«ДИПЛОМНЫЙ ПРОЕКТ на тему: Внедрение системы защиты информации в коммерческом банке по специальности 230201.65 Информационные системы и технологии Студент Писаренко Андрей Игоревич Руководитель к.т.н., доцент, Роганов ...»
Исследование системы обеспечения информационной безопасности коммерческого банка ЗАО «Южный» выявило, что несмотря на достаточное количество различных систем и средств защиты информации, в банке существуют неконтролируемые каналы утечки информации, не принимаются меры по предотвращению утечек конфиденциальной информации. Были рассмотрены основные способы предотвращения утечек конфиденциальной информации и принято решение о внедрении в банке DLP-системы, которая позволяет оперативно выявлять и пресекать утечки конфиденциальной информации.
Целесообразность внедрения такого решения показало исследование принципов действия, режимов работы и технических характеристик DLPсистем, которые в активном режиме работы позволяют эффективно предотвращать утечки конфиденциальной информации.
исследование рынка DLP-решений, присутствующих на российском рынке систем информационной безопасности. Были рассмотрены различные виды DLP-систем, проведён их сравнительный анализ, рассмотрены достоинства и недостатки, в результате чего для внедрения в банке ЗАО «Южный» была Изм. Лист № докум. Подпись Дата выбрана DLP-система InfoWatch Traffic Enterprise, как наиболее подходящая по своим характеристикам.
Внедрение DLP-системы InfoWatch Traffic Enterprise проводилось на основе комплексного подхода с построением комплексной системы защиты от утечек КИ.
Были выделены следующие основные этапы внедрения DLP-системы InfoWatch Traffic Enterprise:
1. Техническое проектирование DLP-системы и согласование проекта с руководством банка.
2. Внедрение технического комплекса DLP-системы.
3. Внедрение процессов управления DLP-системы.
4. Опытная эксплуатация DLP-системы.
5. Приемочные испытания DLP-системы.
Разработано техническое задание на внедрение DLP-системы InfoWatch Traffic Enterprise, в котором изложены цели и задачи внедрения, определены ответственные лица, требования к внедряемой системе, требования к установке и настройке системы. Были также рассмотрены требования к настройкам отдельных подсистем DLP-системы.
Проведены расчеты стоимости внедряемого решения, стоимость его поддержки и владения, рассчитан экономический эффект от внедрения DLPсистемы InfoWatch Traffic Enterprise. Исходя из полученных данных банк получает экономию денежных средств за счет минимизации финансовых рисков, вызванных утечкой конфиденциальной.
В целом, при внедрении DLP-системы InfoWatch Traffic Enterprise банк • снижение нагрузки и повышение эффективности работы ЗАО «Южный» получает следующие преимущества:
автоматизации процесса выявления и предотвращения Изм. Лист № докум. Подпись Дата • обеспечение возможности систематизации, поиска и анализа конфиденциальной информации в коммерческом банке;
• совершенствование общей системы безопасности банка в части построения эффективной и управляемой комплексной системы защиты конфиденциальной информации.
проектирование задачи выполнены, цель дипломного проектирования – внедрение DLP-системы для предотвращения утечек конфиденциальной информации – достигнута.
Изм. Лист № докум. Подпись Дата
СПИСОК ИСПОЛЬЗУЕМЫХ
ИСТОЧНИКОВ
Разраб.Пров.
ИСТОЧНИКОВ
Н. конт Душин В.К.Теоретические основы информационных процессов и систем..-5-е изд.:- М.: Дашков и К, 2012.
Монография / С.В. Назаров. - М.: НИЦ Инфра-М, 2013. - 351 с.: (URL:
http://www.znanium.com).
Башлы, П. Н. Информационная безопасность и защита информации [Электронный ресурс] : Учебник / П. Н. Башлы, А. В. Бабаш, Е.
К. Баранова. - М.: РИОР, 2013. - 222 с. (URL: http://www.znanium.com).
Информационная безопасность компьютерных систем и сетей:
Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ: ИНФРА-М, 2012. - с.: (URL: http://www.znanium.com).
5. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. – СПб Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.:
Питер, 2011. - 288 с.: ил.
инцидентов информационной безопасности. BIS Jornal/Информационная безопасность банков, № 1(12) 2014.
стандартов на автоматизированные системы. Автоматизированные системы.
Термины и определения».
стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
стандартов на автоматизированные системы. Автоматизированные системы.
Стадии создания»;
11. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от требования.
Изм. Лист № докум. Подпись Дата Домарев В.В., Безопасность информационных технологий.
Системный подход. – К.: ООО ТИД Диа Софт, 2011. –992 с.
