Сравнительный анализ технологий поиска ключевых слов в конфиденциальных документах организации, применимых в DLP-системах

Поскольку информации недостаточно, но есть вероятность, что без дополнительных систем распознавания вроде ABBYY продукт вообще не работает с графикой, то мы можем присвоить минимальное значение P = 0,1.Вес параметра примем за 1, т.к. угроза снятия скриншота с конфиденциального документа велика, а бизнес может понести большие убытки, если в сеть попадут важные документы, к примеру, финансовые отчеты или планы развития продукта.Таким образом, значение ячейки «Анализ изображений» будет следующим:Solar Dozor: Z = 1 * 1 = 1Falcongaze: Z = 0,5 * 1 = 0,5Symantec: Z = 0,1 * 1 = 0,1 Такое ранжирование с весами позволит наиболее точно определить ту систему, которая подойдет конкретной организации.В результате шестого шага остаются две-три системы на тестирование.На седьмом шаге мы проведем тестирование «финалистов» рейтинга и определим «победителя» — продукт, который будет закупаться для пилотного проекта или полноценного внедрения. Тестирование может проводиться различными способами — все зависит от технического задания. По идее, необходимо протестировать систему на соответствие ему и сделать выводы, удовлетворяет найденное решение ТЗ или нет.Поскольку в нашем случае мы не составляли подробного ТЗ, то тестирование проводилось по собственному усмотрению — был выбран один режим перехвата (контроль рабочих станций), произвольно взяты каналы утечки и количество тестовых инцидентов.Что касается дальнейших действий с «победителем» отбора, то здесь на решение могут повлиять различные факторы — от доверия к производителю до критичности бизнес-процессов, которые будут задействованы в процессе внедрения системы. Если, к примеру, руководитель проекта боится, что полноценное внедрение может послужить саботажу конечных пользователей (к примеру, его может вызвать известие, что во всей организации устанавливается DLP с целью контроля информационных потоков и деятельности сотрудников), то он может начинать с пилотных внедрений — в рамках подразделения инициатора проекта, с тем, чтобы заручившись поддержкой этого руководителя внедрить систему в другие отделы. Так, например, сотрудники отдела продаж после перехвата одного-двух инцидентов перестали договариваться об откатах с клиентами. Это повысило эффективность их работы с заказчиками, поскольку теперь на принятие решения о покупке влияет не откат, а компетентность менеджера по продажам и его способность убедить заказчика в необходимости покупки. То есть, DLP-система оказалась полезной в одном подразделении, следовательно, у руководителя проекта теперь больше аргументов для дальнейшего внедрения продукта по компании.Итак, сформируем из вышесказанного инструкцию по выбору DLP-системы и протестируем ее в рабочей среде (разберем конкретный кейс).Глава 3. КЕЙС ПО ВЫБОРУ DLP-СИСТЕМЫВ данной главе мы опишем инструкцию по выбору DLP-системы на основе полученных в главе 2 шагов, а также проверим работоспособность этой инструкции на конкретном примере — на базе компании, которая планирует защищать свои данные с помощью DLP.3.1 Инструкция по выбору DLP-системыШаг 1. Создать команду проекта по внедрению DLP-системы.а) Определить функциональные обязанности всех необходимых ролей и назначить ответственных лиц.В команду должны входить четыре роли с разными обязанностями:1Инициатор проекта внедрения DLP-системы; именно он будет ставить бизнес-задачи для команды внедрения. Как правило, это бизнес-заказчик, у которого есть потребность в защите данных. Однако, инициация проекта может быть не «спонтанной» — по заявке от представителя бизнеса, а запланированной — в рамках стратегии развития предприятия (той ее части, которая подразумевает развитие ИБ-инфраструктуры). В таком случае, инициатором проекта может являться начальник по ИБ\ ИТ, который владеет полномочиями и действует в рамках утвержденной стратегии.2Руководитель проекта