[ «ДИПЛОМНЫЙ ПРОЕКТ на тему: Внедрение системы защиты информации в коммерческом банке по специальности 230201.65 Информационные системы и технологии Студент Писаренко Андрей Игоревич Руководитель к.т.н., доцент, Роганов ...»
Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТУРИЗМА И СЕРВИСА»
Факультет сервиса
Кафедра информационных систем и технологий
ДИПЛОМНЫЙ ПРОЕКТ
на тему: «Внедрение системы защиты информации в коммерческом банке»по специальности 230201.65 «Информационные системы и технологии»
Студент Писаренко Андрей Игоревич Руководитель к.т.н., доцент, Роганов Андрей Арьевич Москва
РЕФЕРАТ
ДП.03.01Д.09/25.14.ПЗ Изм. Лист № докум. Подпись Дата Лит. Лист Листов Писаренко А. И.Роганов А. А.
Разраб.
у Реферат Пров. Роганов А. А. гр. ИСД-09-2, РГУТиС Роганов А. А.
Н. конт Утв.
РЕФЕРАТ
Пояснительная записка содержит 115 листов отчета, 22 рисунка, таблиц, 1 приложение, 3 части отчета, 28 использованных источников.Ключевые слова : Угрозы информационной безопасности (далее - ИБ), DLPсистемы, Принципиальная схема работы, Конфиденциальная информация, Утечка даннх, Стандарты, Методы защиты, Обеспечение ИБ, Внедрение, Модуль, Подсистема.
Описана организационная структура банка и схема информационных потоков. Проанализирована действующая система защиты информации и её существующие уязвимости. Проведено обоснование необходимости внедрения системы предотвращения утечек конфиденциальной информацииDLP-системы. Проведено исследование принципов работы DLP-системы.
Рассмотрено нескольких продуктов рынка проведен DLP-систем, сравнительный анализ представленных продуктов. Выбран конечный вариант системы, который будет внедрен в рассматриваемом банке. Описан процесс внедрения Рассмотрены все необходимые DLP-системы.
компоненты системы, все этапы внедрения, а также проведена оценка экономической эффективности.
ДП.03.01Д.09/25.14.ПЗ Лист Изм. Лист № докум. Подпись Дата ESSAY Explanatory note contains 115 sheets of the report, 22 figures, 9 tables, application, part 3 of the report 28 sources used.
Keywords: Threats to information security, DLP- System, Leak dannh, Standards, Methods of protection, Information security, Deployment, Module, Subsystem.
Describe the organizational structure of the bank and the information flow diagram. Examined the existing security system and its existing vulnerabilities.
The justification of the need to implement a system to prevent leaks of confidential information -DLP- system. A study of the principles of DLP- system. Considered several products market DLP- systems, the comparative analysis of the products.
Selected the final version of the system that will be introduced in this bank.
Describes the process of implementation of DLP- system. Considered all the necessary components of the system, all the stages of implementation, and an assessment of cost-effectiveness.
Изм. Лист № докум. Подпись Дата
СОДЕРЖАНИЕ
Разраб.Н. конт ВВЕДЕНИЕ……………………………………………………………………… 1. АНАЛИТИЧЕСКАЯ ЧАСТЬ………………………………………………… 1.1 Обеспечение информационной безопасности в банковской сфере……… 1.2 Цели и основные угрозы информационной безопасности……………… 1.3 Анализ утечек конфиденциальной информации………………………… 1.4 Основные каналы утечки информации……………………………………. 1.4.1 Кража или утеря оборудования
1.4.2 Утечка информации с использованием мобильных устройств………… 1.4.3 Утечка информации через внешние носители…………………………... 1.4.4 Утечка информации через сеть Интернет……………………………….. 1.4.5 Утечка информации через электронную почту…………………………. 1.4.6 Утечка информации через интернет-мессенджеры (ICQ, Skype, Jabber и т.п.)……………………………………………………………………………….. 1.4.7 Утечка информации на бумажных носителях…………………………... 1.5 Последствия утечки конфиденциальной информации…………………… 1.6 Особенности обеспечения информационной безопасности в банковской сфере……………………………………………………………………………... 1.7 Стандарты Банка России по обеспечению ИБ…………………………….. 1.8 Требования к системе ИБ в банке и применяемые защитные меры…….. 1.9 Анализ объекта исследования……………………………………………… 1.9.1 Предлагаемые услуги……………………………………………………... 1.9.2 Установленный режим защиты информации…………………………… 1.9.3 Органы управления……………………………………………………….. 1.9.4 Обеспечение ИБ…………………………………………………………… 1. 9.5 Нормативные документы по обеспечению ИБ…………………………. Изм. Лист № докум. Подпись Дата 1.9.6 Программно-аппаратные средства защиты ИБ……………………….… 2. ПРОЕКТНАЯ ЧАСТЬ………………………………………………...……… 2.1. Исследование принципов работы DLP-систем…………………………… 2.1.1 Преимущества DLP-системы…………………………………………….. 2.1.2 Типовая структура………………………………………………………… 2.2 Технологии категоризации информации………………………………….. 2.2.1 Лингвистический анализ………………………………………………….. 2.2.2. Достоинства и недостатки лингвистического анализа………………… 2.2.3 Статистические методы…………………………………………………... 2.2.4 Достоинства и недостатки статистических методов……………………. 2.2.5 Использование технологий……………………………………………….. 2.3 Анализ рынка DLP-систем…………………………………………………. 2.4 Критерии сравнения………………………………………………………… 2.4.1 Режимы работы……………………………………………………………. 2.4.2 Технологии распознавания информации………………………………... 2.4.3 Контролируемые сетевые каналы………………………………………... 2.4.4 Контроль информации при использовании локальных устройств…….. 2.4.5 Возможности DLP-систем для про-активного предотвращения утечек…………………………………………………………………………….. 2.4.6 Удобство и возможности управления…………………………………… 2.4.7 Журналирование и отчеты……………………………………………….. 2.4.8 Сертификация……………………………………………………………... 2.4.9 Результаты сравнения…………………………………………………….. 2.5 Выбор DLP-системы для внедрения в коммерческом банке ЗАО «Южный»………………………………………………………………………... 2.5.1 Принципиальная схема работы…………………………………………... 2.5.2 Преимущества выбранной DLP-системы………………………………... 2.5.3 Возможности выбранной DLP-системы…………………………………. Изм. Лист № докум. Подпись Дата 2.6 Общие подходы к внедрению DLP-систем………………………………... 2.6.1 Внедрение непосредственно DLP-системы……………………………... 2.6.2 Первый этап. Техническое проектирование DLP………………………. 2.6.3 Второй этап. Внедрение технического комплекса DLP-системы……… 2.6.3.1 Требования к прецедурам настройки DLP-системы………………….. 2.6.3.2 Требования к подсистеме перехвата трафика…………………………. 2.6.3.3 Требования к подсистеме анализа и принятия решений……………... 2.6.3.4 Требования к Модулю разбора перехваченных объектов…………….. 2.6.3.5 Требования к модулю контентного анализа…………………………… 2.6.3.6 Требования к модулю принятия решений и подсистеме хранения…... 2.6.3.7 Требования к подсистеме расследования инцидентов………………... 2.6.3.8 Требования к модулю мониторинга……………………………………. 2.6.3.9 Требования к модулю формирования отчетов………………………… 2.6.4 Третий этап. Внедрение процессов управления DLP-системы………… 2.6.5 Четвертый этап. Опытная эксплуатация DLP-системы………………… 2.6.6 Пятый этап. Приемочные испытания DLP-системы……………………. 3. ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ…………………………………. 3.1 Экономическая эффективность использования DLP-системы…………... 3.2 Стоимость утечки данных………………………………………………….. ЗАКЛЮЧЕНИЕ…………………………………………………………………. СПИСОК ЛИТЕРАТУРЫ………………………………………………………. ПРИЛОЖЕНИЕ………………………………………………………………... Изм. Лист № докум. Подпись Дата
ВВЕДЕНИЕ
Разраб.
ВВЕДЕНИЕ
Н. конт Информация в наше время является наиболее ценным ресурсом и поэтому сегодня достаточно сложно встретить компании, которые не уделяют должного внимания вопросам защиты информации. Во многих компаниях созданы и функционируют подразделения информационной безопасности, разработаны политики информационной безопасности, внедрено большое количество разнообразных средств защиты, но, важно помнить о том, что даже при наличии надежной защиты от взлома информационных систем внешними злоумышленниками, остается возможной утечка конфиденциальной информации по обычным каналам передачи данных (электронная почта, Интернет, съемные носители информации и т.п.) за счет умышленных или ошибочных действий работников. Именно такие утечки присущи подавляющему большинству предприятий, не использующих специализированные системы защиты от утечки информации.Безусловно, в каждой компании, независимо от рода ее деятельности, используется информация, которую необходимо хранить в тайне и предпринимать всё, чтобы она была надежно защищена. Особенно это касается организаций, чья деятельность связана с работой с платежной информацией, коммерческой тайной, персональными данными.
По оценкам экспертов в области информационной безопасности, утечки корпоративных данных, происходящие по злому умыслу или недосмотру персонала, выдвигаются на первое место в современных рейтингах ИБ-угроз. Внешние нарушители (мошенники, конкуренты, хакеры, и т.д.), стремящиеся получить доступ к защищаемой информации и собственные непорядочные работники, имеющие легальный доступ к ней, в том числе к сведениям о клиентах, персональным данным работников, документам стратегического развития, внутренним аналитическим отчетам и Изм. Лист № докум. Подпись Дата многому другому могут использовать такую информацию в собственных корыстных целях.
В связи с этим, актуальным на сегодняшний день является вопрос защиты конфиденциальной информации в организациях, так как нарушение свойств информации, таких как конфиденциальность, целостность или доступность, может повлечь за собой не только многомиллионные финансовые потери, но и нанести трудно оцениваемые в деньгах несанкционированного доступа к авторизационным данным, хищение коммерческих секретов, искажение и уничтожение критичной информации, кражи персональных данных - вот далеко не полный перечень нарушений информационной безопасности.