Кобзарь М.Т., Трубачев А.П. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России // Безопасность информационных технологий, 2010...
Кошелев А. «Защита сетей и firewall» КомпьютерПресс. 2012.
№7. С. 44-48.
15. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2011. – 304 с.
Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2013. – 384 с.
17. Постановление правительства РФ от 11 ноября 2013 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
18. Приказ Гостехкомиссии России от 30 августа 2002 г. № конфиденциальной информации (СТР-К)»;
19. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
20. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
«Автоматизированные системы. Защита от несанкционированного доступа к Изм. Лист № докум. Подпись Дата информации. Классификация автоматизированных систем и требования по защите информации»;
Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
Богомолова, О. Б. Защита компьютера от вредоносных воздействий [Электронный ресурс] : практикум / О. Б. Богомолова, Д. Ю.
Усенков. - Эл. изд. - М. : БИНОМ. Лаборатория знаний, 2012. - 175 с. (URL:
http://www.znanium.com).
24. Федеральный закон №58-ФЗ от 29.06.2004 г. «Об участии в информационном обмене. Ст. 2»
25. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
26. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Аналитический центр Infowatch – Глобальное исследование 27. Ярочкин В.Н. Безопасность информационных систем.
утечек корпоративной информации в банковском сегменте.
Изм. Лист № докум. Подпись Дата
ПРИЛОЖЕНИЕ
Разраб.Пров.
Н. конт Техническое задание на внедрение DLP-системы InfoWatch Техническое задание по внедрению системы предотвращения утечки конфиденциальной информации InfoWatch Traffic Enterprise для КБ ЗАО документе.
подтверждение соответствия предложения Участника требованиям по внедрению системы, поставке программного обеспечения, выполнения работ/услуг и обеспечения технической поддержки.
соответствие требованиям к исполнителю.
ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ
Наличие не менее двух сертифицированных специалистов по InfoWatch Traffic Enterprise.Наличие не менее 5 успешно реализованных проектов по внедрению Наличие службы технической поддержки с номером телефона в Москве для обращений на русском языке.
ВВЕДЕНИЕ
В данном разделе описаны требования к составу оборудования, программного обеспечения, работ и технической поддержке, которые необходимы для реализации Изм. Лист № докум. Подпись Дата системы предотвращения утечки конфиденциальной информации InfoWatch Traffic Enterprise (далее - Система) в КБ ЗАО «Южный» (далее - Заказчик).
ТРЕБОВАНИЯ К СРОКАМ ВНЕДРЕНИЯ СИСТЕМЫ
Система должна быть введена в промышленную эксплуатацию до 31.12.2014 года обеспечения безопасности хранимых, обрабатываемых и передаваемых конфиденциальных данных (информации ограниченного доступа);конфиденциальных данных по следующим каналам: электронная почта (протокол SMTP), веб-почта (протокол HTTP), сервис мгновенных сообщений (Skype), съемные носители, сетевые хранилища данных (протокол FTP), принтеры;
определения местоположения конфиденциальных данных в корпоративной сети, отслеживания её использования и предотвращения несанкционированного распространения;
конфиденциальных данных лицам, не имеющим права доступа к такой информации;
обнаружение конфиденциальной информации в информационных системах обеспечение совместимости проектируемой Системы и ее компонентов с особенностями технических и программных средств существующих информационных систем (далее – ИС) Заказчика;
обеспечение минимизации внесения изменений в структуру и состав технических и программных компонентов ИС Заказчика;
проведение исследований возможностей модернизации существующего программного и аппаратного обеспечения, а также организационной структуры персонала, ответственного за обеспечение безопасности персональных данных.
закупка программного обеспечения InfoWatch Traffic Enterprise;
закупка аппаратного обеспечения для реализации Системы;
Изм. Лист № докум. Подпись Дата гарантийная техническая поддержка Системы на протяжении 3-х лет после ее ввода в промышленную эксплуатацию;
3. ТРЕБОВАНИЯ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ И
АППАРАТНОМУ ОБЕСПЕЧЕНИЮ
Сервер архитектуры х86, с четырех ядерными процессорами с частотой не менее 1.5ГГц, объемом ОЗУ не менее 8 Гб, объем диска не менее 500 Гб, операционная система Windows Server 2008. Количество СУБД Microsoft SQL Server в соответствии с требованиями к программного обеспечению от SearchInform. Поставщик должен обеспечить поддержку аппаратного обеспечения, операционной системы и СУБД в течение трех лет.