внедрения, являющийся коммуникатором между бизнесом и техническими сотрудниками, а также поставщиками, и отвечающий за ход проекта. Им может быть начальник отдела ИБ\ ИТ или опытный сотрудник.3ИБ\ ИТ-специалист. Это может быть один или несколько сотрудников, отвечающие за реализацию проекта от момента написания технического задания, выбора программного обеспечения и закупки лицензий до внедрения и сопровождения системы после ее запуска.4Пользователь (-и) системы. Администратор (-ы) безопасности, который (-е) будет (-ут) работать с DLP-системой (создавать индексы, настраивать правила, обучать и т.д.).Перечисленные роли могут объединяться в рамках одного человека, если он обладает указанными признаками.б) Зафиксировать роли, обязанности и ответственных лиц в соответствующем документе, с которым каждому из них дать ознакомиться под роспись.Шаг 2.Собрать ожидания от DLP-системы и сформировать ТЗ.а)Произвести сбор ожиданий путем интервью, анкетирования, опроса заинтересованных лиц (представителей команды проекта, поставщиков и т.д.).б) Создать техническое задание (ТЗ), в котором указать желаемый функционал системы или задачи, которые она должна будет решать. Шаг 3.Составить предварительный список DLP-систем на тестирование (лонг-лист).а) Исходя из ТЗ, решить, нужен ли системе функционал блокирования утечек или достаточно наблюдения.б) Отобрать из всех имеющихся на локальном рынке систем только те, которые соответствуют решению по пункту а).Кроме того,если ваша организация является государственной, обратить внимание, имеются ли у оставшегося списка разработок необходимые лицензии и сертификаты для защиты государственной тайны (оставить только те, у которых имеются).в) Пройтись по доступным интернет-ресурсам и отсеять среди оставшегося списка те системы, чьи триальные версии не удалось получить в процессе поиска (или, к примеру, была оставлена заявка на триал производителю, но в течение дня-двух никто не позвонил или ничего не выслал). Шаг 4.Сформировать шорт-лист DLP-систем.а) Определить критически важное свойство системы (например, низкая цена или простое администрирование).б) Из лонг-листа убрать те продукты, которые точно не подойдут, поскольку не обладают этим свойством.Шаг 5.Сформировать список критериев. Примерный список для изучения представлен ниже, однако, его можно изменять по собственному усмотрению:1. Функционал перехвата трафика:Сетевой перехватПерехват трафика через агентов на рабочих станцияхПерехват трафика через интеграцию со сторонними сервисамиПерехват в разрыв2. Аналитические возможности:Анализ по словарю (морф.)Контроль регулярных выражений и составных регулярных выраженийАлгоритмы автом. обучения (автолингвист)Анализ архивовАнализ изображенийКонтроль движения сканов (OCR)Контроль движения выгрузок из базы данныхКонтроль движения документов с печатями или подписямиАнализ на точное совпадениеОбработка зашифрованных файловПоддержка опечатокПоддержка транслитаПоиск по шаблонам (номера паспортов, ИНН, кредитных карт и т.д.)Поиск по предустановленным тематическим словарямТехнология снижения ложных срабатыванийПрочие алгоритмы, в том числе, с ИИ3. Реакции на инциденты:Запись в журналСохранение файлов (теневое копирование)Уведомление администратора ИББлокировка соединенияАвтоизменение сообщенийУдобство администрирования:Единая консольВеб-консольРазделение ролей администратораПри необходимости можно расширить указанный перечень.Расширить его можно двумя путями:дополнить важными для вашего бизнеса пунктами внутри имеющихся критериев,добавить критерии, основываясь на рекомендациях экспертов касательно специфики вашей отрасли.Шаг 6. Определиться с тем, как будут считаться баллы рейтинга систем (назначить веса каждому пункту) и задать значения, исходя из полученных на шаге 5 результатов.