безопасности наибольшее внимание уделяется в банковской сфере, так как деятельность любого банка напрямую связана с большими объемами конфиденциальной информации. А поскольку эта информация содержит платежную информацию, персональные данные клиентов, информацию по банковским счетам и картам, пин-коды и CVV2/CVC2/CID данные и многое другое, этой ценной информацией стремятся завладеть мошенники с целью получения прибыли. Поэтому конфиденциальная информация, используемая соответствующих методов защиты.
Но, даже при наличии необходимых знаний и применения различных современных методик, используемых для построения системы защиты конфиденциальной информации, система может оказаться недостаточно эффективной. Ведь не все каналы, а именно такие как Internet, печать, мессенджеры, файлообменники и т.п. могут эффективно контролироваться.
Поэтому, для создания эффективной системы защиты информации, Изм. Лист № докум. Подпись Дата необходимо внедрить такие средства защиты, которые будут контролировать все каналы информации и предотвращать утечки данных.
Таким образом, проблема предотвращения утечек конфиденциальной информации в банковской сфере, рассматривалась в комплексном проекте.
Частью моей работы является анализ и внедрение DLP-системы в конфиденциальной информации.
• анализ угроз информационной безопасности в коммерческом банке, • анализ способов и методов защиты от утечек информации;
• рассмотрение принципа действия, возможностей и особенностей • сравнительный анализ существующих на рынке DLP-систем и выбор DLP-системы для внедрения в коммерческом банке;
• разработка технического задания для внедрения DLP-системы в • расчет экономической эффективности предлагаемого решения.
конфиденциальная информация является критически важным объектом любой организации, а ее утечка может привести к возникновению серьезных репутационных (когда сам факт утечки может повлиять на имидж компании), юридических (например, нарушение законодательства о персональных данных) и прямых финансовых рисков компании. Внедрение DLP-системы позволяет снизить такие риски, путем предотвращения утечки информации, и обеспечить доказательную базу при проведении расследований инцидентов, связанных с утечкой конфиденциальной информации.
Изм. Лист № докум. Подпись Дата Комплексная система защиты информации, разработанная в результате выполнения дипломной работы, соответствует законодательным актам и руководящим документам, принятым в Российской Федерации. Проектные и организационные решения, программно-аппаратные средства, предложенные в дипломной работе, могут быть использованы для организации защиты информации в организациях банковской системы Российской Федерации.
Изм. Лист № докум. Подпись Дата Разраб.
АНАЛИТИЧЕСКАЯ
Н. конт На сегодняшний день информация является самым ценным ресурсом для многих организаций и, в то же время, наиболее уязвимым. Изначально, информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.информационных технологиях и защите информации» от 27.07.2006 № 149ФЗ информация может быть общедоступной или c ограниченным доступом.
При этом законодательством Российской Федерации выделяются отдельные виды конфиденциальной информации (например, банковская и налоговая тайна, коммерческая тайна, персональные данные и еще ряд тайн).
Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 № 188 определены следующие виды сведений конфиденциального характера рис. Изм. Лист № докум. Подпись Дата Рис.1 Виды информационных ресурсов по категориям доступа В общем случае под конфиденциальностью понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
конфиденциальной информации возлагается обязанность по ее защите, а регуляторами в лице ФСТЭК России и ФСБ России, Банком России (в банковской сфере) определяются конкретные требования и рекомендации по ее защите.
организационных и технических мер, направленных на :
• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного • реализацию права на доступ к информации.
В рамках Федерального закона «Об информации, информационных отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
Любой бизнес, в том числе в банковской сфере, подвержен различного рода угрозам, которые реализуются через источники угроз и имеют соответствующую вероятность реализации.
Изм. Лист № докум. Подпись Дата потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на информационную систему или на хранящуюся в ней информацию.
Деятельность подразделений информационной безопасности во многом связана с оценкой угроз и уязвимостей информационной безопасности и выработкой мер по минимизации угроз информационной безопасности.
1.2 Цели и основные угрозы информационной безопасности (применительно к свойствам информации) приведены на рис.2:
Основной угрозой конфиденциальности информации является ее хищение или утрата, прежде всего за счет несанкционированного доступа к информации с ограниченным доступом злоумышленника или постороннего лица или в результате случайных действий работников, а также разглашения или утечки и, как следствие - незаконное, противоправное использование конфиденциальной информации.
Под несанкционированным доступом понимается противоправное Изм. Лист № докум. Подпись Дата преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к информационным ресурсам реализуется различными способами: от воздействия на персонал, с целью завладеть конфиденциальной информацией до использования различных способов удаленного доступа к защищаемой информации. Нарушение конфиденциальности информации также может происходить и в результате случайных действий пользователей, которые приводят к нарушениям в процессе обработки информации (обычно – при сборе, передаче, хранении и уничтожении информации).
возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. Разглашение может быть реализовано, например, в ходе публичного выступления, публикации в печати, письме или в случае оставления конфиденциальных документов без присмотра.
1.3 Анализ утечек конфиденциальной информации Утечка информации - неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа, т.е. посторонними (третьими) лицами. Утечка информации обычно электромагнитный, визуальный, акустический, параметрический и т.д.) Утечка информации, в отличии от ее разглашения, не предполагает ее известность третьим лицам, а показывает такую возможность, при определенных условиях (наличие технических средств съема информации, Изм. Лист № докум. Подпись Дата необходимость в получении такой информации и т.д.) Применительно к кредитно-финансовым организациям (банкам) можно выделить следующие основные виды утечек конфиденциальной информации рис. банковских транзакциях Рис.3. Некоторые виды утечек конфиденциальной информации в банках.
От утечек конфиденциальной информации никто не застрахован, о чем информационной безопасности. Так, исследования за 2013 год показывают, что в России наблюдается рост утечек конфиденциальной информации :
• суммарные убытки компаний от утечек информации выросли за год • в среднем организации теряют $31,23 млн. от каждой крупной максимальные потери от одного инцидента составили около 4 млрд.
• доля российских утечек в мировой статистике - 6%. Это на треть Изм. Лист № докум. Подпись Дата • большинство фиксируемых утечек (36,9%) является следствием человеческих ошибок или халатности, но не злого умысла.
• чаще всего утечки конфиденциальных данных происходят на предприятиях розничной торговли (16,2%), в медучреждениях Основными каналами утечки информации являются:
• утечка информации на бумажных носителях;
• утечка информации через сеть Интернет;
• утечка информации через электронную почту;
• утечка информации через съемные носители • утечка информации с использованием мобильных устройств • утечка информации через съемные носители • утечка информации через интернет-мессенджеры (ICQ, Skype, Распределение утечек в 2012-2013 гг. по каналам утечек показано на рис. Изм. Лист № докум. Подпись Дата Рассмотрим подробнее каждый из этих каналов.
распространенных каналов утечки информации в банковской сфере. Когда речь идет о краже ноутбуков, потере мобильных устройств или носителей не всегда ясно, действительно потерян носитель, или его владелец заявил об Пользователь, легитимно работая с информацией на корпоративном ноутбуке, обычно не ожидает негативных последствий, оставляя устройство в автомобиле. Кража ноутбука приведет к утечке данных. При этом пользователь может инсценировать кражу, передав важную информацию конкуренту. Это уже умышленная утечка. Должную защиту дает лишь обязательное шифрование всех конфиденциальных сведений, причем, не только на мобильных носителях, но и в местах стационарного хранения.
1.4.2 Утечка информации с использованием мобильных устройств.
Утечка информации с использованием мобильных устройств может быть осуществлена по следующим каналам:
• нарушение конфиденциальности информации в результате кражи • нарушение конфиденциальности информации в результате доступа посторонних лиц к устройству, оставленному без присмотра;
• доступ к конфиденциальной информации внешних нарушителей посредством использования вредоносного программного кода;
• хищение информации работником, имеющим легитимный доступ к информации и хранящий эту информацию на своем устройстве (путем отправки через личную почту, выкладывания в dropbox и 1.4.3 Утечка информации через внешние носители.
Несмотря на то, что в статистике этот канал утечки занимает довольно малый процент, он является один из самых существенных каналов утечки информации. В современном мире внешние носители находятся повсюду и в огромном количестве (мобильные телефоны, MP3-плееры, фотоаппараты, USB-накопители и многое другое). Этому каналу зачастую не уделяют достаточного внимания не опечатывая USB-порты на рабочих станциях, не ограничивая список допустимых к использованию внешних носителей или не ведя учет копируемых на внешние носители документов. Помимо утечки информации через USB-порты на рабочий ПК могут быть занесены вирусы или троянские программы.
Электронный документооборот, взаимодействие с филиалами и партнёрами, общение с клиентами и обработка запросов из вне. Через Интернет в банке проходит огромный поток информации, который крайне трудоёмко контролировать и обрабатывать без наличия соответствующего ПО. Таким образом, Интернет является еще одним каналом утечки информации, при помощи которого инсайдер может вывести информацию за пределы организации, загрузив её в облако, социальную сеть или любой другой ресурс в виде файла или текстовой информации.
1.4.5 Утечка информации через электронную почту.
Изм. Лист № докум. Подпись Дата Наряду с Интернетом ни одна организация не обходится без корпоративной электронной почты, и зачастую это почта имеет выход вовне, что даёт злоумышленникам возможность отправить конфиденциальную информацию за пределы организации в виде файла или текстовой информации.
1.4.6 Утечка информации через интернет-мессенджеры Так же как Интернет и электронная почта даёт возможность злоумышленнику отправить конфиденциальную информацию в виде файла или текста. Но в отличие от Интернета и электронной почты не имеет запрещенными к использованию.
1.4.7 Утечка информации на бумажных носителях.
Данная категория сумела набрать существенную долю в общем объеме инцидентов. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на информационные технологий, электронных носителей информации и электронного документооборота, до сих пор активно используются и бумажные носители. Зачастую в организациях к ним относятся не серьёзно, уничтожаются должным образом, что даёт возможность злоумышленнику заполучить их и вынести за пределы организации. Так же не контролируется и не фиксируется кто, когда и в каком количестве распечатывает тот или иной документ, тем более, что в крупных организациях ежеминутно печатаются огромное количество документов, что впоследствии затрудняет Изм. Лист № докум. Подпись Дата поиск виновного в подобного рода утечке. Основной способ борьбы с информации — практика показывает, что в большинстве случаев достаточно хранить конфиденциальные сведения в электронном виде. Если же печать необходима — требуется обеспечить безопасность документов во время перевозки или пересылки.