4. ТРЕБОВАНИЯ К ПОДДЕРЖКЕ
внедряемой у Заказчика системы предотвращения утечки конфиденциальной информации InfoWatch Traffic Enterpriseна протяжении 3-х лет после ее ввода в промышленную эксплуатацию.Техническая поддержка должна обеспечивать выявление причин проблем и предоставление решения для возврата Системы в состояние штатного функционирования. Под проблемой понимается любое событие, не являющееся частью штатного функционирования Системы, которое приводит или может привести к неработоспособности Системы или ее функций, либо некорректном их выполнении, либо к ошибкам и сбоям в работе Системы.
Результатом услуг является восстановление сервиса Системы и полное устранение проблемы в рамках условий, установленных в таблице 3. Если запрос Заказчика классифицирован как запрос на консультирование, то Исполнитель предоставляет письменный ответ на запрос в течение 3-х рабочих дней.
В таблице 2 приведены уровни приоритетности проблем.
Изм. Лист № докум. Подпись Дата Уровень проблемы Критичный некорректно его основные функции.
2 – Важный 3 - Средний влияющая на возможность работы с одной или несколькими Временные показатели предоставляемых услуг приведены в таблице 9:
Для проблем со статусом 1 (критично) обязательно информирование Заказчиком Исполнителя по телефону.
Изм. Лист № докум. Подпись Дата
5. ТРЕБОВАНИЯ К РЕАЛИЗАЦИИ СИСТЕМЫ
Требования к структуре и функционированию системы В состав Системы должны входить следующие основные компоненты:агент, устанавливаемый на рабочие станции пользователей и обеспечивающий мониторинг и блокирование возможных каналов утечки на уровне АРМ пользователя;
конфиденциальных данных на уровне сети;
почтовый агент, обеспечивающий мониторинг и блокировку утечки конфиденциальных данных через электронную почту;
сервер управления, предназначенный для централизованного управления агентами системы;
консоль управления администратора безопасности.
Требования к функциям определения политик безопасности методов определения конфиденциальных данных.
Система должна обеспечивать возможность задания единой системы политик по всей системе; каждая политика должна иметь возможность одновременного применения к данным в движении (Data-inMotion), используемым данным (Data-in-Use) и хранимым данным (Data-atRest), как на уровне сети, так и на конечных компьютерах.
Система должна вести контроль и журнал автоматического аудита настроек и изменений политик.
Система должна иметь единую веб-консоль централизованного отчетами.
Система не должна требовать для настройки утилит командной строки, редактирования текстовых файлов, интерфейсов программирования (API) а также языков сценариев (скриптов). Не допускается хранение паролей в открытом виде в файлах настроек. Исключения делаются только Изм. Лист № докум. Подпись Дата эксплуатацию программно-аппаратных комплексов, а также для запуска сценариев автоматической реакции на инциденты.
политики на основе нескольких разнородных типов данных одновременно (например, словарь и отпечатки), используя произвольную булевскую логику (операции И, ИЛИ, НЕ, скобки).
включения и исключения правил на основе корпоративной службы каталогов, чтобы политики применялись в зависимости от отправителя и(или) получателя/назначения информации.
Система должна предоставлять удобный графический интерфейс для настройки пользовательских политик на основе готовых политик и созданных классификаторов информации, доступный нетехническому персоналу.
Система должна предоставлять простой способ активации готовой политики непосредственно в веб-консоли управления, не прибегая к редактированию файлов.
конфиденциальных данных по содержимому и местоположению.
имеющих право на обработку и пересылку конфиденциальной информации в рамках авторизованных бизнес-процессов.
сотрудников службы информационной безопасности по каждому инциденту, отображаемый в виде истории.
Система должна обеспечивать ролевое разграничение прав доступа офицеров безопасности по управлению инцидентами в зависимости от типа конфиденциальной информации.
Изм. Лист № докум. Подпись Дата создаваемые с помощью независимых наборов правил.
Система должна обеспечивать возможность одновременно и многократно использовать классификаторы данных в нескольких политиках.
Система должна обеспечивать систему учета инцидентов полного цикла, отслеживающая состояние каждого инцидента и ответственных исполнителей.
Система должна обеспечивать наличие подсистемы определения имен пользователей для инцидентов, сгенерированных сетевыми сканерами веб-каналов.
Система должна обеспечивать автоматическое прикрепление ко всем инцидентам справочных данных о нарушителе, его бизнес-руководстве, отделе, телефоне на основе данных из службы каталога; отображение информации в системе учета инцидентов.
Система должна обеспечивать возможность в рамках одной политики произвольно назначать уровень критичности инцидентам в зависимости от срабатывания правил.
Система должна обеспечивать автоматическое прикрепление к инцидентам необходимых фактов в виде копий сообщений со всеми вложениями.
