Внедрение DLP-системы: инструменты, способы и ошибки

DLP-система — комплексный программный продукт, который предотвращает кражу, изменение и передачу конфиденциальных данных путем анализа трафика корпоративной сети.

Благодаря внедрению DLP можно следить за входящими и исходящими потоками информации, предотвращать несанкционированную передачу данных.


В основе работы системы лежит принцип data-centric security, который предполагает контроль безопасности базы данных. В соответствии с этим принципом информацию подразделяют на следующие группы:

1. Data-in-use. С данными работают пользователи: создают и редактируют документацию, медиа-контент.
2. Data-at-rest. Информация хранится на компьютерах пользователей и в местах общего доступа.
3. Data-in-motion. Это данные, которые передают информационные потоки: от транзакций до запросов «сервер-клиент».
   

Чтобы защитить информацию при внедрении DLP, выполняйте рекомендации разработчиков и используйте несколько блоков защиты. Результатом станет создание экономически выгодного защитного контура. Внедрять DLP следует в несколько этапов. Рассмотрим их более подробно.

1 этап — подготовка
Чтобы подготовить компанию к установке DLP, начните с подготовительных операций:

• аудита защищенности информации;
• оценки рисков;
• создания схемы разграничения доступа к информации;
• урегулирования юридических нюансов.
  

Аудит позволит оценить степень защиты данных, найдет возможные каналы утечки информации и уязвимости в IT-«экосистеме». Помощь в подготовке и внедрении системы окажет представитель компании-разработчика или фирма, которая производит DLP.

При анализе защиты информации необходимо:

• оценить уровень безопасности при работе с внутренней документацией;
• детально изучить технические ресурсы организации;
• создать перечень данных, которые относятся к категории ограниченного доступа;
• разработать правила разграничения доступа;
• изучить и описать порядок обработки, создания, передачи и хранения данных.
  

На этапе внедрения экономически выгодной DLP оцените риски, обследуйте каналы утечки информации и создайте схему разграничения доступа. Если есть риск ущерба, организуйте защиту канала утечки данных.

Представитель фирмы-исполнителя детально описывает информационные потоки и способы обработки данных. Затем совместно с сотрудниками отдела ИБ компании он создает правила разграничения доступа. Их разрабатывают с учетом режима коммерческой тайны и регламента работы с конфиденциальными данными. Права получат пользователи системы в соответствии с занимаемой должностью.
Если в компании отсутствует ИБ-отдел, который занимается проблемами защиты, фирма-исполнитель согласовывает правила разграничения доступа с представителем этой организации. В процессе нужно учесть режим коммерческой тайны и порядок работы с конфиденциальными данными.

Обычно заказчики заранее не готовят описание бизнес-процессов. Поэтому на выполнение первого этапа внедрения DLP уходит много времени.

Первый этап завершается созданием перечня нормативной документации, без которой невозможно внедрить систему. Этот перечень содержит:

• возможные сценарии и каналы утечки данных;
• регламент разновидностей информации с ограниченным доступом;
• схемы потоков данных, доступ к которым ограничен;
• описание взаимодействия пользователей и технических элементов с данными, доступ к которым ограничен.
  

Благодаря нормативной документации вы поймете, как работают потоки информации и какие системы нужны для защиты от несанкционированного доступа и утечки.

При внедрении DLP необходимо соблюдать нормы законодательства. Недопустимо, чтобы контроль нарушал личные права пользователей: исключите действия, которые могут быть расценены как слежка. Предусмотрите механизм контроля администраторов системы.



Чтобы свести к минимуму недовольство сотрудников, включите в сведения о работе системы цели внедрения DLP. Руководитель имеет право защищать коммерческую тайну компании, а компьютеры, которые он предоставляет работникам — это собственность организации. Для защиты собственности можно применять любую систему.

2 этап — выбор DLP
Чтобы грамотно выбрать DLP, предварительно проанализируйте ценность данных, которые нуждаются в защите. Система должна быть экономически выгодна: стоимость ее внедрения не должна превышать вероятные финансовые потери от утечки данных.


Как только завершится первый шаг внедрения DLP, исполнителю станет ясно, какие функции должны быть у системы защиты. Сразу необходимо озвучить стоимость системы, установки, настройки, тестирования и техподдержки.

При выборе DLP выясните у разработчика:

• Насколько сложно устанавливать систему и поддерживать ее работоспособность. Уточните, содержит ли она необходимые программы для работы с базами данных. В компании должны быть сотрудники, которые при необходимости сделают резервные копии, восстановят и обновят данные и т.д.
• Как DLP будет взаимодействовать с работающей в компании компьютерной системой.
• Какие навыки потребуются ИБ-специалистам для выполнения должностных обязанностей.
  

Если DLP, которую советует компания-разработчик, не соответствует бюджету компании, выберете упрощенные версии. Например, некоторые DLP блокируют каналы передачи информации без анализа контента или имеют ограниченный набор опций для анализа.


3 этап — проектирование DLP
Архитектура технических каналов и информационных процессов будет понятна уже в конце первого этапа внедрения DLP-системы. При ее проектировании более детально обследуются каналы и инфраструктура, которые нуждаются в защите. Благодаря этому минимизируются сбои при установке и эксплуатации системы.  

Чтобы организовать схему взаимодействия модуля защиты и серверов, баз данных, прокси, в процессе установки DLP должны участвовать технические специалисты заказчика.

4 этап — установка и настройка DLP
Для настройки DLP единого алгоритма действий нет. Поддерживать работу системы необходимо на протяжении всего срока использования.

Установите DLP таким образом, чтобы можно было без проблем передавать права доступа одного сотрудника другому. Также создайте набор функций, которые позволят расширить систему технического обеспечения компании с сохранением целостности DLP.
Настройка системы позволит проверить работу и протестировать компоненты модуля защиты. В первую очередь оцените корректность обработки запросов сервера и принципы разграничения доступа.

Внедрение DLP — отличный выбор для компании, которая дорожит репутацией и заботится о безопасности данных. Благодаря интеграции  этой системы вы будете держать под контролем потоки информации, сможете выявлять и устранять угрозы безопасности.

Следите за нами в блоге и соцсетях, чтобы не пропустить последние новости.