1.5 Последствия утечки конфиденциальной информации В результате утечки конфиденциальной информации организация несет ущерб.
В соответствии со СТО БР ИББС 1.0-2010: ущерб - утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации, наступивший в результате реализации угроз информационной безопасности через уязвимости.
Описание ущерба, наносимого организации в результате утечки конфиденциальной информации, основывается на его количественных и качественных показателях, которые базируются на одном из принципов засекречивания информации (отнесения ее к категории конфиденциальной) принципе обоснованности.
целесообразности засекречивания конкретных сведений (отнесения содержащейся в них информации к категории конфиденциальной), а также вероятных последствий этих действий, с учетом решаемых предприятием задач и поставленных целей.
1.6 Особенности обеспечения информационной Изм. Лист № докум. Подпись Дата В организациях кредитно-финансовой сферы деятельность по защите информации должна строиться в строгом соответствии с требованиями законодательства Российской Федерации, стандартов Банка России по обеспечению информационной безопасности и требований регуляторов в области технической защиты информации и криптографической защиты.
Основными нормативными документами в области обеспечения информационной безопасности являются:
технологиях и защите информации» от 27.07.2006 № 149-ФЗ;
• Федеральный закон «О персональных данных» от 27.07.2006 №152ФЗ;
• Федеральный закон «О банках и банковской деятельности» от • Федеральный закон «О национальной платежной системе» от • ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения • ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология.
Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
• ГОСТ Р 50922-96 «Защита информации. Основные термины и • Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и ряд других.
Изм. Лист № докум. Подпись Дата Большинство банков в России внедрили у себя комплекс Стандартов Банка России по обеспечению ИБ организаций банковской системы Российской Федерации, создавая на его основе систему обеспечения информационной безопасности (СОИБ).
Основным документом комплекса является Стандарт СТО БР ИББС 1.0- банковской системы Российской Федерации. Общие положения». Кроме него информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2- «Обеспечение информационной безопасности организаций банковской информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010», а также ряд документов в области стандартизации по оценке рисков, защите персональных данных, документации, самооценке и т.п.
СТО БР ИББС 1.0-2010 разработан с целью развития, повышения доверия и поддержания стабильности организаций БС РФ, а так же для достижения адекватности мер защиты реальным угрозам информационной безопасности и, как следствие, предотвращения и снижения ущерба от инцидентов информационной безопасности, с учетом лучших мировых практик менеджмента информационной безопасности, требований российского законодательства (включая Федеральный закон от 27.07. №152-ФЗ «О персональных данных»), а также отраслевую специфику организаций банковской системы Российской Федерации (далее - БС РФ).
В соответствии с рекомендациями СТО БР ИББС 1.0-2010 деятельность банка по реализации и поддержанию информационной безопасности строится с использованием циклической модели Деминга «… - планирование Изм. Лист № докум. Подпись Дата - реализация - проверка – совершенствование - планирование - …», которая является основой модели менеджмента стандартов Банка России СТО БР ИББС-1.0 и стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001рис.5.
Рис.5 Процессная модель менеджмента информационной безопасности.
На стадии планирования обеспечивается правильное задание системы информационной безопасности, предлагается соответствующий план обработки этих рисков. На стадии осуществления внедряются принятые решения, которые были определены на стадии планирования. На стадиях проверки и действия усиливают, исправляют и совершенствуют решения по безопасности, которые уже были определены и реализованы.
1.8 Требования к системе ИБ в банке и применяемые Требования к системе информационной безопасности в банках формируются для следующих областей:
• назначения и распределения ролей и обеспечения доверия к Изм. Лист № докум. Подпись Дата • обеспечения информационной безопасности на стадиях жизненного • защиты от несанкционированного доступа и неразрешенных действий, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании, автоматических • использования ресурсов Интернет;
• использования средств криптографической защиты информации технологических процессов, в рамках которых обрабатываются В банке должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, разглашения и утечки информации, повреждения или нарушения целостности информации, несанкционированных действий должны регистрироваться.
На всех автоматизированных рабочих местах и серверах АБС банка, должны применяться средства антивирусной защиты. Процедуры установки и регулярного обновления средств антивирусной защиты должны быть работниками подразделения информационной безопасности.
Для реализации, эксплуатации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности руководство банка формирует службу информационной безопасности и утверждает цели и задачи ее деятельности:
Изм. Лист № докум. Подпись Дата обеспечению информационной безопасности банка;
регламентирующие деятельность по обеспечению информационной • определять требования к мерам обеспечения информационной • внедрять и использовать все необходимые средства обеспечения • осуществлять мониторинг событий, связанных с обеспечением • контролировать работников банка, в части выполнения ими • участвовать в расследовании событий, связанных с инцидентами выходить с предложениями по применению санкций в отношении Особое внимание уделяется процедурам управления инцидентами информационной безопасности, в частности, решению следующих задач:
• обнаружение инцидентов информационной безопасности;
• информирование об инцидентах;
Изм. Лист № докум. Подпись Дата инцидентом информационной безопасности;
• анализ причин инцидентов информационной безопасности и оценки Объектом исследования является коммерческий банк ЗАО «Южный», основанный в 2001 году, и специализирующийся на обслуживании физических лиц, индивидуальных предпринимателей и предприятий малого бизнеса. Сеть банка формируют 632 офиса в 52 регионах страны, головной офис находится в Москве.
Банк предлагает клиентам основные банковские продукты, принятые в международной финансовой практике. В числе предоставляемых услуг:
• кредитование различных видов (ипотечный, потребительский, • обслуживание текущих счетов, позволяющее перечислять средства • расчетно-кассовые операции и денежные переводы различных • предоставление карт и управление карточными счетами;
Изм. Лист № докум. Подпись Дата • всевозможные пластиковые карты (зарплатные, премиальные, для открытия овердрафта сотрудниками);
• лизинг: с его помощью покрывается стоимость купленного и сданного в эксплуатацию оборудования;
• инкассация (включая сохранность и доставку средств компании).
Часть услуг доступна клиентам в круглосуточном режиме, для чего используются современные телекоммуникационные технологии.
с генеральной лицензией Банка России № 1623 от 15.10.2012 г.
1.9.2 Установленный режим защиты информации неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
В ЗАО «Южный» режим защиты информации установлен для следующих видов информации:
• в отношении банковской тайны в соответствии с Федеральным законом «О банках и банковской деятельности» от 02.12. №395-1 (ст. 26) и «Гражданским кодексом Российской Федерации»
• в отношении коммерческой тайны, т.е. информации позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную Изм. Лист № докум. Подпись Дата коммерческую выгоду. На основании Федерального Закона РФ «О коммерческой тайне» от 29.07.2004 №98-ФЗ;
• в отношении персональных данных, т.е. любой информации, персональных данных» от 27.07.2006 №152-ФЗ;
Федеральным законом от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;
• в отношении сведений, составляющих служебную тайну банка, т.е.
информации, не публикуемой в открытом доступе.
Органами управления Банка являются:
Общее собрание акционеров является высшим органом управления Банком. Акционерами могут быть юридические и (или) физические лица. К компетенции Общего собрания акционеров относятся следующие вопросы:
• внесение изменений и дополнений в Устав Банка;
• избрание членов Наблюдательного совета Банка;
• избрание Президента, Председателя Правления Банка и досрочное Изм. Лист № докум. Подпись Дата Банк ЗАО «Южный» является юридическим лицом и со своими представительствами, филиалами и их внутренними структурными подразделениями составляет единую систему.
Филиалы и представительства Банка не являются юридическими лицами и действуют на основании положений, утвержденных Правлением Банка.
приведена на Рис.6.
Рис.6 Обобщенная организационная структура банка ЗАО «Южный».
Вопросами обеспечения информационной безопасности в Банке занимается Управление информационной безопасности, созданное в рамках Службы безопасности.
Структура Управления информационной безопасности и состав Изм. Лист № докум. Подпись Дата входящих в него подразделений приведены на рис.7.
Рис.7 Структура Управления информационной безопасности и состав входящих в Всего в составе Управления информационной безопасности – человек, включая начальника Управления и его заместителя.
безопасности:
• разработка и внедрение требований по информационной • внедрение и сопровождение средств и систем защиты • мониторинг информационной безопасности;
Изм. Лист № докум. Подпись Дата • проведение и участие в проведении аудитов и самооценок • предоставление информации по вопросам информационной • консультирование и обучение работников банка по вопросам В ходе мониторинга информационной безопасности происходит связанных с несанкционированным доступом к информации, утечкам и разглашению конфиденциальной информации.
расследований по выявленным нарушением занимается Отдел менеджмента информационной безопасности.
Внедрением и сопровождением систем и средств защиты информации необходимости работников Департамента информационных технологий.
1. 9.5 Нормативные документы по обеспечению ИБ В Банке ЗАО «Южный» внедрены необходимые нормативные документы по обеспечению информационной безопасности, основными из которых являются:
Изм. Лист № докум. Подпись Дата 1.9.6 Программно-аппаратные средства защиты ИБ В рамках технического обеспечения информационной безопасности в Банке внедрены и используются различные программные и программноаппаратные средства обеспечения информационной безопасности, которые встроенными средствами защиты информации.
К основным используемым в Банке программно-аппаратным средствам защиты информации относятся:
шифрования, позволяет обеспечить защиту информационных сетей конфиденциальность при передаче информации по открытым каналам связи, организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие различных сетей. Объединяет межсетевой экран и средство построения VPN-сетей.
Используемые программные средства:
вредоносных программ, контроля серверов, веб-контроля и контроля дисководам, USB, FireWire, COM-портам, CD-ROM, WiFi и Изм. Лист № докум. Подпись Дата Bluetooth-адаптерам. HDD Low Level Format Tool – программное средство уничтожение информации на защищаемых устройствах Используется в рамках проведения расследований.
