DLP-системы в сфере торговли и услуг

Оглавление
ВВЕДЕНИЕ
1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ
1.1. Основные понятия DLP-систем
1.2. Механизмы защиты от утечек
1.3. Преимущества использования DLP-систем для бизнеса
1.4. Преимущества использования DLP-систем для IT-службы и службы безопасности
2. РАЗРАБОТКА ПРОЕКТА ЗАЩИТЫ СИСТЕМЫ ИНТЕРНЕТ-ТОРГОВЛИ
2.1. Описание деятельности компании «УлМарт»
2.2. Описание процесса продажи товаров через интернет с точки зрения информационной безопасности
2.2.1 Общие требования к организации обмена электронными документами (сообщениями)
2.2.2 Требования к участникам электронной торговли по обеспечению безопасности
2.2.3 Защита персональных данных
2.2.4 Средства и методы защиты информации электронных платежных систем
2.3. Угрозы информационной безопасности компании «УлМарт»
2.4. Требования к системе информационной безопасности компании «УлМарт»
2.5 Выбор DLP-системы для внедрения в компании «УлМарт»
3. НАПРАВЛЕНИЕ СОВЕРШЕНСТВОВАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ «УЛМАРТ»
3.1. Проект внедрения DLP-системы на предприятии
3.2. Оценка стоимости проекта внедрения DLP-системы на предприятии
3.3. Оценка экономического эффекта от внедрения DLP-системы на предприятии
ЗАКЛЮЧЕНИЕ
СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

Помимо мониторинга всех сетевых протоколов, Leak Proof обеспечивает защиту «конечных точек», контролируя USB и CD/DVD-устройства, а также средства печати.Trend Micro™ LeakProof™ позволяет упростить инфраструктуру и уменьшить издержки, обеспечив широкое покрытие, высокую производительность и простоту развёртывания решения. Доступный в двух версиях, LeakProof Standart помогает организациям соответствовать стандартам защиты конфиденциальных данных о сотрудниках и клиентах организации. Версия LeakProof Advanced обеспечивает тот же уровень защиты, дополнительно используя технологию цифровых отпечатков данных DataDNA™ для защиты интеллектуальной собственности.Обе версии продукта включают два модуля:LeakProof Client – скрытый программный агент, обеспечивающий обнаружение и защиту данных на «конечных точках» в режимах работы «онлайн» и «оффлайн», а также осуществляющий обмен данным с сервером управления;LeakProof Server – сервер управления, являющийся центральной точкой мониторинга и контроля, установки политик безопасности и системы отчетов. Сервер доступен либо в виде программно-аппаратного решения, либо в виде виртуальной машины, для обеспечения большей гибкости и снижения затрат.DLP-система WebsenseDataEndpointWebsense Data Endpoint - программный продукт, обеспечивающий мониторинг использования конфиденциальной информации на локальных компьютерах.Websense Data Endpoint выполняет задачи, недоступные средствам сетевого мониторинга, следя за тем, кто использует конфиденциальные данные, как их используют (с какими приложениями) и куда они направляются. Система предоставляет полный контроль над сменными носителями, а также стандартными процедурами копирования, вставки, печати с экрана из всех клиентских приложений. С Websense Data Endpoint Вы получаете:Автоматизированный контроль над конфиденциальными данными, включающий в себя блокировку, контроль клиентских приложений,удаление данных, аудит и логирование, уведомление пользователей;Высокий уровень прозрачности и контроля над операциями копирования и вставки, доступом к файлам, принтерам и сменным носителям независимо от местонахождения рабочей станции;Операционную эффективность с минимальными нагрузками на рабочие станции, множеством режимов работы, включая «скрытый» и «интерактивный» режимы;Точную идентификацию конфиденциальных данных, основанную на современных технологиях обработки данных;Подробную классификацию конфиденциальных данных, имеющихся на рабочих станциях.DLP-система InfoWatchInfoWatch предоставляет программные средства и методологию их внедрения, которые позволят эффективно защищать конфиденциальную информацию в рамках существующих бизнес-процессов, учитывать специфику, цели и задачи организации.InfoWatch Traffic Monitor Enterprise состоит из нескольких модулей, которые можно комбинировать в зависимости от потребностей клиента:Модуль для защиты периметра корпоративной сети - InfoWatch Traffic Monitor;Модуль для защиты рабочих станций - InfoWatch Device Monitor;Модуль для контроля информации в общедоступных сетевых хранилищах - InfoWatch Crawler;Модуль централизованного архивирования и управления - InfoWatch Forensic Storage.Модуль для защиты периметра корпоративной сети –InfoWatch Traffic Monitor.Осуществляет контроль данных, передаваемых с помощью web-почты, блогов, форумов и др., зашифрованного Интернет-протокола, корпоративной почтовой системы и систем обмена мгновенными сообщениями (например, ICQ) и включает в себя несколько под-модулей.InfoWatch Traffic Monitor for Web для контроля данных, передаваемых с помощью web-почты, блогов, форумов и др.;InfoWatch Traffic Monitor for HTTPS  для контроля данных, передаваемых с помощью зашифрованного Интернет-протокола;InfoWatch Traffic Monitor for Mail для контроля информации, проходящей через корпоративную почтовую систему;InfoWatch Traffic Monitor for IM для контроля данных, отправляемых с помощью систем обмена мгновенными сообщениями, работающими по протоколу OSCAR  (например ICQ, Miranda и др.), включая перехват файлов, пересылаемых с помощью таких систем и информации, отправляемой с помощью функции SMS-over-ICQ.Модуль для защиты рабочих станций –InfoWatch Device MonitorОсуществляет контроль печати документов посредством локальных или сетевых принтеров, контроль доступа к съемным устройствам и устройствам, подключаемым по различным портам (всего более 26 видов устройств), а также контроль копирования информации на них.Модуль для контроля информации в общедоступных сетевых хранилищах – InfoWatch CrawlerCканирует рабочие станции сотрудников, общедоступные сетевые хранилища данных и системы документооборота, и создает теневые копии найденных документов. Теневые копии передаются на сервер Traffic Monitor для дальнейшего анализа и применения политик.Рис. 2.2 – Принцип работы DLP-системы InfoWatchМодуль централизованного архивирования и управления –InfoWatch Forensic StorageСохраняет всю перехваченную и проанализированную информация для дальнейшего проведения расследований инцидентов информационной безопасности и составления статистических отчетов. Управление продуктом осуществляется с помощью Консоли управления (Management Console).DLP-система Zecurion Zecurion DLP — комплексная система защиты информации от утечек. Zecurion DLP является технологическим лидером среди систем класса Data Loss Prevention (по результатам обзора Anti-Malware). В состав комплекса Zecurion DLP входит четыре передовых продукта: Zecurion Zgate, Zecurion Zlock, Zecurion Zdiscovery и Zecurion Zserver.DLP-система Zecurion Zgate: контроль использования сетиZgate, DLP-система компании Zecurion, разрабатывалась с учетом преимуществ и недостатков существующих DLP-систем. В отличие от аналогов, Zgate позволяет блокировать утечки конфиденциальных информации по сетевым каналам в режиме реального времени. Для обнаружения и блокирования утечек в DLP-системе Zecurion Zgate используется гибридный анализ, включающий в себя передовые технологий детектирования информации. Zecurion Zgate осуществляет контентный анализ всех данных, передаваемых сотрудниками за пределы локальной сети организации, и позволяет блокировать утечки конфиденциальной информации по сетевым каналам.DLP-система Zgate позволяет предотвращать утечки через:Переписку в корпоративной электронной почте.Письма и вложения, отсылаемые через сервисы веб-почты.Общение в социальных сетях, на форумах и блогах.Сообщения интернет-мессенджеры.Файлы, передаваемые по протоколу FTP.Для профилактики утечек и проведения полноценных расследований DLP-система Zgate сохраняет в архив все передаваемые сообщения и файлы, а также подробную информацию об инцидентах — сведения об отправителе и получателе, канале передачи, времени и т. д. Встроенная система отчетности Zecurion Zgate предоставляет набор инструментов для глобальной оценки уровня защищенности, а также способствует быстрому принятию решений по происходящим инцидентам.DLP-система Zlock: контроль данных на рабочих местахОсновное назначение DLP-системы Zlock компании Zecurion — предотвращение утечек конфиденциальной информации через периферийные устройства. Zlock разграничивает доступ к носителям информации и принтерам, анализирует содержимое файлов, распечатываемых и записываемых на устройства, и блокирует действия пользователей в случае выявления нарушений политик безопасности.