем класса DLP (Data Loss/Leakage Prevention). Они контролируют все наиболее вероятные каналы утечки (электронная почта, Интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и др.), позволяют идентифицировать информацию самыми современными способами, что обеспечивает наименьшее количество ложных срабатываний.

Также для обеспечения конфиденциальности информации используются системы класса IRM (Information Right Management). В данном случае защита осуществляется на уровне контента, то есть защищается сама информация, например внутри электронного письма или документа, и становится доступной только тем сотрудникам, которым доступ разрешен политикой безопасности.

Кроме перечисленных, существуют точечные решения по защите от утечки (например, контроль только съемных носителей или только мобильных устройств). Они могут оправдать себя в случае, если в компании остро стоит проблема одного-двух определенных каналов утечки. Данные решения, как правило, не осуществляют анализ самой информации, защита идет исключительно на уровне разграничения доступа к определенным устройствам и портам, что не так удобно и гибко. И в будущем, в случае появления потребности в комплексной защите от утечки, издержки, связанные с интеграцией ранее внедренных решений по контролю отдельных каналов, неприятно удивят.

Однако не стоит забывать о других методах, используемых инсайдерами для разглашения конфиденциальной информации, таких как фотографирование экрана монитора, переписывание на бумажный носитель и пр. Системы DLP, IRM и другие технические средства здесь бессильны, но на помощь приходят организационные мероприятия - обучение сотрудников, создание корпоративной культуры информационной безопасности и т.п.

Системы класса DLP

Остановимся подробнее на системах DLP. Понятие DLP (Data Loss/Leakage Prevention -предотвращение утечки информации) появилось достаточно давно и характеризует системы подобного класса. Изначально это маркетинговое название, которое придумали производители подобных систем. Поэтому есть некоторая путаница в терминологии: например, система шифрования жестких дисков также обеспечивает конфиденциальность хранящейся информации, то есть предотвращает утечку этой информации, но никто не называет системы шифрования системами DLP. Или, например, если почтовый сервер просто умеет фильтровать исходящие письма и в зависимости от наличия в них ключевых слов принимает решение об отправке письма вовне, можно ли назвать такое решение системой DLP? Думаю, нет.

Современная система класса DLP представляет собой техническое решение, которое в совокупности с организационными методами (регламенты, руководства, политики, отчетность, обучение сотрудников) обеспечивает комплексную защиту от утечки информации. Система обладает следующими основными характеристиками:

  • контролирует практически все технические каналы утечки из информационной системы;
  • имеет возможности поиска информации в информационной системе (файловые хранилища, базы данных, системы документооборота и т.п.);
  • обладает единым интерфейсом управления с возможностями ролевого разграничения доступа;
  • может в режиме реального времени реагировать на возникающие инциденты и применять автоматизированные правила (заблокировать, перенести в карантин, уведомить офицера ИБ и т.п.);
  • обладает мощными и гибкими средствами построения и представления отчетности по возникающим инцидентам;
  • умеет распознавать информацию несколькими способами (ключевые слова, цифровые отпечатки, типы файлов и т.п.).

На данный момент на российском рынке представлено достаточное количество производителей систем DLP, рынок относительно молодой и, несмотря на кризис, продолжает расти. При построении решения по защите от утечки информации мы используем продукты лидеров - Symantec, Websense, RSA, которые отлично зарекомендовали себя и имеют богатый опыт инсталляций по всему миру. Данные производители имеют четкий план развития продуктов, понимают потребности и специфику рынка. Выбор продукта на стадии проектирования в первую очередь зависит от потребностей заказчика и особенностей существующей у него инфраструктуры.

Реализация системы DLP. Опыт и подход КРОК

Построение системы предотвращения утечки является комплексным проектом, в котором могут быть задействованы как технические специалисты и аудиторы, так и представители бизнес-подразделений заказчика. В целом этапы проекта можно разбить на две составляющие: организационная часть и техническая.

К организационной части можно отнести следующие основные этапы:

  • аудит текущего состояния информационной системы и информационных потоков, вероятных каналов утечки;
  • определение и классификация информационных активов;
  • выделение наиболее критичных из них с точки зрения обеспечения конфиденциальности (коммерческая тайна, персональные данные, интеллектуальная собственность и т.п.), определение роли и места данных активов в бизнес-процессах компании, а также возможных последствий их разглашения;
  • разработка политик обработки защищаемых информационных активов;
  • разработка методов реагирования на инциденты;
  • разработка программы обучения сотрудников технологиям работы с системой и правилам работы с конфиденциальной информацией.

Основные этапы технической части:

  • выбор продукта, на основе которого будет реализовано решение;
  • проектирование системы, разработка руководств, инструкций и регламентов;
  • реализация системы, интеграция с существующей IT-ин-фраструктурой;
  • реализация разработанных правил и политик.

На основе опыта компании КРОК по внедрению DLP-систем могу отметить, что успех проекта и эффективная отдача от внедрения системы во многом зависят от следующих факторов:

  • заинтересованность обеих сторон в качественном результате, постоянное взаимодействие и слаженность работы проектной команды с представителями заказчика;
  • поэтапное внедрение системы, начиная с работы в пассивном режиме (только аудит инцидентов) с дальнейшим переходом на блокирование запрещенных действий (такой подход не позволит резко нарушить существующие привычные процессы обработки информации, даже если они неверны);
  • опыт проектной команды по внедрению инфраструктурных решений (корпоративная почта, доступ в Интернет и др.), без которого просто невозможна интеграция системы DLP;
  • опыт проведения аудита информационной системы, разработки сопроводительной и отчетной документации;
  • опыт эффективного обучения сотрудников, эксплуатирующих систему, а также обучение пользователей работе с конфиденциальной информацией.

В заключение хотелось бы добавить, что само по себе внедрение системы DLP не является панацеей и мгновенной защитой от всех внутренних угроз, связанных с нарушением конфиденциальности. Действующая система позволяет исключить практически все возможности случайной утечки информации (например, информация лежит в открытом доступе на файловом сервере, сотрудник не знал, что информация конфиденциальная и пытался отправить ее знакомому). А в совокупности с такими методами защиты, как шифрование информации, разграничение доступа, аудит и мониторинг событий ИБ, организационно-правовыми методами она существенно затруднит осуществление умышленной кражи конфиденциальной информации.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т. е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т. е. таким воздействиям, которые нарушают ее установленный статус. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц).

Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся (в скобках указаны существующие варианты названий форм):

    хищение носителя информации или отображенной в нем информации (кража);

    потеря носителя информации (утеря);

    несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);

    искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);

    блокирование информации;

    разглашение информации (распространение, раскрытие).

Термин «разрушение» употребляется главным образом применительно к информации на магнитных носителях.

Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации.

Блокирование информации в данном контексте означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Реализация форм проявления уязвимости документированной информации приводит или может привести к двум видам уязвимости - утрате или утечке информации.

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. В литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами: «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход не является правомерным. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). «Может произойти» не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть, и «прихвачен» мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью «подсидки», причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.