Для разграничения доступа к информации ограниченного пользования используются штатные средства Windows Server.
Однако, несмотря на достаточно большое количество различных средств и систем защиты информации, и прежде всего – мониторинга информационной безопасности, ряд каналов утечки информации находится не под контролем. Так, средства и системы мониторинга информационной безопасности (ПО DeviceLock и ПО MailArchiva) не перекрывают все каналы утечки конфиденциальной информации, а только съёмные накопители информации и отправку сообщений на внешнюю почту. Открытыми остаются каналы: Интернет, печать, а также использование систем мгновенного обмена информацией (Skype, ICQ и т.п).
Таким образом, для управления ИБ актуальной задачей является внедрение комплексной системы предотвращения утечек конфиденциальной информации, которая позволила бы контролировать все каналы утечек.
Изм. Лист № докум. Подпись Дата Разраб.
ПРОЕКТНАЯ ЧАСТЬ
Н. конт 2.1. Исследование принципов работы DLP-систем.Необходимость защиты от внутренних угроз, связанных с утечками конфиденциальной информации, была очевидна на всех этапах развития средств информационной безопасности. На данный момент существует множество способов борьбы с утечками конфиденциальных данных, как на уровне организационных процедур, так и на уровне программных решений.
Применение организационных мер, таких как внедрение и контроль политик информационной безопасности, четкая регламентация обработки малоэффективными без применения соответствующих современных технических систем и средств, позволяющих не только обнаруживать, но и предотвращать утечки конфиденциальной информации.
Одним из наиболее эффективных методов на сегодняшний день информации – DLP-система.
является Далее в дипломной работе будут рассмотрены принцип действия, режимы работы и особенности DLP-систем.
DLP расшифровывается как Data Loss Prevention и используется для обозначения продуктов и систем для защиты от утечек информации. DLPсистемы предназначены для защиты корпоративной информации от утечек за пределы информационной сети организации.
Подобного рода системы создают защищенный цифровой «периметр»
вокруг организации, анализируя всю исходящую и входящую информацию.
По архитектуре DLP бывают сетевыми, агентскими и смешанными.
Сетевые DLP, как следует из названия, контролируют информацию, выходящую за пределы организации по сетевым каналам — электронные письма, веб-трафик, сообщения интернет-мессенджеров и т.п. Агентские Изм. Лист № докум. Подпись Дата DLP контролируют перемещение документов с рабочих станций сотрудников — запись на съемные накопители и другие устройства, печать на принтерах.
К основным преимуществам DLP-системы перед традиционными средствами защиты информации относятся:
расследовании инцидентов, связанных с утечками КИ;
конфиденциальной информации в электронном виде (включая локальные и сетевые способы), регулярно используемыми в бизнесдеятельности организации;
содержимому (независимо от формата хранения, каналов передачи, электронных сообщений или записи на USB-накопители, если эти установленным политикам безопасности (внедрение системы не требует расширения штата службы безопасности).
В последнее время наблюдается стойкая тенденция к созданию смешанных DLP-систем. Основной причиной перехода на смешанные DLP разные области применения у систем разных типов. Агентские DLP-решения позволяют контролировать всевозможные локальные каналы, а сетевые DLP Изм. Лист № докум. Подпись Дата структура DLP-системы представлена на рис.8.
Большинство DLP-систем имеет два режима работы: «пассивный» и информации, даже если обнаруживает нарушения политик безопасности. В таком варианте трафик на DLP переправляется с помощью маршрутизатора или специальных агентов-перехватчиков, устанавливаемых на почтовых и прокси-серверах. В «активном» режиме DLP ставится в разрыв и может блокировать утечки, принимая решения в реальном времени. Стоит отметить, многие DLP-системы технически не могут работать в «активном» режиме, что существенно сужает их применимость для реальных задач.
На первый взгляд «активный» режим который позволяет не только выявлять, но и предотвращать утечки конфиденциальной информации, однозначно лучше. Однако, на самом деле, его применяют относительно редко. Проблема заключается в существенном снижении канала связи, для контроля которого используется DLP-система. Здесь возникает два риска.
Во-первых, это возможность ложного срабатывания, когда блокируется Изм. Лист № докум. Подпись Дата легально передаваемые данные. Во-вторых, риск отказа самой DLP-системы (а это случается, особенно при высоких нагрузках), при котором будет перекрыт весь канал. Таким образом «активный» режим может повлиять на непрерывность бизнес-процессов компании. И, поэтому, его используют реже простого мониторинга сетевого трафика и почти никогда не применяют в крупных организациях.
Как видно из рис.8, когда работник начинает производить какие-либо действия с информацией, будь то копирование конфиденциального документа, или части документа на съемный носитель информации, несанкционированная отправка его по электронной почте или на печать, изменение или удаление и т.п., DLP-агент, установленный на ПК, сверяет действия работника с заранее прописанными, в его системе политиками. При выявлении несоответствия действий работника политикам, система автоматически записывает данное событие в журнал инцидентов и безопасности, ответственному за мониторинг журналов. Затем работник безопасности проводит расследование данного инцидента, а само событие заносится в архив на сервере DLP-системы.
Ядром DLP-систем являются технологии категоризации информации. В основном, для категоризации данных в продуктах по защите корпоративной информации от утечек используются две основных группы технологий — статистические методы (цифровые отпечатки, антиплагиат).
В лингвистическом анализе используется не только контекстный анализ (то есть, в каком контексте, в сочетании с какими другими словами Изм. Лист № докум. Подпись Дата используется конкретный термин), но и семантический анализ текста. Эти технологии работают тем эффективнее, чем больше анализируемый фрагмент ведь на большом фрагменте текста точнее проводится анализ, с большей вероятностью определяется категория и класс документа. При анализе же коротких сообщений (SMS, Интернет-мессенджеры) ничего лучшего, чем стоп-слова, до сих пор не придумано.
2.2.2 Достоинства и недостатки лингвистического анализа К достоинствам лингвистического анализа можно отнести следующие аспекты:
только с уже обработанными и грифованными документами, но и с срабатывание, все остальное она сделает сама);
пропорциональна ее количеству и абсолютно не зависит от определяет лингвистические признаки этой категории);
инфраструктуры банка в собственных целях, нанесение вреда имиджу банка, например, распространение порочащих слухов и К недостаткам лингвистического анализа можно отнести:
Изм. Лист № докум. Подпись Дата • зависимость от языка (невозможно использовать лингвистический движок, разработанный для одного языка, в целях анализа другого);
• обработка только логически связных текстов (если информация содержит только имена собственные — ФИО, адреса, названия компаний, а также цифровую информацию — номера счетов, кредитных карт, их баланс и прочее, то обработка подобных данных с помощью лингвистики много пользы не принесет);
• вероятностный подход к категоризации (обучением системы можно достигнуть 92-95% точности, это означает, что каждое десятое или двадцатое перемещение информации будет ошибочно причислено не к тому классу, что может привести к утечке или прерывание Другим методом категоризации информации в банке, используемым DLP-системами, является статистические технологии.
Статистические технологии относятся к текстам не как к связной последовательности слов, а как к произвольной последовательности символов, поэтому одинаково хорошо работают с текстами на любых языках.
Поскольку любой цифровой объект — хоть картинка, хоть программа — тоже последовательность символов, то те же методы могут применяться для анализа не только текстовой информации, но и любых цифровых объектов.
защищаемого объекта, является шаг, с которым снимается хеш. Так называемые «цифровые отпечатки» являются уникальной характеристикой объекта и при этом имеет свой размер. Размер такого отпечатка зависит от шага хеша — чем меньше шаг, тем больше отпечаток. Обычно производители сами рекомендуют некоторый оптимальный шаг снятия хешей, чтобы размер цитаты был достаточный и при этом вес самого Изм. Лист № докум. Подпись Дата отпечатка был небольшой — от 3% (текст) до 15% (сжатое видео). В некоторых продуктах производители позволяют менять размер значимости цитаты, то есть увеличивать или уменьшать шаг хеша.
2.2.4 Достоинства и недостатки статистических методов К достоинства статистических методов можно отнести:
точностью до 100% может сказать, есть ли в проверяемом файле снять отпечаток, и система будет, в соответствии с настройками, блокировать пересылку или копирование файлов, содержащих нетекстовой информации (высокая эффективность при защите статических цифровых объектов любого типа — картинок, файл оказался не в том месте либо не был проиндексирован по халатности или злому умыслу, то система его защищать не будет);
искомых отпечатков может вырасти до нескольких сотен тысяч, что файла и его формата (если объект меняется каждую минуту или Изм. Лист № докум. Подпись Дата даже секунду, то после каждого изменения объекта с него нужно В идеале использовать две эти технологии нужно не параллельно, а последовательно. Например, отпечатки лучше справятся с определением типа документа — договор это или балансовая ведомость, например. Затем можно подключать уже лингвистическую базу, созданную специально для этой категории. Это сильно экономит вычислительные ресурсы. Поэтому большинство компаний-лидеров используют в своих разработках обе технологии, при этом одна из них является основной, а другая — дополнительной.
случайного или умышленного несанкционированного использования информации работниками банка. Кроме того, важнейшим критерием причисления решения к классу DLP является наличие возможностей передаваемой информации.
выступать:
сети, форумы, блоги, чаты и т.п. (трафик по протоколам HTTP, Изм. Лист № докум. Подпись Дата пиринговые клиенты (ICQ, Jabber, MSN, Skype, клиенты для сетей несанкционированные передатчики WiFi, Bluetooth, IrDa, модемы и В качестве сравнения были выбраны наиболее популярные (по версии аналитического центра Anti-Malware.ru на конец 2013 года) на российском рынке информационной безопасности DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «Инфосистем Джет».
Критерии сравнения DLP-систем выбирались, исходя из потребностей компаний различного размера и разных отраслей. Под основной задачей DLP-систем подразумевается предотвращение утечек конфиденциальной информации по различным каналам.
Два основных режима работы DLP-систем – активный и пассивный.
Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик.
Пассивный режим чаще всего используется на этапе настройки системы для срабатываний. В этом случае нарушения политик фиксируются, но Изм. Лист № докум. Подпись Дата ограничения на перемещение информации не налагаются. Типы режимов работы DLP-системы показаны на рис.9.
равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу.
Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства.
информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения.
разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки.
информации различных классов.
На рис.10 показано, что производители DLP-систем стараются интегрировать в свои продукты максимальное количество технологий распознавания информации.
Изм. Лист № докум. Подпись Дата Рис.11 Технологии распознавания информации DLP-систем В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.
Каждый канал передачи данных – это потенциальный канал утечек.
Даже один открытый канал может свести на нет все усилия службы информационной безопасности, контролирующей информационные потоки.
Именно поэтому так важно блокировать неиспользуемые сотрудниками для предотвращения утечек.
Лучшие современные DLP-системы способны контролировать большое количество сетевых каналов, как показано на рис.12, а ненужные каналы Изм. Лист № докум. Подпись Дата целесообразно блокировать. К примеру, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить ему доступ в Интернет.
Аналогичные выводы справедливы и для локальных каналов утечки.
Правда, в этом случае бывает сложнее заблокировать отдельные каналы, поскольку порты часто используются и для подключения периферии, устройств ввода-вывода и т. д.
Особую роль для предотвращения утечек через локальные порты, мобильные накопители и устройства играет шифрование. Средства шифрования достаточно просты в эксплуатации, их использование может быть прозрачным для пользователя.
Но в то же время шифрование позволяет исключить целый класс утечек, связанных с несанкционированным доступом к информации и утерей мобильных накопителей.
2.4.4 Контроль информации при использовании локальных Изм. Лист № докум. Подпись Дата Ситуация с контролем локальных агентов в целом хуже, чем с сетевыми каналами показана на рис.13. Успешно контролируются всеми продуктами только USB-устройства и локальные принтеры. Также, несмотря на отмеченную выше важность шифрования, такая возможность присутствует только в отдельных продуктах, а функция принудительного шифрования на основе контентного анализа присутствует только в Zecurion DLP.
Рис.13 Контроль информации при использовании локальных устройств 2.4.5 Возможности DLP-систем для проактивного предотвращения конфиденциальных данных в процессе передачи, но и ограничение распространения информации в корпоративной среде. Для этого в состав DLP-систем производители включают инструменты, способные выявлять и классифицировать информацию, хранящуюся на серверах и рабочих станциях в сети, как показывает рис.14. Данные, которые нарушают политики информационной безопасности, должны быть удалены или перемещены в безопасное хранилище.
Изм. Лист № докум. Подпись Дата Рис.14 Возможности DLP-систем для проактивного предотвращения утечек.
корпоративной сети используются те же самые технологии, что и для контроля утечек по электронным каналам. Главное отличие – архитектурное.
Если для предотвращения утечки анализируется сетевой трафик или файловые операции, то для обнаружения несанкционированных копий конфиденциальных данных исследуется хранимая информация – содержимое рабочих станций и серверов сети.
Из рассматриваемых DLP-систем только InfoWatch и «Дозор-Джет»
игнорируют использование средств выявления мест хранения информации.
Это не является критичной функцией для предотвращения утечки по электронным каналам, но существенно ограничивает возможности DLPсистем в отношении проактивного предотвращения утечек. К примеру, когда конфиденциальный документ находится в пределах корпоративной сети, это не является утечкой информации. Однако если место хранения этого документа не регламентировано, если о местонахождении этого документа не знают владельцы информации и офицеры безопасности, это может привести к утечке. Возможен несанкционированный доступ к информации или к документу не будут применены соответствующие правила безопасности.
Изм. Лист № докум. Подпись Дата Такие характеристики как удобство использования и управления могут быть не менее важными, чем технические возможности решений. Ведь действительно сложный продукт будет трудно внедрить, проект отнимет больше времени, сил и, соответственно, финансов. Уже внедренная DLPсистема требует к себе внимания со стороны технических специалистов. Без должного обслуживания, регулярного аудита и корректировки настроек качество распознавания конфиденциальной информации будет со временем сильно падать.
безопасности языке – первый шаг для упрощения работы с DLP-системой.
Он позволит не только облегчить понимание, за что отвечает та или иная настройка, но и значительно ускорит процесс конфигурирования большого количества параметров, которые необходимо настроить для корректной работы системы. Английский язык может быть полезен даже для интерфейсом консоли управления DLP-системы показан на рис.15.
Рис.15 Поддержка языков интерфейсом консоли управления DLP.
Возможности управления из единой консоли (для всех компонентов) с веб-интерфейсом показаны на рис.16. Исключение составляют российские InfoWatch (отсутствует единая консоль) и Zecurion (нет веб-интерфейса). При Изм. Лист № докум. Подпись Дата этом оба производителя уже анонсировали появление веб-консоли в своих будущих продуктах.
минимизации рисков предотвращения появления «суперпользователя» с неограниченными правами и других махинаций с использованием DLP.
Архив DLP – это база данных, в которой аккумулируются и хранятся события и объекты (файлы, письма, http-запросы и т. д.), фиксируемые датчиками системы в процессе ее работы. Собранная в базе информация может применяться для различных целей, в том числе для анализа действий пользователей, для сохранения копий критически важных документов, в качестве основы для расследования инцидентов ИБ. Кроме того, база всех событий чрезвычайно полезна на этапе внедрения DLP-системы, поскольку помогает проанализировать поведение компонентов DLP-системы.
информации показаны на рис.17.
Изм. Лист № докум. Подпись Дата В данном случае мы видим принципиальное архитектурное различие между российскими и западными DLP. Последние вообще не ведут архив. В этом случае сама DLP становится более простой для обслуживания (отсутствует необходимость вести, хранить, резервировать и изучать огромный массив данных), но никак не для эксплуатации. Ведь архив событий помогает настраивать систему. Архив помогает понять, почему произошла блокировка передачи информации, проверить, сработало ли правило корректно, внести в настройки системы необходимые исправления.
Также следует заметить, что DLP-системы нуждаются не только в первичной настройке при внедрении, но и в регулярном «тюнинге» в процессе эксплуатации. Система, которая не поддерживается должным образом, не доводится техническими специалистами, будет много терять в качестве инцидентов, и количество ложных срабатываний.
Информационная безопасность – не исключение. Отчеты в DLP-системах выполняют сразу несколько функций. Во-первых, краткие и понятные отчеты позволяют руководителям служб ИБ оперативно контролировать состояние Изм. Лист № докум. Подпись Дата защищенности информации, не вдаваясь в детали. Во-вторых, подробные отчеты помогают офицерам безопасности корректировать политики безопасности и настройки систем. В-третьих, наглядные отчеты всегда можно показать топ-менеджерам компании для демонстрации результатов работы DLP-системы и самих специалистов по ИБ. Оценка возможностей формирования отчетов показана на рис.18.
Почти все конкурирующие решения, рассмотренные в обзоре, предлагают и графические, удобные топ-менеджерам и руководителям служб ИБ, и табличные, более подходящие техническим специалистам, отчеты.
Графические отчеты отсутствуют только в DLP InfoWatch, за что им и была снижена оценка.
Вопрос о необходимости сертификации для средств обеспечения информационной безопасности и DLP в частности является открытым, и в рамках профессиональных сообществ эксперты часто спорят на эту тему.
Обобщая мнения сторон, следует признать, что сама по себе сертификация не дает серьезных конкурентных преимуществ. В то же время, существует некоторое количество заказчиков, прежде всего, госорганизаций, для которых наличие того или иного сертификата является обязательным.
Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители Изм. Лист № докум. Подпись Дата сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Сертификаты на продукты DLP-линейки показаны на рис.19.
В целом, все участники произвели благоприятное впечатление и могут продуктов позволяют конкретизировать область их применения.
Сегодня все большее количество компаний начинают осознавать преимущества и необходимость использования DLP-систем в общем контуре отечественного DLP-рынка не остаются незамеченным зарубежными производителей будут внедрять свои решения на Российский рынок. В настоящее время лидирующие позиции на российском рынке сохраняет компания InfoWatch, приложившая немалые усилия для популяризации идей борьбы с инсайдерами. В качестве основного механизма распознавания конфиденциальной информации в продуктах этой компании используется анализ содержания и формальных атрибутов отправки. Детальная проработка Изм. Лист № докум. Подпись Дата лингвистической разметки позволяет достичь высокого качества распознавания, но надо отметить, что этот процесс требует времени и предполагает оказание профессионального сервиса.
2.5 Выбор DLP-системы для внедрения в коммерческом банке Для внедрения в структуру коммерческого банка ЗАО «Южный», на основании оценки и анализа рынка DLP-систем, было выбрано решение компании InfoWatch.
Была выбрана DLP-система InfoWatch Traffic Enterprise, которая наиболее удовлетворяет тробованиям коммерческого банка ЗАО «Южный».
InfoWatch Traffic Enterprise предназначенна для предотвращения утечек конфиденциальной информации через электронную почту, социальные сети, интернет-пейджеры и любые другие сетевые каналы передачи данных и решает следующие задачи:
• Анализ содержимого пересылаемых сообщений и файлов на предмет наличия в них конфиденциальных данных.
• Категоризация всей перехваченной информации.
• Блокирование утечек конфиденциальных данных в режиме подозрительного поведения сотрудников еще на ранней стадии.
• Создание архива всех сообщений и файлов, пересылаемых законодательством и отраслевыми стандартами.
Изм. Лист № докум. Подпись Дата Принципиальная схема работы InfoWatch Traffic Enterprise показана на риc.20.
Рис.20 Принципиальная схема работы InfoWatch Traffic Enterprise Как видно из схемы, работа системы происходит следующим образом.
Сетевой трафик полученный со шлюза (коммутатора) передаётся на сервер InfoWatch Traffic Monitor для анализа и последующей передачи в хранилище InfoWatch Forensic Storage. В зависимости от варианта работы InfoWatch Traffic получателю или же просто копироваться в хранилище InfoWatch Forensic Storage.