а) В начале необходимо выяснить, насколько важен каждый из параметров и численно оценить его значимость. При этом важность всех факторов берут за единицу, а относительную значимость каждой характеристики выражают в долях единицы. Расстановку весов можно осуществлять либо, исходя из рекомендаций людей, которых в данной области считают авторитетами, либо, опираясь на мнение определенной целевой аудитории.б) Далее нужно перейти к безразмерным величинам каждого оцениваемого пункта, т.е. за единицу брать максимальное или минимальное проявление конкретного параметра, и у всех объектов степень выраженности данного параметра определять относительно максимальной\ минимальной величины.Чтобы задать значения, можно воспользоваться формулойZ = P*V, где Z – значение ячейки, P – проявленность того или иного параметра в диапазоне от 0 до 1, V – вес данного параметра для конкретной компании заказчика, выраженный в диапазоне от 0 до 1.Примечание. Для простоты оценивания можно присвоить 1 балл за каждый положительный ответ, однако, ранжирование с весами позволит наиболее точно определить ту систему, которая подойдет вашей организации.в)Подсчитать баллы и выявить трех претендентов на тестирование среди систем с наибольшим количеством баллов.Шаг 7. Протестировать каждую систему на соответствие техническому заданию, составленному на шаге 2, и сделать выводы, удовлетворяет найденное решение ТЗ или нет.Шаг 8. Определившись с «победителем», принять решение о дальнейших действиях (пилотный проект или полноценное внедрение) и запустить процесс заказа лицензий согласно регламентам организации.Далее проверим, как данная инструкция покажет себя в организации.Для этого воспользуемся методикой кейс-стади и разработаем собственный кейс, основываясь на учебной ситуации.3.2 Метод case-studyи условие кейсаМетод кейс-стади (метод конкретных ситуаций – кейсов), по определению А. Долгорукова, представляет собой метод активного проблемно-ситуативного анализа, основанный на обучении путем решения конкретных задач-ситуаций.Данный метод состоит в том, что учащимся предлагают для анализа кейс– реальную либо максимально приближенную к реальности проблемную ситуацию.При этом выбор проблемы происходит не произвольно, а с целью активизации определенного комплекса знаний. В процессе решения задачи они должны быть усвоены. Примечательно, что кейс не имеет однозначного решения. Учебная задача лишь тестирует способность ученика к анализу и быстрому поиску разрешения ситуации.Сформулируем условие нашего кейса. «Потенциальный заказчик DLP-системы — компания МЕГАМЕД.Публичная информация о заказчикеКрупная фармацевтическая компания, ООО «Мегамед», является производителем и дистрибьютором широкой линейки препаратов. «Мегамед» работает с аптечными сетями, а также имеет свои аптеки, известные под брендом «Мегамед». Помимо аптек и дистрибуции, клиент занимается индустрией красоты – есть свой медицинский комплекс «Блондинка Плаза», включающий фитнес-центр и отель. Головной офис компании и медицинский комплекс находится в Казани, аптеки – на территории Татарстана. Всего в компании работают порядка 250 человек, включая региональных представителей по Поволжью.На сегодняшний день, «Мегамед» является одним из лидеров регионального рынка фармдистрибуции, в планах компании – занять главенствующую позицию на этом рынке (с увеличением объема продаж в 2 раза в ближайший год) и выйти в ближайшее зарубежье.Внутрикорпоративная информация от сотрудника МЕГАМЕДНедавно в «Мегамеде» сменился руководитель отдела крупного опта – вновь пришедшую начальницу приняли на место старой, которая, по слухам, заключала договора на «левые» фирмы. С ней компания собирается судиться, поскольку имело место хищение в особо крупных размерах (порядка 35 млн рублей). Также говорят, что новая начальница – протеже самого генерального директора.Вместе с опальной руководительницей в компании сменился начальник службы безопасности, на его место приняли нового. Он, будучи переманенным с аналогичной денежной должности в крупнойтелеком-компании, резко начал наводить порядок, чтобы доказать собственную полезность и оправдать свою зарплату в несколько тысяч долларов США.