Внедрение системы защиты от утечек данных DLP

Цели внедрения системы защиты от утечек данных:

• Контроль утечек информации по ключевым каналам (почта, мессенджеры, USB, публикация в сети, публикация в интернете)
• Мониторинг и анализ инцидентов
• Формирование политики информационной безопасности
• Соответствие требованиям по защите КИИ и персональных данных

После этапа распространения агентов на рабочие места пользователей, было совещание, после которого были направлены примеры документов для анализа и создания ИО (информационных объектов) по этим документам.

В итоге для улучшения обнаружения фактов (событий) работы с таким же видом документами были созданы дополнительные ИО в количестве 11 штук, по остальным видам документов были доработаны ИО уже имеющиеся в системе.

От компании заказчика был выделен сотрудник в качестве ответственного за анализ событий, в последствии для которого было проведено обучение по работе с системой.

Внедрение DLP в строительной компании: от звонка до реагирования.

Строительная компания с распределённой структурой и численностью более 600 сотрудников столкнулась с отсутствием прозрачных процессов по обращению с конфиденциальной информацией. Из-за этого документы, содержащие коммерческую тайну и чувствительные данные, свободно передавались через мессенджеры и личные почты. Это создавало риски утечек, нарушения законодательства и невозможность последующего контроля.

Руководство компании обратилось к нам с запросом на системное решение данной ситуации. Несмотря на наличие развитой и масштабной ИТ-инфраструктуры, включая собственный специализированный отдел, у организации не было ни необходимого опыта, ни выделенных ресурсов для реализации проекта по внедрению DLP-системы. Требовалось не просто установить программный продукт, а выстроить процессы: от классификации информации до настройки политик контроля и обучения персонала.

Мы предложили пошаговый подход, включающий обследование текущего состояния, выбор оптимального решения, пилотное внедрение и постепенное расширение на всю инфраструктуру. Важно было учесть распределённую структуру компании, разнородные бизнес-процессы в филиалах и минимизировать влияние проекта на повседневную работу сотрудников.

Этап 1. Обследование

На первоначальном этапе были проведены встречи с ключевыми заинтересованными сторонами — представителями руководства, ИТ-службы и службы внутреннего аудита. В ходе интервью и анализа внутренних процессов мы собрали бизнес-требования к системе: какие каналы передачи информации подлежат контролю, какие типы данных наиболее критичны, какие форматы отчётности требуются, и какой уровень автоматизации ожидается.

На основании полученных требований мы подготовили сравнительный анализ решений от нескольких вендоров, с учётом существующей ИТ-инфраструктуры, масштабируемости, доступных сценариев контроля и уровня сопровождения. Коммерческие предложения были сформированы в нескольких вариантах — от базового до расширенного.

Этап 2. Пилотный проект

Для подтверждения выбранного решения был организован пилотный проект. Система была развернута на ограниченном числе рабочих мест, что позволило протестировать её работу в реальных условиях, оценить корректность реагирования на инциденты, точность политики и удобство дальнейшего сопровождения.

В рамках пилотного проекта в первую очередь была настроена базовая политика контроля каналов коммуникаций, активно используемых в компании: электронная почта, мессенджеры, облачные хранилища и внешние носители. После получения первой волны событий из системы, проведена аналитика и адаптация политик с учётом реальных бизнес-процессов и специфики работы подразделений.

В ходе пилота были выявлены небезопасные практики обращения с конфиденциальной информацией, подозрительные коммуникации, а также несколько инцидентов, обладающих признаками нарушений требований информационной безопасности. На основании собранных данных были подготовлены подробные аналитические отчёты для заказчика. Эти материалы позволили не только оценить эффективность тестируемого решения, но и глубже понять текущие процессы внутри организации, в том числе риски, ранее не осознаваемые руководством.

Полученная информация стала основой для принятия первых корректирующих мер в области ИБ уже на этапе пилота. Это, в свою очередь, укрепило уверенность заказчика в целесообразности внедрения DLP-системы и позволило принять обоснованное решение о приобретении программного продукта для полномасштабного внедрения.

Этап 3. Внедрение и масштабирование

После принятия заказчиком положительного решения по итогам пилота, проект перешёл в фазу промышленного внедрения. На данном этапе система DLP была развёрнута во всей инфраструктуре компании, охватывая все территориально распределённые подразделения и пользовательские рабочие станции.

Одной из приоритетных задач было минимизировать влияние внедрения на текущую работу сотрудников. Поэтому развёртывание агентов на конечные устройства проводилось поэтапно, с учётом бизнес-календаря и критичности подразделений. Параллельно проводилась адаптация и детализация политик контроля: настроены специфические правила для разных категорий пользователей, добавлены исключения для технических служб и автоматизированных процессов, реализована фильтрация по уровням доступа к конфиденциальной информации.

Особое внимание было уделено вопросам интеграции с существующими ИТ-сервисами: были реализованы синхронизация с Active Directory, централизованная авторизация, а также интеграция с внутренней системой управления инцидентами. Кроме того, была организована система уведомлений и отчётности, соответствующая требованиям руководства и отдела внутреннего аудита.

Этап 4. Поддержка и сопровождение

После завершения этапа внедрения начался этап сопровождения системы. В его рамках были выстроены процессы технической и методологической поддержки, а также сформированы регламентные процедуры по управлению инцидентами и актуализации политик.

Служба информационной безопасности заказчика прошла обучение по работе с системой, включая интерпретацию событий, реагирование на инциденты, формирование отчётности и настройку новых правил. Для сокращения времени реакции на события, в системе была настроена автоматическая маршрутизация инцидентов по уровням критичности.

Результаты проекта

В результате внедрения DLP-системы заказчик получил централизованный контроль над обращением с конфиденциальной информацией на всех ключевых коммуникационных каналах. Система обеспечила мониторинг и анализ электронной почты, мессенджеров, веб-ресурсов, облачных хранилищ, подключаемых устройств и других потенциальных каналов утечки данных.

Уже в первые месяцы эксплуатации были выявлены сотни инцидентов, связанных с нарушением установленных политик:

• пересылка коммерческой информации на внешние почтовые ящики,
• выгрузка данных на сторонние облачные ресурсы,
• использование несанкционированных USB-устройств,
• попытки обхода технических ограничений.

Кроме инцидентов, напрямую связанных с утечкой информации, система также позволила зафиксировать ряд кадровых и организационных рисков, ранее не поддававшихся мониторингу:

• регулярные переработки сотрудников (по активности в нерабочее время),
• признаки эмоционального выгорания и повышенной текучести (частая пересылка резюме, посещение сайтов по поиску работы),
• низкая активность отдельных сотрудников (отсутствие продуктивной деятельности в рабочее время),
• токсичное поведение (агрессивная переписка, нарушения корпоративной этики).

Эти данные стали основой для работы не только службы информационной безопасности, но и отдела кадров и руководителей подразделений.