нарушении политики, включающий варианты: Аудит, Блокирование, Уведомление руководителю сотрудника, Уведомление владельцу контента, Уведомление отправителю, Уведомление администратору безопасности, Перенаправление электронной почты на шлюз шифрования, Запуск произвольного сценария.
Изм. Лист № докум. Подпись Дата конфиденциальных данных детекторов независимо от их типа (сетевые сканеры или агенты на конечных компьютерах).
Система должна иметь возможность масштабирования за счет работающих анализаторов.
табличных) должна поддерживаться автономно на каждом сервере и конечном компьютере за счет автоматической репликации хранилища отпечатков.
содержимое из файлов и вложений.
Система должна инспектировать метаданные хранимых файлов.
Система должна реализовывать алгоритм анализа передаваемых и хранимых файлов на основе цифровых отпечатков данных.
Система должна автоматически обнаруживать и сканировать файловые папки в локальной сети. Должна быть реализованы функции «обнаружить все общие папки в заданной подсети», «просканировать все административные папки».
Аналитические возможности должны быть применимы без каких-либо ограничений для содержимого на восточно-европейских и азиатских языках, в т.ч. кириллицы. При наличии ограничений должен быть предоставлен развернутый комментарий и описано поведение анализатора.
Система должна предоставлять возможность выбора вычисления порогов срабатывания: либо интегрально по всему сообщению, либо независимо по каждой части сообщения, для всех типов классификаторов данных.
Изм. Лист № докум. Подпись Дата Система должна рекурсивно проверять содержимое вложенных архивов путем анализа цифровых отпечатков каждого файла.
ложных срабатываний, подтвержденную независимым исследованием.
конфиденциального содержимого по ключевым словам, словарям и регулярным выражениям.
В системе должна быть реализована возможность использования словарей с весовыми коэффициентами, где каждому ключевому слову соответствует свой коэффициент.
В системе должна быть реализована возможность создания нескольких классификаторов на основе весовых словарей, с независимым определением порога срабатывания по каждому классификатору.
В системе должна быть реализована возможность использования весовых словарей как в режиме подсчета уникальных совпадений, так и в режиме подсчета повторяющихся совпадений.
В системе должна быть реализована функция вычисления математическому закону. Например, система должна использовать алгоритм вычисления контрольной цифры номера пластиковых карт в соответствии со стандартом ISO/IEC 7812 для проверки номеров пластиковых карт без наличия ключевых слов в контексте.
лингвистического контекста. Например, для генерации инцидента в дополнение к математической проверке кода система должна требовать наличия определенных ключевых слов в непосредственной близости от кода.
распространенных приложений, в т.ч.: офисных (MS Office), САПР (Autodesk AutoCAD), архивов (7-zip, BinHex, GZIP, MS CAB, ZIP, RAR, UNIX TAR Изм. Лист № докум. Подпись Дата encapsulation.), зашифрованных контейнеров (Word, Excel, PGP, RAR, ZIP, PDF).
конфиденциальной информации.
Общее количество готовых классификаторов данных должно Должна быть возможность одновременного выбора нескольких отраслевых пакетов готовых классификаторов.
Должна быть возможность одновременного выбора нескольких региональных пакетов готовых классификаторов.
Система должна иметь готовые словари имен собственных для защиты персональных данных.
Готовые классификаторы должны поставляться с регулировкой уровня чувствительности по трем положениям – малый, средний, полный.
Система должна иметь готовые политики для обнаружения резюме сотрудников для Украины.
структурированных данных Система должна иметь механизм анализа цифровых отпечатков для табличных данных, например, данных клиентов.
Отпечатки данных должны сниматься с одного источника данных организации, путем односторонней репликации из центра.
Должна быть возможность задавать расписание, по которому подразделениями.
Система должна иметь возможность подключаться к источнику данных напрямую по протоколу ODBC.
Система не должна требовать выгрузку/копирование данных в ДП.03.01Д.09/25.14.ПЗ центральное хранилище для снятия отпечатков.
Изм. Лист № докум. Подпись Дата Система должна давать возможность комбинировать содержимое полей и задавать индивидуальные пороги для каждого из сочетаний (т.е.
Фамилия, Имя, Отчество – порог равен 5; Фамилия, Имя, Лицевой Счет – порог равен 10, и т.д.).
цифровых отпечатков многократно в нескольких политиках, выбирая нужные поля в каждом случае независимо (т.е. единый классификатор из 10млн записей может быть задействован многократно в разных политиках с разным набором полей в каждом случае).
отпечатки с реляционных данных, хранимых в «облаке» (например, в SalesForce.com).