Агенты на рабочих станциях, согласно политикам, собирают теневые копии документов, копируемых на внешние носители или отправляемые на печать, а также копии трафика по отдельным протоколам (например, FTP, Skype, Google Talk, Mail.ru Агент ) и передают их на сервер InfoWatch Device Изм. Лист № докум. Подпись Дата Monitor. Далее полученные объекты обрабатывают согласно заданным правилам и пе передаются на сервер InfoWatch Traffic Monitor для дальнейшего анализа и последующей передачи в хранилище InfoWatch Forensic Storage.
InfoWatch Crawler – это новый компонент, который появился в InfoWatch Traffic Enterprise. Он предназначен для поиска файлов, которые находятся в корпоративной сети, в общедоступных сетевых хранилищах и папках с последующим созданием теневых копий. Полученные данные передаются на сервер InfoWatch Traffic Monitor для анализа на предмет наличия конфиденциальных данных и соответствие корпоративным политикам безопасности.
Программный комплекс InfoWatch Traffic Enterprise можно проинсталлировать за несколько часов, при этом не требуется покупать никакое дополнительное ПО. Также присутсвует наличие русского интерфейса. Внедрение DLP-системы не влияет на функционирование существующих информационных систем внутри банка и позволяет контролировать все каналы утечки информации.
Еще из преимуществ можно выделить:
• Контроль ноутбуков. Позволяет выявить утечку информации через ноутбуки, используемые сотрудниками вне корпоративной • Полная интеграция с доменной структурой Windows.
• Отслеживание и визуализация связей между сотрудниками.
Можно регулярно выявлять и анализировать связи сотрудников работы и оперативного проведения внутренних расследований.
Изм. Лист № докум. Подпись Дата • Разграничение прав доступа к информации. Дает возможность настройки прав доступа к перехваченной информации.
• Контроль содержимого рабочих станций и общедоступных Для реализации защиты конфиденциальной информации от утечек в модуле InfoWatch Device Monitor реализованы следующие возможности:
• Контроль съемных накопителей,с помощью модуля InfoWatch Device Monitor, позволяет контролировать использование широкого спектра накопителей, подключающихся к разным портам и интерфейсам компьютера. В зависимости условий доступ к носителю может полностью запрещаться, полностью разрешаться или разрешаться только для чтения.
• Контроль на уровне файлов позволяет создавать правила для контроля процесса записи на съемные накопители на уровне • Контроль печатающих устройств в рассматриваемой системе реализована возможность контроля использования печатающих устройств: локальных принтеров, доступных сотрудникам • Контроль Skype позволяет решить эту проблему. Осуществляя перехват на стороне рабочей станции, он способен сохранять чаты, SMS-сообщения и файлы, отправляемые через Skype.
• Централизованное управление включает в состав продукта входит специальная консоль управления, с помощью которой можно осуществлять удаленное централизованное Изм. Лист № докум. Подпись Дата администрирование всей системы, включая настройку политики безопасности, работу с пользователями, управление рабочими Продукт имеет модульную структуру, то есть возможность по своему выбору установить только часть компонентов.
В результате внедрения и использования решения InfoWatch Traffic Enterprise, безопасности внутри банка, контроль за движением информации и защита конфиденциальных данных, предотвращение утечки персональных данных и выявление злоумышленников, а так же лиц, занимающихся промышленным шпионажем, халатности персонала при работе с конфиденциальной информацией.
В настоящее время в деятельности по обеспечению информационной безопасности широко используются два основных подхода к внедрению • традиционный подход, на основе типового внедрения систем защиты от утечек КИ на основе DLP-систем:
• комплексный подход (построение комплексной системы развёртывание технического комплекса DLP-системы, с минимальной настройкой (описанием базовых правил), а также минимальной «привязкой»
системы к существующим в банке процессам обработки конфиденциальной информации (обучение системы на экспертной выборке документов, ключевых слов).
Изм. Лист № докум. Подпись Дата процедуры инвентаризации, классификации и категорирования информации, процедуры/правила. Данный подход идеален для «быстрого старта», защищаемой информации/документов.
В рамках Комплексного подхода выполняется весь цикл работ по построению КСЗ КИ, включающий в себя организационно-нормативное, а также техническое обеспечение.
Данный подход характеризуется идентификацией и выявлением (формирование максимально полного и точного пакета правил), а также полной синхронизацией логики работы DLP-системы с фактическими, «правильными» процессами обработки конфиденциальной информации (настройка системы производится на основе анализа технологических процессов обработки защищаемой информации, «правильных» сценариев работы сотрудников с данной информацией). В рамках подхода производится системный анализ области (бизнес-процессы, прикладные области процессов, например, процесс заключения договоров), формируются и внедряются процедуры инвентаризации, классификации и категорирования информации, расследования инцидентов. Внедренный технический комплекс за счет точной настройки позволяет минимизировать нагрузку на специалистов по ИБ, производящих оперативный мониторинг инцидентов, и сфокусироваться на расследовании реальных инцидентов, а не ложных срабатываний системы.
обеспечивает основу для настройки технической системы контроля утечек КИ – DLP-системы и легитимного функционирования комплексной системы в целом.
Изм. Лист № докум. Подпись Дата 2.6.1 Внедрение непосредственно DLP-системы В рамках внедрения DLP-системы InfoWatch Traffic Enterprise в КБ ЗАО «Южный» будет использован комплексный подход, позволяющий получить более качественные результаты.
Архитектурный состав технического комплекса, внедряемого в проектах по построению комплексной системы защиты от утечек КИ на дополнительного функционала, а также требований по непрерывности его функционирования включает следующие технические модули:
реализующие основную прикладную функциональность;
• архив электронных сообщений — модуль, позволяющий ретроспективный анализ электронной переписки в рамках • модуль резервного копирования (Дополнительный модуль) — модуль, обеспечивающий резервное копирование и аварийное восстановление Базовых модулей DLP-систем и Все внедряемые технические модули в составе комплексного решения интегрируются с существующей ИТ-инфраструктурой банка (LDAPкаталоги, почтовые системы, веб-прокси-сервера и т.д.). В случае необходимости и принятой в банке практикой применения централизованных систем сбора и хранения файлов журнализации (логов) технические модули комплексного решения также могут быть интегрированы с данными системами. Типовой состав технических модулей комплексной системы, а также типовые контролируемые элементы ИТ-инфраструктуры представлены на рис.21.
Изм. Лист № докум. Подпись Дата Рис.21 – Состав технического комплекса защиты от утечки В таблице 1 приведено соответствие внедряемых модулей InfoWatch Traffic Таблица 1. Функциональное назначение модулей DLP-системы Базовые модули • отслеживание и предотвращение фактов передачи DLP-системы InfoWatch Traffic Monitor Изм. Лист № докум. Подпись Дата Базовые модули • отслеживание и предотвращение фактов записи DLP-системы InfoWatch Device Monitor • блокирование использования съемных носителей Изм. Лист № докум. Подпись Дата Базовые модули • поиск на серверах и рабочих станциях защищаемой DLP-системы InfoWatch Crawler Архив Построение архива электронных сообщений:
электронных • для расследования инцидентов, связанных с утечкой сообщений защищаемой информации по сетевым каналам, а InfoWatch Forensic также через съемные носители и принтеры;
Storage • юридически значимая доказательная база при Построение DLP-системы - это проект средней длительности (обычно 3-12 месяцев), сопровождаемый анализом предметной области, емкими аналитическими (разработка технического задания, согласование внушительного пакета документации, обучение персонала заказчика, внедрение базовых процедур управления комплексной системы) и техническими работами (настройка, отладка и тестирование технических модулей). Как правило, работы по проекту разбиваются на несколько типовых этапов:
Этап 1. Техническое проектирование DLP-системы и согласование проекта с руководством банка.
Этап 2. Внедрение технического комплекса DLP-системы.
Этап 3. Внедрение процессов управления DLP-системы.
Этап 4. Опытная эксплуатация DLP-системы.
Этап 5. Приемочные испытания DLP-системы.
Далее будут более подробно рассмотрены основные виды работ и особенности внедрения DLP-системы в коммерческом банке.
Изм. Лист № докум. Подпись Дата 2.6.2 Первый этап. Техническое проектирование DLP.
На этапе 1 «Техническое проектирование DLP-системы и согласование с данного проекта с руководством банка» проводится анализ области внедрения DLP-системы (бизнес-процессы, в рамках которых необходимо обеспечить контроль использования КИ), идентифицируются активы (информация, документы, сотрудники и т.п.), участвующие в обработке КИ, определяются допустимые сценарии работы с критичной КИ, закладывается нормативная основа защиты КИ в банке (политики, процедуры, регламенты и т.д.) Данный этап предваряет внедрение и настройку технических систем контроля утечек КИ, поскольку их легитимная и корректная настройка невозможна без точного понимания специфики обработки КИ в банке, а также правильного правового основания применения подобных систем и включает в себя следующие виды работ:
• Назначение ответственных лиц от Управления информационной безопасности и Управления ИТ банка за внедрение данной участвовать в данном процессе и в дальнейшем осуществлять • Выбор исполнителей по внедрению DLP-системы.
• Разработка технического задания, представителями компанииисполнителя, совместно с работниками Управления информационной безопасности и Управления ИТ банка и • В соответствии с техническим заданием определение требований, ограничений и процедур по обработке и защите КИ, разработка необходимых нормативных документов и Изм. Лист № докум. Подпись Дата • Разработка программы и методики испытаний внедряемой DLP-системы, в котором должны быть описаны процедуры • Подготовка и согласование пакета документов по внедрению согласование бюджета на внедрение данного проекта, финансовых затрат, установка сроков внедрения системы.
• Презентация данного проекта по внедрению DLP-системы • Подписание договора с компанией-исполнителем, которая будет поставлять и внедрять все необходимые компоненты Приказом по банку ЗАО «Южный» ответственными за проект • Начальник Управления информационной безопасности банка внедрения DLP-системы назначены:
Управления ИТ Родионов Олег Алексеевич.
Этим же приказом от Управления информационной безопасности и Управления ИТ выделено 5 работников, которые будут принимать непосредственное участие в процессе внедрения и тестирования DLPсистемы.
