Обеспечение защиты корпоративных информационных ресурсов от утечек информации при помощи DLP-систем.

Функционирование данного ПО обеспечивается на следующих платформах:- EndpointSniffer, в которой осуществляется перехват всего объема передаваемого трафикас использованием встроенных агентских модулей на уровне пользовательских рабочих станций;- NetworkSniffer, в которой осуществляется перехват всего объема передаваемого трафика с использованием сетевого оборудования.В перечисленных случаях данные перехватываются незаметно для пользователя, не происходит блокировки отправляемых и получаемых данных. КИБ реализовывает контроль и протоколирование (в том числе теневое копирование) доступа пользователей к сетевым протоколам, портам ввода-вывода и периферийным устройствам. Для данного ПО реализована интеграция с доменной структурой Windows, предоставляющая возможность:выяснить, под учетной записью которого пользователя и с какого ПК отправляется извне конфиденциальная информация;постоянно или временно исключить из мониторинга этого либо другого доменного пользователя;- разграничения прав доступа персонала службы безопасности предприятия таким образом, чтобы каждого из них имелся доступ к конкретной части перехваченной информации в рамках своей компетенции.Система SecureTowerобеспечивает функции защиты данных от утечек через контроль действий сотрудников в рамках их работы с программными средствами. кроме стандартных функций DLP-системы реализован сервис контролямобильных устройств, которые могут использоваться за пределами контролируемой зоны. Вседанные, передаваемые с мобильных устройств перехватываются и фиксируются полностью и после подключения портативных устройств к корпоративной сети отправляются для анализа. Таблица 2 - Сравнение технических возможностей DLP системПроизводительSecurlTSearchInformFalconGazeНаименование системыZGateКИБSecureTowerМодульность системыРеализованоРеализованоОтсутствуетМесто развертыванияСерверная частьZLock на рабочую станцию клиента Клиент-серверная архитектураКлиент-серверная архитектураТип лицензированияПо количеству почтовых ящиков, рабочих местПо количеству рабочих местПо количеству рабочих местРолиФиксированное количествоФиксированное количествоСпециалист по защите информации / ПользовательСервис контроля IMРеализованоРеализованоРеализованоСервис контроляпротоколовHttp / https, ftpРеализованоРеализованоРеализованоСервис контроля SkypeРеализованоРеализованоРеализованоСервис контроляэлектронной почтыРеализованоРеализованоРеализованоБлоги и соц. сети РеализованоРеализованоРеализованоСервис контроля внешних устройствПри покупке ZlockРеализованоОтсутствуетСервис контроля портовCOM, USB, LPT, Bluetooth, WiFiLPT, USBLPT, USBБлокировка протоколовHTTP, HTTPS, SMTP, OSCAR, IMSMTP, POP3, MAPI, IMAP, HTTP, FTP, IMHTTP, HTTPS, FTP, FTTPS, всяпочтаи IMМодуль анализа по словарюРеализованоРеализованоРеализованоМодуль лингвистического анализРеализованоРеализованоРеализованоМодуль анализа транслитаРеализованоn / an / aМодуль анализа архивовРеализованоРеализованоРеализованоМодуль анализаизображенийРеализованоРеализованоОтсутствуетРабота со стандартными шаблонами фильтрацииРеализованоРеализованоРеализованоЗадержка при попытке отправки подозрительных сообщенийРеализовано, ОБ принимает решениеn / aНет, только информирование офицера ИБПротоколирование действий администраторов системыРеализованоn / aВ случае установки агента на ПК администратораРежим установки агентовоткрытыйn / aТайный / ОткрытыйЗащита агентов от отключенияРеализованоРеализованоРеализованоСохранение протоколов в локальное хранилищеРеализованоРеализованоРеализованоПросмотр истории инцидентовРеализованоРеализованоРеализованоРежимы уведомленийКонсоль, графики, почтаКонсоль, графики, почтаКонсоль, графики, почтаОпираясь на технические характеристики DLP-систем, возможны следующие методы обеспечении ИБ.