К примеру, помимо физического досмотра, который с его приходом теперь выборочно проводят сотрудникам на выходе, в компании было еще одно шокирующее всех нововведение. Новым СБ-шником было отдано указание в ИТ заблокировать доступ к USB с помощью групповых политик.Это привело ко множеству сложностей в рабочих процессах, о чем пока еще бурлят только низы, а верхи не знают. Почта, мессенджеры и телефонные разговоры пока реально не пишутся (нечем), но в компании активно муссируются слухи, что все это сохраняется для расшифровки в отделе безопасности.Руководитель службы безопасности. Мегамед.Вы – новый руководитель службы безопасности компании «Мегамед». Вопросы информационной безопасности, в том числе, лежат на вашем подразделении. В свете недавних событий учредитель попросил настроить информационную слежку за ключевыми сотрудниками: просматривать почту, прослушивать разговоры по корпоративному телефону (цифровая АТС), заблокировать или просматривать переговоры в мессенджерах и т.п. – не Вам объяснять, как собирать электронное досье на людей. Как только выявится что-то подозрительное, сразу звонить ему. А также Вы понимаете, что необходимо наладить разграничение доступа к конфиденциальным документам (договорам с клиентами), поскольку сейчас все они просто лежат в юридическом отделе в шкафу, к которому может подойти любой сотрудник и взять все, что угодно.В свете этого Вас волнует несколько проблем: Какие продукты использовать для мониторинга (те, что вы знаете, вроде Infowatch, с которым вы раньше в крупной телеком-компании работали, очень дорогие, и на них могут в текущей ситуации не дать денег; вы планируете рассмотреть недорогие и бесплатные решения, например, платформу для телефонии с возможностью записи голоса Asterisk);Выделенного бюджета нет, Вы планируете обойтись минимальными затратами (по крайней мере, пока не наберете достаточного веса в глазах генерального директора). Вы понимаете, что пока никак себя не зарекомендовали и Вам банально не дадут много денег на покупку. Вы выбрали тактику без дополнительных трат заявить о себе перед начальством. Пока Вам это удаётся – бесплатно «построили» всех сотрудников, и пока генеральный директор Вами доволен). Понимаете, что после того, как себя проявите, сможете распоряжаться ИТ-бюджетом и расти в карьере. Вам реально нужен продукт для мониторинга телефона-почты-мессенджеров, и продукт, который поможет избавить от проблем с непродуктивностью сотрудников из-за невозможности ничего скопировать на USB-флешку, которые отключены.ИТ-служба. Мегамед.Сеть компании включает в себя 250 устройств, из которых 30 – ноутбуки региональных представителей. В ИТ-службе – 6 человек, но по ощущениям руководителя отдела, нагрузка на отдел больше, чем должна быть. В его планах убедить генерального директора взять еще одного человека в отдел, на должность помощника системного администратора».3.3 Решение кейсаЧтобы решить кейс, нам нужно поставить себя на место нового руководителя службы безопасности ООО «Мегамед» и начать действовать по инструкции, чтобы выбрать подходящую DLP-систему.Шаг 1. Создать команду проекта по внедрению DLP-системы.а) Определить функциональные обязанности всех необходимых ролей и назначить ответственных лиц.Очевидно, в данном кейсе инициатором проекта будет руководитель службы ИБ, который мотивируется желанием сделать карьеру на новом месте путем блестящего решения бизнес-задачи по снижению корпоративных рисков.Руководителем проекта по внедрению DLP может являться он же, поскольку имеет достаточный уровень компетентности благодаря работе в крупной телеком-компании. Вряд ли таковым может стать руководитель ИТ-службы, поскольку сказано, что в отделе перегрузка с работой, следовательно, взять дополнительную нагрузку он вряд ли захочет. К тому же, у него нет такой высокой мотивации, как у начальника СБ.