неструктурированных данных Отпечатки данных должны сниматься с одного источника данных организации, путем односторонней репликации из центра.
Должна быть возможность задавать расписание, по которому подразделениями.
Система должна быть устойчива к изменениям документов и обнаруживать фрагменты текста в форматах, отличных от исходных.
Например, система должна быть способной обнаружить абзац текста из документа Word, вставленный в тело сообщения, либо напечатанный в формате PDF.
документов, измененные или скопированные, требуя однократного снятия отпечатка с единственной версии документа.
Изм. Лист № докум. Подпись Дата Система должна иметь возможность игнорировать заданные фрагменты текста при анализе. Срабатывание должно происходить только на том содержимом, которое является конфиденциальным. Например, система не должна опознавать пустые шаблоны, бланки и «рыбы» документов, как конфиденциальные, в том случае, когда отпечаток снимается с заполненного бланка и шаблона.
предотвращение (автоматическую блокировку) информационных утечек через сообщения электронной почты, передаваемые по протоколу SMTP.
предотвращение (автоматическую блокировку) информационных утечек через сообщения электронной почты, получаемые на мобильные терминалы сотрудников по протоколу ActiveSync.
Система должна выявлять и блокировать серии утечек данных от одного пользователя, с помощью задания порога и контрольного интервала.
информационных утечек при работе с Интернет через протокол HTTP, в том числе с веб-почтой (сайты mail.ru, gmail.com, и т.п.).
информационных утечек при работе с Интернет через безопасный протокол HTTPS.
информационных утечек по протоколу FTP в режиме перехвата контрольных соединений (TCP порт 21).
информационных утечек по протоколу FTP в режиме FTP-поверх-HTTP.
Анализ данных, передаваемых по сетевым протоколам SMTP, ДП.03.01Д.09/25.14.ПЗ HTTP, HTTPS, FTP должен производиться непосредственно на шлюзе.
Изм. Лист № докум. Подпись Дата Анализ данных, передаваемых по сетевым протоколам SMTP, HTTP, HTTPS, FTP не должен прерываться при потере связности шлюза с другими серверами СЗУКД.
Анализ данных, передаваемых по сетевым протоколам HTTP, HTTPS, FTP должен происходить с использованием протокола ICAP.
информационных утечек при обмене мгновенными сообщениями системы Skype.
информационных утечек при выполнении заданий сетевой печати, с функциями оптического распознавания текста (OCR).
Требования к режимам функционирования системы Система должна обеспечивать возможность работы в следующих режимах:
штатный режим (непрерывная круглосуточная работа);
реконфигурации и модернизации компонентов);
конфигурационной и архивной информации).
ТРЕБОВАНИЯ К РАБОТАМ ПО УСТАНОВКЕ И
НАСТРОЙКЕ СИСТЕМЫ
Работы по созданию Системы должны включать в себя:– предпроектное обследование;
– разработку технического задания на создание системы;
– техническое проектирование Системы;
– установка и настройка Системы;
– опытная эксплуатация Системы – гарантийная техническая поддержка – 3 года.
Перечень стадий и этапов работ по созданию Системы Предпроектное обследование включает в себя:
сбор информации о сетевой инфраструктуре, определение точек InfoWatch Traffic Enterprise для контроля Интернет и почты;
определение схем получения сенсорами Системы копий сетевого трафика с коммутационного оборудования. Схема подключения должна реализовывать контроль всего сетевого трафика проходящего через корпоративные почтовые и прокси-сервера;
анализ количества текущих SPAN/RSPAN/VACL-сессий (ТАР подключений) на коммутационном оборудовании, определение необходимых коммутационном оборудовании;
определение и утверждение плана установки, размещения и подключения поставляемых сенсоров Системы с ИТ подразделениями Заказчика;
проведение анализа конфиденциальных документов Компании, подлежащих защите от разглашений в информационных системах Заказчика, подготовка рекомендаций по настройке политик Системы.
Разработка технического проекта включает в себя:
компонентов));
Разработка программы и методики приемочных испытаний Системы в корпоративной сети.
Установка и настройка Системы включает в себя:
Установка и настройка сетевых и локальных компонентов Изм. Лист № докум. Подпись Дата локальными компонентами Системы;
Настройка контроля электронной почты;
оповещения о нарушении политики по защите конфиденциальных данных, основанных на анализе конфиденциальных документов Интеграция Системы с информационными системами Заказчика;
Настройка Системы на сканирование корпоративной сети конфиденциальных данных.
Опытная эксплуатация включает в себя:
вызванных легитимной сетевой активностью в корпоративной сети;
согласованной программой и методикой тестирования.
Изм. Лист № докум. Подпись Дата