Таблица 3 - Методы ИБ с использованием DLP-системМетод ИБПримеры реализации1Фильтрация исходящего трафика с использованием лингвистических методов Использование «стоп-слов», анализаторов словоформ2Установка грифов конфиденциальности на документы, защищаемых в электронном виде и слежение за его жизненным цикломСистемы мандатного доступа к документам и протоколирование обращений3Мониторингизменений информационных ресурсов, содержащих конфиденциальныесведения, активности сотрудников Модульмониторинга активности сотрудников 4Управление подключениями устройств ввода-выводаМодуль контроля съемных носителей5Анализсоблюдения степени конфиденциальности информации на компьютерах специалистовМодуль сканирования хранилищ и рабочих станций6Выполнение полного комплекса вышеуказанных подходов и сведений управления политиками и событиями в единой консолиКомплексная DLP-система7Анализ протоколов различных систем безопасности в унифицированном виде и обнаружение аномальных активностей со стороны персонала и внешних злоумышленниковСистемы Computer Forensics (netForensicsидругие)8Доступ к информационным ресурсам, содержащим сведения высокого уровня конфиденциальностиИспользование биометрических систем аутентификации, электронных ключей9Разветвленная система разграничения прав доступа к конфиденциальным документамСистемы класса Enterprise Rights Management (Microsoft RMS) и защищенного документооборота10Шифрование носителей конфиденциальной информацииСистемы шифрования хранилищ и дисков накопителейНа основе сравнений технических свойств осмотренных DLP систем была проведена разработка таблицы влияния систем предотвращения утечки информации на модели обеспечения информационной безопасности. Результаты приведены в таблице 4.Таблица 4 - Влияние DLP систем на модели УИБSecurlTSearch InformFalconGazeНаименование DLP-системыZGateКИБSecureTowerУчет ролей пользователейДаДаДаМониторинг использованияWeb-протоколовДаДаДаВозможность блокированияданных с признаками утечки данныхДаДаНетМониторинг копирования данных на внешние устройстваДаДаНетМониторинг использования внешних портовДаДаДаПротоколирование событий с признаками инцидентов информационной безопасностиДаДаДаПротоколирование действий администратораДаНетДа/НетРабота с журналами операционной системы на рабочих станциях пользователейДаДаДаПротоколирование запрещенных действий пользователейДаДаДаПо результатам сравнительного анализа рассмотренных программных решений показано, что использование DLP-системобеспечивает значительное сокращений возможностейуспешной реализации угроз, связанных с действиямисотрудников, включающих:- передачуконфиденциальных сведенийчерезканалы электронной почты;- несанкционированную передачуданных во внешнюю сеть;- передачу нешифрованных данныхза пределы контролируемой зоны;- запись данных на неучтенные носители информации;- несанкционированную распечатку документов, содержащих конфиденциальные сведения;- несанкционированное копирование данных.3.2. Выбор DLP-системыНа основе сравненияфункционаларассмотренных DLP-систем была проведена разработка таблицы, содержащей данные о влиянии систем предотвращения утечекданных на модели обеспечения информационной безопасности. Результаты отображены в таблице 5. Таблица 5 - Влияние DLP систем на модели УИБПроизводительSecurlTSearch InformFalconGazeНаименование DLP-системыZGateКИБSecureTowerУчет ролей пользователей информационной системыРеализованоРеализованоРеализованоМодуль контроляWeb-протоколовРеализованоРеализованоРеализованоАвтоматизация блокировки подозрительных сообщенийРеализованоРеализованоОтсутствуетМодуль контроля подключений внешних устройствРеализованоРеализованоОтсутствуетМониторинг активности внешних портовРеализованоРеализованоРеализованоМодуль регистрации выявленных интендантов нарушения безопасностиРеализованоРеализованоРеализованоПротоколирование действий администратораРеализованоОтсутствуетЧастичноПротоколирование действий пользователейРеализованоРеализованоРеализованоАнализ и фиксация нарушений безопасности среди пользователейРеализованоРеализованоРеализованоПод опасностью угрозы понимается ее возможное влияние на безопасность информационных ресурсов предприятия, который может привести к негативным последствиям.На рисунке 4 приведена сравнительная характеристика вероятностей реализации угроз безопасности информационных ресурсов от непреднамеренных действий внутренних нарушителей, К и после внедрения DLP-системы, которая отражает эффективность использования системы противодействия утечкам конфиденциальной информации на основе DLP.