Что касается исполнителей проекта, то здесь можно договориться с руководителем ИТ о том, что они вместе убеждают директора взять еще двух человек в ИТ-отдел, один из которых будет являться Пользователем купленного DLP-продукта, а второй после окончания проекта внедрения перейдет полностью в распоряжение руководителя ИТ.б) Зафиксировать роли, обязанности и ответственных лиц в соответствующем документе, с которым каждому из них дать ознакомиться под роспись.Инициатор и руководитель проекта — руководитель службы ИБ.Исполнители — вновь нанятые сотрудники в ИТ-отдел, один из которых будет также Пользователем системы.Шаг 2. Собрать ожидания от DLP-системы и сформировать ТЗ.Исходя из условия кейса, компании нужен недорогой DLP-продукт для мониторинга телефона-почты-мессенджеров-USB с тем, чтобы вовремя выявлять нелояльных сотрудников и снижать корпоративные риски. Шаг 3. Составить предварительный список DLP-систем на тестирование (лонг-лист).а) Исходя из ТЗ, решить, нужен ли системе функционал блокирования утечек или достаточно наблюдения. Блокировать утечки, судя по условию, нет необходимости.б) Отобрать из всех имеющихся на локальном рынке систем только те, которые соответствуют решению по пункту а). Это: «Стахановец», Infowatch Person Monitor, StaffCop, TimeInformer, KickIdler.в) Пройтись по доступным интернет-ресурсам и отсеять среди оставшегося списка те системы, чьи триальные версии не удалось получить в процессе поиска (или, к примеру, была оставлена заявка на триал производителю, но в течение дня-двух никто не позвонил или ничего не выслал).Лонг-лист получился следующим: «Стахановец»,StaffCop, TimeInformer, KickIdler (Infowatch позволяет только «забронировать демо», что означает обязательный контакт с отделом продаж, что нам не очень подходит).Шаг 4. Сформировать шорт-лист DLP-систем.а) Определить критически важное свойство системы (например, низкая цена или простое администрирование).В нашем случае, это низкая цена.б) Из лонг-листа убрать те продукты, которые точно не подойдут, поскольку не обладают этим свойством.Оставляем только «Стахановец» иStaffCop, как продукты, о которых точно известно, что они — достаточно приемлемые по цене (цены указаны на сайтах производителейStaffcop и «Стахановец»). Это, в нашем случае с парком 250 ПК выходит порядка 3200 р. за бессрочнуюлицензию на 1 ПК. Как показывает экспресс-анализ цен на продукты из лонг-листа, это самые приемлемые варианты. KickIdlerстоит почти в четыре раза дороже — 11 000 р.за бессрочнуюлицензию на 1 ПК. Что касается лицензии на TimeInformerот SearchInform, то она выходит порядка 4000 р за 1 ПК. Шаг 5. Сформировать список критериев. В нашем случае критерии таковы:1. Функционал перехвата трафика:oПерехват трафика через агентов на рабочих станциях2. Аналитические возможности:oВсе перечисленное в инструкции в отношении каналов почта-мессенджеры-USB+ контроль телефонных переговоров3. Реакции на инциденты:oЗапись в журналoСохранение файлов (теневое копирование)oУведомление администратора ИБ4.Удобство администрирования:Некритично, т.к. будет выделенный сотрудник на DLP-систему, которого можно обучить и «натаскать» за короткое время.Анализ функционала показал, что программа Staffcopумеет выполнять теневое копирование файлов, которые передаются за пределы организации по разным каналам: E-mal, мессенджеры, USB-устройства, распечатка на принтере, передача по сети, загрузка в облако, а «Стахановец» делает это только для USB-устройств.Таким образом, по результатам шорт-листа на тестирование выбирается один-единственный продукт Staffcop.Поскольку мы предполагаем, что заявленный функционал устроит заказчика, то можно сделать вывод, что задача кейса успешно решена за небольшой промежуток времени — благодаря разработанной нами четкой инструкции. ЗАКЛЮЧЕНИЕАвтор провел исследование и всесторонне изучил вопросы, связанные с выбором эффективной DLP-системы. Нам также удалось разработать инструкцию по выбору такой системы для специалистов по ИБ.