Внедрение DLP-системы представляет собой сложный процесс, поэтому руководством банка принято решение заключить договор на внедрение DLP-системы с интегратором, который имеет опыт в выполнении подобных проектов и сможет обеспечить быстрый и качественный ввод DLPДП.03.01Д.09/25.14.ПЗ Изм. Лист № докум. Подпись Дата системы в эксплуатацию. На основе исследования опыта внедрения аналогичных проектов в других кредитных организациях в качестве интегратора была выбрана компания «Информзащита», специализирующаяся автоматизированных систем различного назначения и любого уровня сложности.
Техническое задание разрабатывается компанией-исполнителем работ по договору совместно с заказчиком и содержит сведения об исходных условиях для построения DLP-системы, требования к ней и описание планируемой ее реализации у заказчика. Уровень детализации документов выбирается исходя из необходимости четкого понимания сторонами, какое техническое и иное обеспечение потребуется для внедрения системы, каков будет состав работ и вносимых в инфраструктуру заказчика изменений, что будет являться конечным результатом работ по проекту, а также условий последующей эксплуатации.
Техническое задание на внедрение DLP-системы включает в себя следующие основные позиции:
• Требования к срокам внедрения системы;
• Требования к программному обеспечению;
• Требования к аппаратному обеспечению;
• Требования к работам по установке и настройке системы.
согласованное с заказчиком техническое задание на DLP-системы, а Изм. Лист № докум. Подпись Дата определяющий внутренние процедуры при возникновении инцидентов информационной безопасности по нарушению конфиденциальности информации.
Техническое задание на внедрение DLP-системы InfoWatch Traffic Enterprise приведено в приложении 1.
В ходе определения требований, ограничений и процедур по обработке и защите КИ основное внимание уделяется вопросам анализа конфиденциальной информации банка»), анализа возможных каналов утечки информации и определения перечня лиц, допущенных к конфиденциальной информации.
«Перечень конфиденциальной информации банка ЗАО «Южный»
содержит следующие разделы, в которых более детально описаны сведения, относящиеся к:
• персональным данным клиентов, партнёров и работников • информации для служебного пользования.
К возможным каналам утечки конфиденциальной информации в коммерческом банке ЗАО «Южный» относятся:
• Электронная почта (корпоративная и вэб-почта);
• Утечка информации через Интернет (различные протоколы обмена информацией, социальные сети, блоги, форумы и Изм. Лист № докум. Подпись Дата • Сервис обмена мгновенными сообщениями и шифрованной • Отправка конфиденциальных документов на печать;
• Использование сетевых хранилищ данных (передача файлов 2.6.3 Второй этап. Внедрение технического комплекса На Этапе 2 «Внедрение технического комплекса DLP-системы» в соответствии с техническим заданием выполняются установка и настройка контролируемыми элементами ИТ-инфраструктуры. При этом DLP-система настраивается на контроль КИ, циркулирующей в банке ЗАО «Южный» в рамках области внедрения. Также на данном этапе производится разработка основной технической документации на технические модули, паспорта на технические системы, инструкции специалистам по информационной безопасности банка.
В рамках данного этапа производятся:
• Консультирование представителей банка, организацией, которая • Совместная работа специалистов банка и компании-интегратора, которая проводит работы по внедрению DLP-системы, по вопросам развертывания и настройки технических модулей • Обучение специалистов банка на профильных авторизованных курсах по настройке и эксплуатации соответствующего решения.
Изм. Лист № докум. Подпись Дата Основное внимание в ходе данного этапа уделяется вопросам тонкой настройки DLP-системы, в рамках ранее сформулированных требований к отдельным процедурам. Рассмотрим их более подробно.
2.6.3.1 Требования к прецедурам настройки DLP-системы.
2.6.3.2 Требования к подсистеме перехвата трафика.
Подсистема перехвата трафика должна обеспечивать перехват и передачу в подсистему анализа и принятия решений следующих видов трафика:
• SMTP-трафик – копии электронных почтовых сообщений, передаваемых по каналам корпоративной электронной почты • HTTP-трафик – копии POST-запросов при использовании пользователями Заказчика почтовых ресурсов и сервисов сети • расшифрованный HTTPS-трафик;
• теневые копии заданий на печать и файлов, скопированных на Подсистема перехвата трафика должна предоставлять возможность определять IP-адрес пользователя, отправившего HTTP-запрос или LYNCсообщение.
2.6.3.3 Требования к подсистеме анализа и принятия Подсистема анализа и принятия решений должна производить обработку объектов, полученных из подсистемы перехвата трафика, согласно Изм. Лист № докум. Подпись Дата сценарию обработки объектов, задаваемому средствами подсистемы администрирования. Она должна состоять из следующих модулей:
детектирование формата и извлечение текста и служебных • Модуль контентного анализа, производящий контентный анализ • Модуль принятия решений, выполняющий автоматическое принятие решений о факте нарушения или не нарушения перехваченным объектом политики безопасности.
Подсистема анализа и принятия решений должна передавать все данные, полученные в результате анализа перехваченных объектов, в подсистему хранения.
2.6.3.4 Требования к Модулю разбора перехваченных Модуль разбора перехваченных объектов должен предоставлять возможности обработки следующих типов объектов:
• детектирование форматов tiff, jpg, wmf/wmf3, emf, gif, mdb, • инспекция архивов: ARJ, RAR (включая SFX), ZIP (включая • детектирование и извлечение текста из документов MS Office (doc, docx, xls, xlsx, ppt, pptx, а также вложенных объектов), Изм. Лист № докум. Подпись Дата документов Open Office (odt, ods, odp), rtf (а также вложенных Модуль должен поддерживать кодировки: ISO-8859-1, ISO-8859-15, ISO-8859-5, win-1251, koi8-r, utf8.
(отправитель, список получателей, тема сообщения) и обработку текста HTTP-запроса и имеющихся у него вложений, для следующих веб-ресурсов:
newmail.ru, gmail.com, inbox.com, hotmail.com, hotmail.ru;
• Интернет-дневники и cоциальные сети: livejournal.com (.ru), blogs.mail.ru, liveinternet.ru (li.ru), my.ya.ru, diary.ru, blogspot.com (blogger.com), loveplanet.ru/a-journal, mylivepage.com, privet.ru, perfspot.com, linkedin.com, odnoklassniki.ru, vkontakte.ru (vk.com), dom.bankir.ru, forum.exler.ru, forum.ixbt.com, groups.google.ru 2.6.3.5 Требования к модулю контентного анализа.
Модуль контентного анализа должен производить анализ текста, извлеченного из объектов, с использованием следующих технологий:
• детектирование текстовых объектов.
Изм. Лист № докум. Подпись Дата Модуль принятия решений должен предоставлять возможности для автоматического вынесения вердикта – принятия решения о том, нарушает ли перехваченный объект политику безопасности. Модуль должен предоставлять возможности для задания правил автоматического вынесения вердикта по автоматического вынесения вердикта на основании:
• формальных признаков перехваченного объекта (отправитель, получатель и т.д.), в том числе типа перехваченного объекта • результатов контентного анализа текста, извлеченного из • белый список отправителей: любые объекты, отправленные от этих пользователей, определяются Системой как не нарушающие • черный список отправителей: любые объекты, отправленные от этих пользователей, определяются Системой как нарушающие • черный список получателей: любые объекты, отправленные этим Модуль должен предоставлять возможности для автоматического проставления перехваченным объектам дополнительных атрибутов (теги и цвет, которым этот объект отображается в пользовательском интерфейсе Системы). Для объектов с вложениями модуль должен определять тип файла вложения и присваивать объекту тег, соответствующий типу файла вложения.
Для HTTP-запросов модуль должен определять тип сайта, на который Изм. Лист № докум. Подпись Дата направлен запрос, и присваивать объекту тег, соответствующий типу сайта.
Модуль должен предоставлять возможности для передачи объектов в подсистему хранения.
Подсистема хранения должна обеспечивать хранение:
• исходящей электронной корреспонденции (SMTP-сообщения • входящей и исходящей LYNC-переписки;
• перехваченных теневых копий файлов.
Подсистема должна позволять выгружать сегменты БД хранилища на сменные носители или в хранилища данных с возможностью их последующего подключения и поиска по ним.
2.6.3.7 Требования к подсистеме расследования возможности для просмотра информации о перехваченных объектах и выполнения пользовательского анализа этих объектов. Она должна состоять из следующих модулей:
перехваченных объектах и результатах их обработки, а также • Модуль формирования отчетов, предоставляющий возможности для генерации отчетов о перехваченных объектах и об их Изм. Лист № докум. Подпись Дата Модуль мониторинга должен предоставлять возможности для создания запросов к базе данных с целью построения выборок по перехваченным объектам. В число параметров, по которым могут быть построены запросы, должны быть включены следующие атрибуты перехваченных объектов:
• формальные атрибуты перехваченных объектов:
• атрибуты, присвоенные объектам в процессе обработки:
1. вердикт, вынесенный по объекту подсистемой анализа и 2. результаты автоматической рубрикации объекта модулем 3. текстовые объекты, найденные в перехваченных объектах;
предустановленных запросов:
• Оценка эффективности работы системы (ложные срабатывания;
• События с вложениями (вложения, чей размер больше заданного вложенными файлами развлекательного характера);
• Статистика системы (ошибки выполнения сценария; события, не • События, перехваченные системой по HTTP-каналу (за текущий день/месяц; за выбранный период; для выбранных сотрудников;
Изм. Лист № докум. Подпись Дата по списку получателей; содержащие заданные категории / • События, перехваченные системой по LYNC-каналу (за текущий день/месяц; за выбранный период; для выбранных сотрудников;
по списку получателей; содержащие заданные категории / • События, перехваченные системой по SMTP-каналу (за текущий день/месяц; за выбранный период; для выбранных сотрудников;
по списку получателей; содержащие заданные категории / • Перехваченные события отправки на печать (за текущий день/месяц; за выбранный период; для выбранных сотрудников;
по списку получателей; содержащие заданные категории / • Перехваченные события копирования на сменные устройства (за текущий день/месяц; за выбранный период; для выбранных сотрудников; по списку получателей; содержащие заданные полнотекстового поиска по значениям заголовков объектов и тексту, извлеченному из объекта.
2.6.3.9 Требования к модулю формирования отчетов.
Модуль формирования отчетов должен предоставлять возможность формирования следующих видов отчетов:
• отчеты по результатам выполнения запроса;
Изм. Лист № докум. Подпись Дата Отчет по результатам выполнения запроса должен включать в себя информацию, выводящуюся модулем мониторинга в результате выполнения запроса к базе данных.
статистических отчетов должны быть включены следующие:
• выявление пользователей, которые в течение заданного периода отправлявших объекты, которым система присвоила какие-либо передачи информации с учетом вынесенного системой вердикта.
• выявление наиболее активных отправителей или получателей информации по различным каналам передачи трафика;
• динамика количества перехваченных объектов за заданный период, с детализаций по вердиктам системы о нарушении или не нарушении объектом политики безопасности;
формирования. Должна быть предусмотрена возможность сохранения измененных статистических отчетов.
графическими представлениями данных (графиками, диаграммами).
Модуль должен предоставлять возможность отправки полученных Изм. Лист № докум. Подпись Дата отчетов на печать и предоставлять возможность сохранения отчетов в следующих форматах: pdf, xls, rtf, html.
2.6.4 Третий этап. Внедрение процессов управления DLPсистемы.
На Этапе 3 «Внедрение процессов управления DLP-системы» в составе выделенных групп сотрудников (специалисты по ИБ, специалисты ИТ) банка производится цикл тренингов по управлению и работе с DLP-системы. В рамках данных тренингов проводится обучение групп специалистов банка по работе в рамках разработанных политик, процедур и регламентов. В случае необходимости в разработанные ранее документы вносятся изменения.
2.6.5 Четвертый этап. Опытная эксплуатация DLPсистемы.
В начале Этапа 4 «Опытная эксплуатация DLP-системы», согласно Программе и методике испытаний, проводятся предварительные испытания DLP-системы, результаты которых отражаются в подписываемых сторонами протоколах предварительных испытаний.
отрабатываются/выполняются базовые процедуры по управлению и работе с DLP-системы. Тестируются процессы внесения изменений, настройки и обучения технических модулей системы, отрабатываются процессы инвентаризации, классификации и категорирования информации, расследования инцидентов.
Тестирование DLP-системы является комплексным мероприятием по предварительной оценке предлагаемого решения в условиях, максимально приближенных к «боевым», — реальной работы в промышленной Изм. Лист № докум. Подпись Дата эксплуатации и обоснование необходимости применения данного класса решений по защите информации.
При построении комплексной системы защиты от утечек КИ в рамках тестирования проводятся следующие мероприятия:
• проверка совместимости DLP-системы с элементами ИТинфраструктуры заказчика;
• ознакомление заказчика с применяемыми исполнителем в • целевой сбор и анализ инцидентов, зафиксированных В зависимости от целей тестирования состав и объем проводимых мероприятий будут адаптироваться.
По завершении тестирования результаты оформляются Отчетом и представляются рабочей группе заказчика. Отчет содержит сведения о целях, условиях, порядке и результатах тестирования, а также рекомендации по перспективам масштабирования решения и возможности развертывания данной системы в промышленную эксплуатацию.
эксплуатации, в котором фиксируются сведения о сбоях и ошибках в работе технических модулей комплексной системы, а также об изменениях, если таковые по согласию сторон вносятся в конфигурацию технических модулей по сравнению с ранее установленными требованиями. При необходимости по Изм. Лист № докум. Подпись Дата результатам опытной эксплуатации вносятся изменения в техническую документацию.
По результатам опытной эксплуатации в случае необходимости в соответствующие элементы комплексной системы установленным порядком вносятся изменения.
2.6.6 Пятый этап. Приемочные испытания DLP-системы.
После успешного завершения опытной эксплуатации на Этапе «Приемочные испытания DLP-системы» заказчиком и исполнителем работ в составе комиссий проводятся приемочные испытания DLP-системы. Запуск комплексной системы в промышленную эксплуатацию производится на основании соответствующего приказа уполномоченного в организации лица.
По завершении опытной эксплуатации подписывается Акт сдачиприемки работ по проекту.
эксплуатацию и использоваться сотрудниками Управления информационной безопасности банка ЗАО «Южный» по своему прямому назначению, предотвращая утечки конфиденциальной информации.
Изм. Лист № докум. Подпись Дата Разраб.
ЭКОНОМИЧЕСКАЯ
Н. конт 3.1 Экономическая эффективность использования DLPсистемы Инвестиции в DLP систему можно разбить на 3 категории:- стоимость программного обеспечения;
стоимость внедрения и настройки;
- стоимость сопровождения системы Стоимость программного обеспечения - те инвестиции, которые Количество лицензий напрямую зависит от количества сотрудников в организации. Банк имеющий 1200 сотрудников инвестирует порядка руб. на лицензию на одного сотрудника в год.
Итоговая инвестиция в программное обеспечение и аппаратное обеспечение обойдется приблизительно 3 600 тыс. руб. Для сравнения, лицензия на 10 000 пользователей обойдется в 7 000 тыс. руб. в год.
Внедрение и настройка системы происходит профессиональными, организации, политик и количества информационных активов, измеряется в человеко-часах.
Объем банка потребует на установку, настройку и обучение персонала Стоимость сопровождения и управления системы проводится внутренними ресурсами организации.
Как правило, организации не требуется выделять специального человека для обслуживания DLP-системы. Эти обязанности разделяются среди существующего штата ИТ специалистов и офицеров безопасности, затраты указаны в таблице 2.
Изм. Лист № докум. Подпись Дата Таблица 2. Затраты на администрирование и обслуживание DLP-системы недель) администрирования системы Итак, инвестиции в систему предотвращения утечек информации в коммерческом банке со штатом сотрудников 1200 человек соответствуют данным таблица 3. Диаграмма инвестиций в DLP-систему по годам представлена на риc.22.
Изм. Лист № докум. Подпись Дата Рис.22 Диаграмма инвестиций в DLP-систему по годам Процентное отношение инвестиций в DLP к рискам единой серьезной информационной утечки показывает экстремальную эффективность и выгодность решения. Из года в год компания не только ликвидирует риски информационной утечки, но и повышает эффективность операционных процессов.
Способ сокращения рисковых фондов и предотвращения угрозы кражи информации очевиден. За пол процента от величины риска компания может защитить себя от него.
Коммерческие банки, которые внедрили DLP решение, также получают дополнительную выгоду от ее использования. Они получили возможность усовершенствовать бизнес-процессы и увеличить операционную Изм. Лист № докум. Подпись Дата сфокусироваться на основных бизнес-процессах, определяя и исправляя поврежденные.Компания InfoWatch постаралась максимально раскрыть тему, предоставив расчёты и примеры из практики, ставшие основой анализа.
Таблица 4. Расчет затрат на приобретение и внедрение DLP-системы и внедрение DLP-системы поддержку комплекса ПО сотрудников) Изм. Лист № докум. Подпись Дата Стоимость программного комплекса по защите компании от утечек зависит от многих факторов: количества сотрудников организации, набора модулей перехватчиков, работ по доработке решения под нужны заказчика и услуг консалтинга по повышению качества использования системы. В среднем считаем, что стоимость лицензии на программное DLP решение составляет около 7,5 млн рублей в год на 5000 рабочих мест.
Типичный заказчик использует DLP в течение последних трёх лет.
Полные затраты на приобретение, внедрение и использование системы на срок 3 года составляют порядка 23 миллионов рублей.
информации Ponemon Institute проводит исследование по оценке стоимости утечки данных. Статистика по средней стоимости утечки одной записи персональных данных представлена в таблице.
Таблица 5. Статистика средней утечки одной записи персональных данных Стоимость Стоимость утечки в Хотя Россия не входит в список исследуемых стран, можно сделать предположение, что стоимость утечки в РФ выше, чем в Индии и ниже, чем в Великобритании.
В среднем, это нам даёт стоимость потери одной записи персональных данных - 2473 р.
Изм. Лист № докум. Подпись Дата Для компании, у которой произошла утечка в размере 10 000 записей персональных данных, ущерб составит 24 миллиона рублей.
По данным аналитического агентства Forrester организация может ожидать потери до 20% от общего размера клиентской базы по причине утечки персональных данных.
Для компании с годовой выручкой в 1 миллиард рублей и долей 80% дохода от повторных клиентов такая потеря может стать катастрофой. Если компания потеряла 10% текущих клиентов и ожидает недополучить до 20% новых клиентов из-за ухудшения имиджа после оглашения утечки, общий масштаб потерь составит 120 миллионов рублей в первый год после утечки данных.
Также не стоит исключать из расходов меры по снижению негативных последствий после утечки. Для восполнения потерянных доходов компания повысит свои усилия по генерации прибыли: увеличит затраты на рекламу и информационной безопасности компании.
Анализ различных инцидентов утечки данных показывает, что ущерб от единичного случая потери существенного объёма критичной информации может составлять десятки и даже сотни миллионов рублей.
Изм. Лист № докум. Подпись Дата утечки 1 000 записей кредитных карт Репутационные потери в результате 133 200 000 р утечки 1 000 записей кредитных карт компенсацию/устранение последствий утечки 1 000 записей кредитных карт Потери в результате ухода персонала ~ 28,7% записей базы данных Стоимость владения DLP-системой на 5000 рабочих станций сроком на 3 23 501 099 р В то же время стоимость внедрения и обслуживания DLP- системы в течение трёх лет соизмерима с размером только прямых потерь от одного среднего инцидента. Следовательно, использование DLP-системы по борьбе с утечками имеет ощутимый экономический эффект.
Изм. Лист № докум. Подпись Дата
ЗАКЛЮЧЕНИЕ
Разраб.
ЗАКЛЮЧЕНИЕ
Н. контЗАКЛЮЧЕНИЕ
В ходе написания дипломной работы был рассмотрен комплекс вопросов, связанных с проблемами защиты конфиденциальной информации в коммерческом банке.Анализ угроз информационной безопасности свидетельствует, что происходит рост утечек конфиденциальной информации, возрастание ущерба, наносимого такими утечками. Основными каналами утечки конфиденциальной информации являются сетевые каналы и съёмные носители информации.
«