Рисунок 4 - Сравнительный анализ вероятностей реализации угроз от непреднамеренных действий внутренних нарушителейПо результатам сравнительного анализа, наблюдается значительное снижение вероятности реализации угроз неумышленных действий персонала в результате неосторожных действий / небрежности, а также ошибок при обработке информации.ЗаключениеВ условиях корпоративных систем, имеющих сложную структуру, в которых осуществляется обработка больших массивов конфиденциальных сведений, актуальными являются задачи обеспечения защиты от угроз, связанных с действиями сотрудников. Одним из эффективных инструментов мониторинга активности пользователей являются DLP-системы.Функционал DLP-систем включает проведение анализа активности пользовательских учетных записей, выявление фактов нарушения требований по обеспечению защиты информации. В практической части работы проведен анализ функционала программных решений, осуществляющих мониторинг инцидентов информационной безопасности, связанных с утечками конфиденциальной информации, проведен анализ основных задач, решаемых с использованием DLP-системам, проведен их сравнительный анализ. Основываясь на функциональных возможностях DLP-систем, и реализованных технологиях обеспечении защиты от утечек, следует что использование DLP-систем в информационных системах предприятийсоздает возможности решения следующих задач:фильтрации исходящеготрафикас использованием регулярных выражений, ключевых слов, являющихся признаками передачи защищаемых данных;установки грифов конфиденциальности на документации, представленной в электронном формате и мониторинг жизненного цикла документов;мониторинга процессов обработки конфиденциальных данных, ведение протоколов действий пользователей;мониторинга активности, связанной с подключением внешних носителей информации;анализа данных, которые хранятся на пользовательских рабочих станциях вне контролируемой зоны;управления политиками и событиями в общей консоли;анализа протоколов различных систем безопасности в унифицированном виде и обнаружение аномальных активностей со стороны персонала и внешних злоумышленников;контроля доступа пользователей к ПК и информационным системам с дополнительными компонентами контроля;использования разветвленной системы разграничения прав доступа к ресурсам, содержащим конфиденциальныесведения.Список использованных источниковКлименко И. С. Информационная безопасность и защита информации: модели и методы управления: монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178с.Бондарев, В. В. Введение в информационную безопасность автоматизированных систем : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2018. - 250 с.Солодянников А. В. Комплексная система защиты объектов информатизации: учебное пособие / А. В. Солодянников. - Санкт-Петербург: Изд-во Санкт-Петербургского государственного экономического университета, 2017. - 91 с. Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178 с.Чекулаева Е. Н., Кубашева Е. С. Управление информационной безопасностью : учебное пособие / Е. Н. Чекулаева, Е. С. Кубашева. - Йошкар-Ола: Поволжский государственный технологический университет, 2020. - 153 с.Алексеев А. П. Многоуровневая защита информации: монография / А. П. Алексеев. - Самара : ПГУТИ, 2017. - 128 с.Благодаров, А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев, В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Язов Ю. К., Соловьев С. В. Организация защиты информации в информационных системах от несанкционированного доступа : [монография] / Ю. К. Язов, С. В. Соловьев. - Воронеж: Кварта, 2018. - 588 с. Марков А. С. Техническая защита информации: курс лекций: учебное пособие / Марков А.С. - Москва : Изд-во АИСНТ, 2020. – 233с.Королев, Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова, Е. М. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017. – 342 с.Камалова Г. Г. Юридическая ответственность за нарушение конфиденциальности информации: монография / Камалова ГульфияГафиятовна. - Саратов : Амирит, 2019. - 160 с.Никифоров, С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сБелов, Е. Б. Организационно-правовое обеспечение информационной безопасности: учебник / Е.Б. Белов, В.Н. Пржегорлинский. - 2-е изд., испр. и доп. - Москва: Академия, 2020. – 332с.Ревнивых, А. В. Информационная безопасность в организациях: учебное пособие / А. В. Ревнивых. - Новосибирск: НГУЭУ, 2018. - 83 с.