Контакты
Подписка
МЕНЮ
Контакты
Подписка

DeviceLock DLP как инструмент выполнения некоторых требований стандарта СТО БР

DeviceLock DLP как инструмент выполнения некоторых требований стандарта СТО БР

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

DeviceLock DLPкак инструмент выполнения некоторых требований стандарта СТО БР

Информация сейчас является основным активом, особенно в финансовой сфере. Это подчеркивают и регуляторы, которые все чаще начинают требовать от организаций и банков соблюдения требований информационной безопасности, то есть обеспечения защиты банковской информационной системы. Среди этих требований есть и контроль за утечками информации, и контроль действий сотрудников, и протоколирование происходящих в информационной системе событий. Эти функции вполне могут выполнить современные DLP-продукты, такие как DeviceLock.

Например, в готовящемся стандарте Банка России по информационной безопасности некредитных финансовых организаций СТО БР ИБНФО есть такое требование – обеспечить "защиту от НСД и НРД, управление доступом и регистрацией всех действий в АС НФО РФ". Кроме того, это требование предполагает не только управление доступом, что обеспечивает, как правило, сама автоматизированная система, но и регистрацию всех действий пользователей, что сложно сделать в рамках прикладной системы или приложения. Для этого нужно использовать специальное дополнительное средство мониторинга всех действий пользователя, его обращений к файловой системе и использование сетевого взаимодействия.

Мониторинг

Именно этим занимается решение компании SmartLine с названием DeviceLock DLP Suite. Это модульное решение, которое состоит из следующих компонентов:

НСД – это несанкционированные действия, а НРД – нерегламентированные действия в рамках предоставленных полномочий, то есть НСД – это внешние нападения, а НРД – внутренние.

• DeviceLock Base. Это базовый компонент, который реализует все функции централизованного управления и администрирования другими компонентами комплекса, а также сбор данных в центральное хранилище. Этот компонент является базовым и требует установки на каждое рабочее место собственного агента. Центральный сервер обеспечивает сбор данных с агентов, событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и другие мобильные устройства, а также канал печати документов на локальные и сетевые принтеры. При этом ядро сохраняет сведения о контексте взаимодействия и имеет необходимый набор механизмов контекстного контроля доступа пользователей, который минимизирует ложные срабатывания.


• NetworkLock. Этот компонент обеспечивает контекстный контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов, детектирование коммуникационных приложений и их выборочную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных.

Теневое копирование позволяет максимально подробно регистрировать действия сотрудников в автоматизированной системе для дальнейшего анализа и проведения расследования. NetworkLock позволяет максимально подробно контролировать действия пользователей в том числе и в экзотических системах типа Lotus Notes, а также в различных облачных сервисах, причем с поддержкой локальных сервисов типа Яндекс.Диск или web.de.

• ContentLock. Модуль реализует механизмы контентного анализа, циркулирует в компании информации и фильтрации файлов и данных, передаваемых с/на сменные носители, и в каналах сетевых коммуникаций – Web-почте и социальных сетях, службах мгновенных сообщений, файловом обмене по протоколам FTP и FTP-SSL и др. Кроме того, технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы снизить количество ложных срабатываний для эффективного решения задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа.


• DeviceLock Discovery. Компонент проводит сканирование рабочих станций и корпоративных сетевых ресурсов и на основании заданных политик обнаруживает документы и файлы с критическим содержимым, осуществляет различные опциональные действия с обнаруженными документами, а также может инициировать процедуры управления инцидентами, направляя тревожные оповещения в реальном режиме времени, если конфиденциальная информация обнаружилась в неположенном месте.

• DeviceLock Search Server (DLSS). Он обеспечивает полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования Device-Lock. Сервер DLSS позволяет значительно снизить трудозат-ратность и повысить эффективность процессов аудита и расследования инцидентов информационной безопасности, связанных с утечками информации, их криминалистического анализа и сбора доказательной базы.


В целом же DeviceLock DLP Suite сильно расширяет возможности контроля администратора за действиями пользователей. Если встроенные правила доступа для приложений и платформ ограничены только ими, то средства контроля модуля ContentLock позволяют устанавливать сложные правила контроля доступа и регистрации событий.

Обычно операционные системы и базы данных не контролируют контент действий пользователя, в то время как правила DeviceLock позволяют сотрудникам отдела ИБ пользоваться не только стационарными правами доступа, но и так называемыми контентно-зависимы-ми правилами. Это позволяет добиться с помощью DeviceLock высочайшего уровня детализации в контроле устройств и сетевых протоколов, которого невозможно достигнуть стандартными средствами групповых политик Windows. Причем обеспечивается он с помощью интерфейса, прозрачно интегрируемого в редактор групповых политик Windows Group Policy Editor, что позволяет легко управлять контролем доступа в больших корпоративных сетях.

Теневое копирование

Отдельно стоит упомянуть о такой функции DeviceLock, как теневое копирование с возможностью анализа накопленных данных с помощью DLSS. Этот функционал позволяет не просто фиксировать действия пользователей в системе, что может делать и система Syslog, но также передавать на центральный сервер информацию, с которой работал пользователь и которую он попытался вынести из компании с помощью накопителя или в виде бумажной копии. Эти данные также собираются в хранилище и могут быть в дальнейшем проанализированы с помощью DLSS.


Таким образом, DeviceLock является уникальным инструментом для удовлетворения требований Центрального банка РФ и других регуляторов. При этом он является модульным продуктом, что позволяет постепенно наращивать функциональность защиты по мере необходимости.

Обязательным компонентом является только само ядро DeviceLock Base, к которому в любой момент можно добавить модули сетевого мониторинга NetworkLock, контент-анализа ContentLock, поиска мест хранения конфиденциальной информации DeviceLock Discovery и сервера анализа теневых копий и системных записей DeviceLock Search Server. Модульный подход позволяет постепенно наращивать функциональные возможности DLP-системы DeviceLock DLP Suite.

___________________________________________
* На правах рекламы
СМАРТ ЛАЙН ИНК, АО
107140 Москва,
1-й Красносельский пер., 3, пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2016
Посещений: 4569

Приобрести этот номер или подписаться

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций