Хабрахабр

Внедрение DLP-системы на примере ритейла

«Прошу прощения», — твердо, но очень тихо  обратился ко мне из темноты знакомый голос. Оглянувшись, я увидел, как силуэт незнакомца плавно движется в мою сторону. «Вы опаздываете?», — продолжил он. «Возможно», — ответил я, быстро прокручивая все варианты потенциального диалога, сопоставляя внешний вид человека с пришедшими на ум вариациями его возможных просьб. 

Он был в очках, в сером костюме, присущем всем людям такого возраста, и ослепительно яркой голубой рубашке. Это был дедушка лет семидесяти, с седыми аккуратными усами и слегка колышущимися на ветру седыми волосами. После моего ответа он взглянул на свои часы и также твердо, но уже с усмешкой сказал: «Тогда и я, возможно, уже опоздал». Он казался одетым нелепо и броско, с учетом того что мы находились в одном из спальных районов Москвы. «А потому что, я не знаю, сколько длится ваше «возможно»», — ответил дедушка с хитрой улыбкой на лице. «А вы почему?» — не до конца понимая, что происходит, спросил я. «Время, время, его нельзя обесценивать, ты мне эти «возможно» говоришь уже давно, мы все ждем», — продолжил он уже без улыбки.  «Много букав, пиши статью на Хабр, сроки поджимают», — сказал дедушка, и я очнулся…

Чтобы не злить Никиту Михалкова из моего сна, я, молодой парень из «ЛАНИТ-Интеграции», написал статью о внедрении DLP-системы на примере ритейла. Как оказалось, это был сон, сон знаковый.

Что такое DLP-система? Допустим, вы уже знаете, что это такое, и можете написать: «Да DLP лет, как мамонту», «Че там рассказывать?», «Это не новость». Отвечу сразу: статья содержит рассказ о важной части внедрения системы – аналитике, ведь технари не знают, какая информация действительно важна. Помимо этого, нужно отметить, что статей о DLP много, а то, как она внедряется, и почему работу делают интеграторы – нет. И да, тут будет краткий описательный экскурс о DLP, другие люди, не вы, могут и не знать. Максим из ЛАНИТ заботится о читателях. Погнали!

Работа системы заключается в анализе информации, циркулирующей внутри организации, и уходящей вовне. DLP (Data Leak Prevention) — предотвращение утечек данных. Благодаря наборам определенных правил, заданных системе, можно блокировать передачу конфиденциальной информации или уведомлять о том, что конфиденциальная информация может быть передана не в те руки. То есть в этот раз бухгалтерия не будет делать массовую рассылку информации о вашей зарплате.

Описательный экскурс кончился, едем дальше.
У вас есть корпоративная сеть? В ней обрабатывается конфиденциальная информация? Вы боитесь, что вашей конфиденциальной информацией воспользуется кто-то кроме вас?

ДА! «ДА! ДА!», — импульсивно и судорожно, как бьющий по кнопке Агутин, ответила нам на эти вопросы известная ритейл-компания и не ошиблась.

Наш заказчик понимал, что угроза утечки конфиденциальной информации в подавляющей части кроется в настоящих и бывших сотрудниках компании. Поэтому было важно снизить риск потенциального инцидента вида «сотрудник и его друзья». Да, можно сказать: «Берите нормальных сотрудников» или «Вы не доверяете сотрудникам, с чего они должны доверять вам?». Ответ прост – «чудак» на букву «м» найдется везде, причем его «чудачество» может проявиться не сразу, а это и есть риск.

Для таких сотрудников система работает как спасательный жилет и в определенный момент спросит: «Может, не надо?». Но даже при идеальном раскладе нельзя быть уверенным, что надежный и профессиональный сотрудник не допустит ошибку.

Три крупных этапа внедрения:

  • формирование требований,
  • проектирование и установка,
  • аналитика и настройка системы.

Формирование требований

Перед началом внедрения какой-либо системы нужно провести обследование объекта будущих работ. Поэтому первым самолетом наши инженеры и консультанты по ИБ отправились узнавать все о заказчике.

Что мы обсуждали:

  • организационно-распорядительную документацию, относящуюся к обеспечению безопасности и классификации информации,
  • перечень информационных ресурсов,
  • схемы сети,
  • схемы потоков данных,
  • организационную структуру.

После обследования мы вместе с заказчиком приступили к рассмотрению всех возможных вариантов будущего технического коллаба. Сформировав список потребностей заказчика, мы отобрали двух отечественных и двух зарубежных вендоров. Путем сравнения решений был выбран наиболее подходящий требованиям продукт. После утверждения решения приступили к пилотированию.

В результате мы убедились, что выбранное решение закрывает все требования заказчика. Пилотное тестирование проходило в течение одного месяца. Разработав отчет и защитив его, мы перешли к следующему этапу.

