[Из песочницы] Как мы внедряли DLP-систему в одном международном нефтегазовом холдинге

habr.png

На заре своей трудовой деятельности в сфере защиты информации довелось мне поучаствовать в одном крайне интересном проекте. Начался он с того, что службой безопасности одного из крупнейших частных производителей и поставщиков природного газа и нефти на территории СНГ в рамках реализации комплексного подхода к обеспечению информационной безопасности было принято решение о внедрении DLP-системы. Сейчас этот холдинг подчиняясь общим тенденциям российского рынка растворился в недрах нескольких государственных корпораций, и я могу рассказать вам эту историю.

Цель и задачи проекта


Основной целью проекта было повешение уровня безопасности бизнес-процессов компании путем внедрения системы контроля над информационными потоками.

Задачи проекта, решаемые внедрением DLP-системы:

  1. Мониторинг и предотвращение утечек за пределы организации конфиденциальной информации: коммерческой тайны, персональных данных, объектов интеллектуальной собственности и т.д.
  2. Предоставление инструментария для расследования инцидентов: создание архива передаваемой информации с возможностью последующего ретроспективного поиска.
  3. Своевременное выявление инсайдеров: мониторинг подозрительных действий пользователей.
  4. Оптимизация использования корпоративных информационных ресурсов: пресечение использования ресурсов в личных целях.


Подход к выполнению проекта


Внедрение DLP-системы на территориально-распределенной корпоративной сети холдинга являлось достаточно сложной с технической и организационной стороны задачей. Необходимо было учесть, что DLP-система должна быть абсолютно «прозрачной» для уже существующих корпоративных информационных систем и не допускать даже временного блокирования или замедления налаженных бизнес-процессов. Кроме того, ее внедрение должно пройти незаметно для рядовых пользователей.

Таким образом, было принято решение о поэтапном внедрении DLP-системы в офисах компании и постепенном наращивании ее функционала.

Реализация проекта


1 Этап: Мониторинг и архивирование корпоративной электронной почты в головном офисе


Содержание


В головном офисе холдинга была инсталлирована DLP-система в составе:

  • модуль съема информации на скорости 1 Гбит/с;
  • модуль взаимодействия;
  • модуль анализа;
  • модуль хранения информации;
  • АРМ аналитика.


Кроме того, был установлен специальный Plugin на корпоративный почтовый сервер.

Совместно со службой безопасности холдинга, учитывая специфику бизнеса, был настроен Рубрикатор — иерархическое дерево искомых тем для морфологического анализ
текста. В соответствии с корпоративной политикой безопасности, а также с локальным нормативным актом о коммерческой тайне и конфиденциальной информации в Рубрикаторе были настроены соответствующие правила поиска и анализа информации.

В процессе первых месяцев работы Рубрикатор итеративно изменялся и дополнялся для получения требуемого уровня точности детектируемой критичной информации. Параллельно проводилось работа по достижению уровней ошибок 1 и 2 рода, удовлетворяющих заказчика.

Результаты


Удалось выявить доступность некоторых конфиденциальных документов сотрудникам, формально не имеющим к ним доступа (детектирование и анализ документов во вложениях к электронным письмам). По результатам проведенного расследования были скорректированы некоторые параметры корпоративной политики информационной безопасности в части хранения конфиденциальных документов и разграничения доступа к ним.

2 Этап: Мониторинг трафика по протоколу FTP


Содержание


В DLP-систему добавлен модуль декодирования информации.

Результаты


  • Выявлены факты размещения конфиденциальной информации на не предназначенных для этого корпоративных FTP-ресурсах.
  • Обнаружено дублирование больших объемов информации (фото, видео, архивы) одновременно на нескольких ресурсах.


Скорректированы полномочия по размещению информации на сетевых ресурсах. Проведена реконфигурация сетевой инфраструктуры для исключения дублирования больших объемов информации в результате чего оптимизировалось свободное место в системе хранения данных.

3 Этап: Мониторинг трафика по протоколу http


Содержание


Установлен Plugin на корпоративный прокси-сервер, позволяющий контролировать get и post запросы, а таже «вскрывать» https трафик. В соответствии с задачами службы безопасности и ТОП-менеджмента компании настроен Рубрикатор на мониторинг определенной информации.

Результаты


  • Оценен объем просматриваемой персоналом компании информации, не относящейся к рабочим тематикам (блоги, форумы, развлекательные и новостные сайты). Сделан вывод о том, что процент такого трафика крайне мал и находится в пределах допустимой нормы.
  • Выявлен ряд лиц, регулярно просматривающих в Интернете большой объем информации, формально не входящей в сферу их компетенций и интересов. Сотрудники взяты на контроль службой безопасности.
  • Обнаружены сотрудники, интересующиеся информацией о конкурентах и компроматом на собственную компанию. В их отношении проведены необходимые мероприятия.


4 Этап: Ретроспективный анализ архива


Содержание


В продукт добавлен модульr, позволяющий проводить повторный анализ по всему накопленному архиву трафика.

Результаты


В рамках реструктуризации группы компаний в определенный период проводились массовые сокращения, переводы на новые должности и изменения функционала сотрудников.
Был настроен новый Рубрикатор, который позволял проводит поиск информации по конкретным сотрудникам.

Проведение полного ретроспективного анализа накопленной информации по новым правилам поиска позволило выявить внеслужебные интересы, нелегитимные рабочие контакты и иные подозрительные факты в работе планируемых к сокращению или перемещению на другую должность сотрудников.

Грамотное использование полученной информации позволило пересмотреть некоторые кадровые решения в ту или иную сторону и существенно снизить риски негативных последствий проведения организационно-штатной реформы.

5 Этап: Внедрение системы в удаленных офисах


Содержание


Опробованные в головном офисе решения согласно календарному плану постепенно внедрялись во всех территориальных офисах группы компаний.

Результаты


Благодаря гибким возможностям по масштабированию DLP-системы удалось полномасштабно внедрить ее на всей информационно-телекоммуникационной сети заказчика, включающей в себя 10 удаленных офисов, 160 юридических лиц, 4500 человек.

Были установлены модули съема информации на все имеющиеся в офисах внешние каналы связи. Управление системой реализовано из единого центра мониторинга и контроля в головном офисе компании. При этом при пропадании связи между офисами, установленная в удаленном подразделении система продолжает работать автономно в соответствии с заданными политиками.

Резюме


Внедрение DLP-системы в холдинге повысило уровень защищенности бизнеса и позволило существенно снизить экономические, репутационные и иные риски, в том числе при проведении масштабной реструктуризации компании.

© Habrahabr.ru