Для успешного достижения цели были решены все задачи исследования:1.Изучены общие сведения о DLP-системах: определено понятие, описаны цели внедрения и устраняемые риски.2.Произведена классификация популярных DLP-систем и дана обзорная характеристика трем системам.3.Выбрана наиболее эффективная система по заранее определенным критериям.4.Выбор обоснован путем эксперимента (эмпирического исследования).5.Описан процесс выбора в виде инструкции.6.Полученные знания реализованы на практике в процессе решения кейса.В качестве кейса была взята учебная ситуация, предполагающая решение следующих задач:Проанализировать ситуацию с ИБ в компании, являющейся потенциальным заказчиком DLP-системы.Сформировать ТЗ на систему.Произвести выбор DLP-систем по разработанной нами инструкции.Сделать выводы относительно ее применимости в деятельности компаний.В итоге,задача кейса была успешно решена за небольшой промежуток времени — благодаря разработанной нами четкой инструкции. Отсюда мы делаем вывод о практической применимости данной разработки в компаниях любого размера и специфики деятельности.БИБЛИОГРАФИЧЕСКИЙ СПИСОКВоронов В. В. Педагогика школы: новый стандарт / В. В. Воронов. – М.: ПО России, 2012. – 288 c.Аудит информационной безопасности органов исполнительной власти: учебное пособие для высшего образования / В. Т. Еременко [и др.]. – Орел: ФГБОУ ВО «Орловский государственный университет имени И. С. Тургенева», 2016. – 93 с. Электронные источники:ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определенияURL: http://docs.cntd.ru/document/1200075565 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» URL: http://docs.cntd.ru/document/1200058320«Код безопасности» определил ключевые факторы расходов на ИБ в 2019 г. URL: https://www.itweek.ru/security/news-company/detail.php?ID=206250Как работают DLP-системы: разбираемся в технологиях предотвращения утечки информации URL: https://xakep.ru/2011/05/04/55604/Кумунжиев К. В., Зверев И. Н. Метод повышения эффективности DLP-системы при семантическом анализе и категоризации информации URL: https://science-education.ru/ru/article/view?id=14741 КАК ВЫБРАТЬ DLP-СИСТЕМУ URL: https://searchinform.ru/informatsionnaya-bezopasnost/dlp-sistemy/kak-vybrat-dlp-sistemuКак и зачем внедрять VDI? URL: https://clck.ru/M854N Виртуализация рабочих мест – шаг к цифровой трансформации URL: https://www.kommersant.ru/doc/3599488Личный опыт: как мы выбирали DLP-систему URL: https://habr.com/ru/post/318324Как мы DLP-систему выбирали (практический опыт) URL: https://habr.com/ru/post/440838Сравнение систем защиты от утечек (DLP) 2014 - часть 1 URL: https://www.anti-malware.ru/comparisons/data_leak_protection_2014_part1 Системы защиты от утечек конфиденциальной информации (DLP) URL: https://www.anti-malware.ru/security/data-leak-protection Выбираем DLP-систему для средней организации URL: https://habr.com/ru/post/141000/Сравнение систем защиты от утечек (DLP) 2014 - часть 2 URL: https://www.anti-malware.ru/comparisons/data_leak_protection_2014_part2 Сравнение DLP-систем URL: https://www.osp.ru/winitpro/2014/01/13039197 Сравнительный обзор средств предотвращения утечек данных (DLP) URL: https://safe-surf.ru/specialists/article/5233/609990/ Обзор и сравнение лучших бесплатных opensource DLP систем 2019 года URL: https://www.kickidler.com/ru/info/obzor-i-sravnenie-luchshix-besplatnyix-open-source-dlp-sistem-2019-goda.html Обзор DLP-системыFalcongazeSecureTower 6.0 URL: https://www.anti-malware.ru/reviews/falcongaze-securetower-6-0#part6 Технологии рейтингов URL: http://md-consulting.ru/articles/html/article19.html Методкейсов (case study) URL:http://pycode.ru/2012/05/case-study/СтоимостьStaffCop Enterprise URL: https://www.staffcop.ru/buy/ Продукты Стахановец URL: https://www.staffcop.ru/buyСтоимость лицензий URL: https://www.kickidler.com/ru/price.htmlЛицензияTimeInformerотSearchInform URL: https://www.softmagazin.ru/soft/administrirovanie_setey_i_zashchita_dannykh/searchinform