Проектирование и установка

После пилота, мы приступили к внедрению. Первое, с чего мы начали, было создание архитектуры системы, охватывающей все подразделения, отделы и филиалы.  Далее — согласование плана на внедрение. Это похоже на разбитую о корабль бутылку. Нам было необходимо объяснить всем сотрудникам, что мы внедряем, как это работает, какие цели преследуем. Благодаря проведенным брифингам, касающимся DLP-системы и ее назначения, мы добились понимания от персонала и были готовы дальше придерживаться нашего плана.  

Следующим шагом было внедрение железа, настройка софта и разработка политик.
  

DLP система «из коробки» не эффективна и не функционирует должным образом. Можно потратить миллионы на поставку и внедрение системы, но без ее правильной настройки результат не будет достигнут.

Аналитика и настройка системы

После работ по установке и развертке нам было необходимо четко понимать, что мы будем защищать и как настраивать нашу DLP по необходимым политикам. Часто в компании нет представления о конфиденциальной информации. Один человек никогда не скажет, какая информация является конфиденциальной для всей компании, к тому же в нашем случае речь идет о международной организации, насчитывающей тысячи сотрудников.

Причем, интервью должны проходить с ключевыми держателями информации, т.е. Поэтому необходимо проводить интервьюирование. Информация об утечке после обработки офицером безопасности поступает руководителю, который принимает дальнейшее решение, что с этим инцидентом делать. с людьми, обладающими определенными компетенциями и пониманием того, какая информация является конфиденциальной в своей сфере, ведь именно руководители подразделений, являются бизнес-потребителями функционала DLP.

Источник
 
Для определения владельцев нужной нам информации мы изучили оргструктуру, опытные консультанты внесли предложение, а ответственный со стороны заказчика окончательно определил перечень интервьюируемых. Стоит отметить, что интервью, может быть полезным только в том случае, когда руководитель отдела полностью понимает, что и как функционирует в его отделе. Вышестоящее руководство может не догадываться о тонкостях той или иной сферы.

Из каждого отдела можно получить все типы конфиденциальной информации, которая должна найти только определенного адресата. Из интервью нам стало ясно, какая информация является конфиденциальной для компании.

Респондент указал нам, где она хранится и каким способом передается. Для дальнейшей настройки нам понадобились примеры документов, содержащие защищаемую информацию. Все эти аналитические тонкости нужны нам для настройки определенных правил системы и для понимания, как эту информацию защищать. 
 
После этого политики были написаны и согласованы в том виде, который удобен для переноса в систему.
 
Обычно DLP-система работает по следующему алгоритму:

  1. перехват информации (система фиксирует файл — полученный, отправленный, открытый и т.д.);
  2. анализ информации (система определяет, куда направляется документ и по настроенным меткам определяет характер информации в нем, понимает, что это за документ);
  3. блокировка  или уведомление об инциденте (система определяет, насколько операция над документом является легитимной (обработка по настроенным политикам)).

Как научить систему анализировать информацию, которую она получает?

Вот несколько видов анализа документации на конфиденциальность:

  1. Детектор форм/бланков

    Позволяет обнаруживать формы/бланки, содержащие такую конфиденциальную информацию,  ​​как налоговые, медицинские, страховые формы и т.д.

  2. Цифровые отпечатки

    IDM также обнаруживает «производное» содержимое, например, текст, скопированный из исходного документа в другой файл. Применяет методы снятия отпечатков документов для обнаружения конфиденциальной информации, хранящейся в неструктурированных данных, включая документы Microsoft Office, PDF-файлы; и такие бинарные файлы, как JPEG, CAD и мультимедийные файлы.

  3. Сопоставление

    Обнаруживает содержимое путем идентификации источников структурированных данных, включая базы данных, каталог-серверы или другие файлы структурированных данных.
    Мы прописали необходимые политики, нам оставалось провести итоговые мероприятия перед сдачей работ.

После пусконаладочных работ мы приступили к проведению предварительных испытаний:

  • испытания DLP на работоспособность и соответствие сформулированным требованиям;
  • устранение неисправностей и внесение изменений в документацию.

При получении данных цифра ложных срабатываний, не превышающая 30%, считается идеально настроенной DLP-системой. Объяснение кроется в том, что в день может происходить более 100000 событий, потому такое процентное соотношение является допустимым. Но даже при первоначально огромном количестве ЛПС (ложный процент срабатывания) попадались и события, требующие внимания со стороны офицера безопасности.

Роль интегратора заключается:

  • в тщательном подборе системы для конкретных задач, сравнении всех возможных вариантов,
  • обучении персонала,
  • анализе обрабатываемой информации,
  • настройке системы,
  • индивидуальном подходе,
  • экспертизе.

Пусть это и не все пункты, но уже понятно, чем отличается покупка железа с проводками от целенаправленной закупки оборудования и его настройки для конкретных задач.

Интегрируем с любовью.
ЛАНИТ

Машину продал)) П.С.

Кому вакансий?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть