10 ноября, 2015, BIS Journal №4(19)/2015

Утечки информации: лучше предотвратить, чем ликвидировать последствия


Окулесский Василий

заместитель начальника службы ИБ, кандидат технических наук (ОАО "Возрождение")

DLP — одна из базовых систем, обязательных для организации обеспечения информационной безопасности банка

DLP-системы и отдельные решения могут применяться универсально, в разных отраслях, защищая государственные, частные, финансовые, технические и т. п. ресурсы. Использование DLP-систем в банках — частный случай использования корпоративных автоматизированных систем, предотвращающих утечки информации, применительно к кредитно-финансовой отрасли. Отношение к ним можно сформулировать одним предложением: это одна из трёх-четырёх систем, обязательных для правильной организации обеспечения информационной безопасности банка.


НЕ ПАНАЦЕЯ, А ЧАСТЬ КОМПЛЕКСНОЙ СИСТЕМЫ

Менее десяти лет назад на российском рынке DLP-решения (Data Loss Prevention) появились как технология, позиционировавшаяся как средство контроля сотрудников, для предотвращения утечек информации. Такая система должна быть установлена в разрыв сети, что чревато блокировкой всего потока информации, прерыванием бизнес-процессов. Поэтому банки поначалу относились к DLP-системам с осторожностью.

Суть DLP — контроль входящих и исходящих потоков обмена, получения и передачи информации, включающий меры не только организационные и технические, но и нормотворческие. Обязательными элементами являются набор регламентов, обучение персонала, мониторинг и анализ работы технических средств защиты информации, их постоянная подстройка. Только при слаженной работе этих составляющих получается нужный результат.

Автоматизированная работа DLP-системы требует высокой точности фильтрации информационных потоков, – принятия верных решений, какие сообщения пропускать, а какие блокировать. Для этого необходимы соответствующие настройки, которые приходится периодически регулировать по мере изменения бизнес-процессов. Наличие предустановленных настроек позволяет начать использовать DLP-систему сразу после подключения. 

Скажем сразу, что DLP-система — не самостоятельное законченное техническое решение, а часть комплексной системы обеспечения информационной безопасности, и в таком качестве должна предлагаться заказчику. DLP-система в самом общем виде представляет собой систему мер для снижения рисков утечки вовне информации через технические каналы связи.

Такие системы могут состоять из самых разных компонентов. В самом общем виде их можно классифицировать по каналам связи, электронным и бумажному. Соответственно подразделяются решения контроля за информацией, включая её различные носители и каналы: флешки, мобильные устройства, ноутбуки, электронную почту, прочий интернет-трафик и веб-среда. 

Производители, исходя из потребностей заказчика, могут формировать конфигурацию DLP-системы, создавать базы фильтрации контента, чтобы детально анализировать исходящую информацию согласно заданным параметрам. Насколько удачно DLP-система будет адаптирована к конкретным бизнес-процессам, зависит от опыта компании-производителя. Хорошо, если у неё есть богатый опыт работы в разных отраслях и понимание специфики каждой.

Тогда возможна продажа DLP-систем, предварительно настроенных для работы, скажем, в кредитно-финансовом секторе. Хотя основа — программное обеспечение и технические решения — едина, но настройка отдельных параметров, например, защиты персональных данных, в банковском деле имеет свою специфику. Поскольку предполагается соотнесение этой информации с данными финансовых, платёжных документов, пластиковых карт и т. д.

АВТОМАТИЗИРОВАТЬ УПОРЯДОЧЕННОЕ

До начала работы DLP-системы требуется выполнить обязательное условие — упорядочить систему документооборота организации. Потому что хаос автоматизировать невозможно. Любая автоматизация начинается с досконального анализа ситуации, построения моделей поведения и действий, их максимально возможной маршрутизации. Что предполагает подробное описание ролевой структуры организации, распределения между сотрудниками обязанностей, полномочий и ответственности.

Форма документооборота, соотношение электронных и бумажных документов определяют способы обмена информацией и потенциальные каналы её утечки. Соответственным образом принимается решение о путях контроля.

Для бумажного документооборота большое значение имеют организационные меры: контроль объёмов бумаги, идущей на распечатку, число копий документа. Для электронного документооборота ситуация сложнее: он должен быть максимально упорядочен, за счёт чего минимизирован, как правило, в несколько раз. Значительная часть электронного документооборота может вообще обходиться без распечатки на бумагу.

Например, веб-документ создаётся на сервере, а исполнителям отправляются ссылки на него. При чёткой маршрутизации даже без DLP-системы документ может попасть только определённым адресатам. Формализация электронного документооборота между подразделениями организации, его грамотная маршрутизация снижают вероятность утечки данных, равно как и защита самого хранилища данных и программы, которая их обрабатывает.

Также нужно вводить правила маркирования документов и содержащейся в них информации, иначе DLP-система не сможет успешно с ними работать. Например, есть шаблон договора на кредит, образец его заполнения и реально заполненный документ. Формально структура этих документов одинаковая. Без специальных маркеров DLP-система не сможет определить, какой из документов является публичным, может быть отправлен в открытый доступ на интернет-сайт банка, а какой является внутренним.

Изменение существующей системы документооборота предполагает, что каждый документ не должен содержать ничего лишнего, кроме необходимой информации. Для всех маркированных документов должны быть прописаны регламенты учёта, хранения, передачи и т. д. Система анализа контента организуется в соответствии с порядком маркирования документов.

Банковская DLP-система будет тем эффективнее работать, чем лучше проработаны организационные вопросы: подготовлены и внесены в базу данных фильтрации шаблоны документов, налажена регулярная подготовка отчетов, проработаны алгоритмы реакции на инциденты, организована обратная связь для администраторов системы. Совершенствование и адаптация DLP-системы процесс постоянный и непрерывный.

DLP-система добавляет ряд полезных автоматизированных возможностей. Например, анализа исходящих документов с решением, отправить его или заблокировать, подав соответствующий сигнал. Настройки позволяют определить степень защиты, чтобы, с одной стороны, не пропускать наружу конфиденциальные документы, а с другой — массово не блокировать те, которые предназначены для открытого использования. Процесс выстраивания этого баланса  живой, нуждается в регулярной подстройке.

ПОСЛЕ ПРИОБРЕТЕНИЯ РАБОТА ТОЛЬКО НАЧИНАЕТСЯ

Следует всегда помнить, что DLP-технологии сами по себе не решают за администратора все проблемы, а лишь помогают ему автоматизировать выполнение больших объёмов однотипных операций. Этот инструмент будет работать тем лучше, чем более грамотно специалист способен им воспользоваться. Востребованы как тщательная организационная проработка процессов, в которых система задействована, так и творческий подход к использованию полученных результатов.

Важно прописывать формальные атрибуты электронного документа, которые позволяют DLP-системе эффективно его обрабатывать: максимальный размер, наименование, заголовок, поля, обращение согласно деловому этикету, правила оформления текста и т. п. Таким образом могут быть оформлены заготовленные шаблоны — веб-формы, в которые невозможно ни внести изменения, ни добавить что-то лишнее. Если документ заполнен ненадлежащим образом, он просто не будет отправлен. Такая постановка дела позволяет системе электронного документооборота работать более чётко и проще её контролировать.

DLP-система является инструментом повышения информационной безопасности банка, но, в то же время, — упорядочивания её деятельности. Это необходимый побочный результат внедрения системы, предотвращающей утечки информации. Среди прочих получаемых удобств — использование безопасного параллельной рассылки документы, по сравнению с последовательным, существенно ускоряет проведение согласований.

Высокий уровень организации бизнес-процессов повышает их безопасность. В этом смысле DLP-системы побуждают упорядочить документооборот и порядок работы каждого сотрудника, повысить его трудовую дисциплину. И уже далее выступают средством автоматизированного контроля, выявления нарушений и применения санкций к виновникам.

DLP-система не является самостоятельным, законченным продуктом; не «купил и забыл», а работа с ней только начинается после покупки. Всё наоборот: чем больше ведётся работа с DLP-системой, тем больше понимаешь её богатые возможности, т. е. что работать с ней надо ещё больше. Однажды запустив эту систему, приходится регулярно её совершенствовать, перенастраивать, усложняя уровни защиты — поскольку злоумышленники тоже учатся, применяют всё более изощрённые атаки.

МНОГООБРАЗИЕ ПРИЧИН ИСПОЛЬЗОВАНИЯ

Другая причина необходимости улучшать работу DLP-системы — развитие банковских бизнес-процессов, их функциональное и территориальное расширение, появление новых продуктов. Формально сохраняется перечень документов — платёжных, отчётных и т. п., но содержание меняется. Появляются новые банковские технологии, например, мобильные, виртуальные. DLP-система должна развиваться, сопровождая эти перемены.

Использовать DLP-системы банки побуждает появление новых направлений работы, например, в социальных сетях, и возникающие в связи с этим целые классы задач. Другая причина — принятие новых нормативно-правовых документов, требований государственных контрольно-надзорных органов.

Один из последних примеров — «закон о забвении в интернете», федеральный закон от 13 июля 2015 года № 264-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации, вступающий в силу с 1 января 2016 года. Требование контролировать интернет-трафик сделало DLP-системы и для банковских «смежников» — телекоммуникационных компаний.

Многообразие мотивов, по которым банки приобретают DLP-решения, приводят к тому, что они в различных случаях предпочитают различных производителей. Разного типа решений в рамках одной DPL-системы может быть много, аппаратных и программных: это специальные устройства — клавиатуры и USB-порты, антивирусные средства, шифрование, электронная цифровая подпись и т. п.

На некоторых рабочих станциях могут пересекаться несколько агентов разных систем, в том числе различных разработчиков — целый «зоопарк». Предлагаемые ими решения зачастую взаимозаменяемы, поскольку носят универсальный характер. Преимущества использования многих поставщиков перекрывают потребность время от времени разрешать конфликты их продуктов, изменяя настройки. Для чего должен быть установлен порядок разрешения конфликтов.

Чем больше банк — тем больше проблем со стандартизацией. Поддержание однородной структуры требует затрат ресурсов. Но стандартизация решений существенно облегчает управление ими, а значит, повышает эффективность использования. Благодаря ей даже морально устаревшие решения на своём месте могут продолжать вполне удовлетворительно работать «в одном строю» с новейшими.

КАКОВА ЦЕНА ВОПРОСА

Те или иные DLP-решения неизбежно присутствуют в любом банке. Но чем банк меньше, тем более неформальным может быть контроль. И наоборот, чем крупнее — тем более нужна DLP-система. Практика подсказывает, что «порог» — более ста сотрудников, тогда средства автоматизации контроля становятся эффективными и насущно важными.

В настоящее время речь идет о том, что DLP-системы объективно востребованы более чем двумястами российских банков. В подавляющем большинстве в них используются DLP-системы промышленного производства. Часто скомпонованные из решений разных производителей, от самых дорогих до сравнительно дешевых.

Для DLP, как и для многих других решений по информационной безопасности, критерием выбора является не стоимость, а степень удобства работы пользователей. Важно, чтобы DLP-система не затрудняла выполнение сотрудниками штатных операций, не тормозила работу. Оценить оптимальные размеры расходов на покупку и техническую поддержку банковской DLP-системы можно косвенно.

Усредненная оценка говорит, что средняя суммарная стоимость средств защиты рабочего места не должна превышать его собственной стоимости. Иначе говоря, если системный блок персонального компьютера стоит порядка $400 долларов, то стоимость всех средств защиты от несанкционированного доступа не должна превышать эту сумму.

Описанные выше инструменты и механизмы могут быть объединены как элементы DLP-системы, но в сумме расходы на них не должны превышать стоимость рабочего места, умноженную на их количество. Если стоимость DLP-системы составляет, условно, четверть стоимости всех средств защиты, то тогда затраты на неё свыше $100, максимум $120 из расчёта на одно рабочее место можно считать излишними. Это своеобразная психологическая граница. Такова оценка пользователя, с точки зрения банка.


Защита от утечек информации, которую обеспечивают DLP-системы в организации и, в частности, в банках, — это, в том числе, перечень организационно-технических мероприятий. Для соответствующего изменения системы бизнес-процессов, делопроизводства и документооборота необходима, в буквальном смысле, революция в сознании, до которой многие организации, к сожалению, пока ещё не дозрели.

 

 

Смотрите также

Подпишись на новости!
Подписаться