С помощью Zecurion Zlock можно гибко настроить права доступа пользователей и групп пользователей к периферийным устройствам. К их числу относятся любые устройства, которые могут использоваться для копирования данных:Внешние устройства, подключаемые через USB, LPT, COM, IrDA, PCMCIA, IEEE 1394 и другие порты и слоты.Сетевые карты, модемы, Bluetooth, Wi-Fi, CD/DVD-дисководы и другие внутренние устройства.Локальные и сетевые принтеры.Документы, передаваемые на переносные устройства и принтеры, подвергаются контентному анализу DLP-системой Zecurion Zlock. При обнаружении конфиденциальной информации в пере-даваемых файлах DLP-система мгновенно блокирует действия пользователя (чтение, запись, пе-чать) и уведомляет администратора безопасности. Для анализа содержимого, как и в случае с Zgate, применяется гибридный анализ — комплекс технологий детектирования данных.DLP-система Zecurion Zdiscovery: поиск конфиденциальной информацииСистема Zecurion Zdiscovery предназначена для обнаружения конфиденциальной информации в локальной сети и предотвращения нарушений правил ее хранения.С помощью Zecurion Zdiscovery можно обнаруживать:Несанкционированные копии конфиденциальной информации на рабочих компьютерах и ноутбуках пользователей.Конфиденциальные документы в общедоступных сетевых хранилищах.Персональные данные, хранящиеся в сети.Поиск данных осуществляется специальными агентами. Они анализируют данные на жестких дисках компьютеров и серверов, в том числе на «скрытых» логических дисках, на предмет конфиденциальности.DLP-система SearchInformСовременная система должна позволять сотруднику использовать все каналы для передачи информации, однако перехватывать и анализировать информационные потоки, идущие по этим каналам. SearchInform DeviceSniffer– это программа, которая перехватывает всю информацию, записываемую на устройства через порты USB (например USB-флешки) или, например, на CD/DVD диски.Возможности системы:Перехваченные данные помещаются в специальное хранилище, где индексируются и становятся доступными для полнотекстового поиска. Информация сохраняется заданное пользователем количество времени.Отсутствие запретительной системы с блокировкой доступа к USB портам и отсутствием CD/DVD привода на рабочем месте. Такая система не только создаёт дискомфорт для сотрудников, но и нередко не даёт выполнять свои рабочие обязанности на все сто процентов.Сохранность конфиденциальной информации обеспечивается путём полного контроля над информационными потоками, ведущими к записывающим CD/DVD устройствам, а также направленными на USB портыПоддержка решений DeviceLock и Lumension Device Control позволит специалистам по информационной безопасности использовать DeviceSniffer совместно с привычным и удобным для них решением.В таблице 2.1 приведено сравнение описанных DLP-систем по значимым характеристикам.Таблица 2.1Сравнение DLP-систем по значимым характеристикамХарактеристикиSymantec Data Loss PreventionMcAfeeTrend Micro Leak ProofWebsense Data EndpointInfoWatchZecurionSearchInformSecureTowerБлокирование запрещенного трафика в сети++++++++Блокирование копирования конфиденциальной информации на носители++++++Проверка переписки в корпоративной электронной почте++++++++Контроль писем и вложений, отсылаемых через сервисы веб-почты+++++++Контроль переписки в социальных сетях, на форумах и блогах+++Контроль сообщений в интернет-мессенджерах+++++Блокирование доступа к конфиденциальной информации+++++Обоснование выбор DLP-системы: Сравнительный анализ характеристик DLP-систем показал, что наибольшей функциональностью обладает система SecureTower, именно поэтому данная система будет выбрана для построения системы защиты информации в компании «УлМарт».Теперь перейдем к разработке проекта внедрения DLP-системы на предприятии.3. Направление совершенствования системы информационной безопасности компании «УлМарт»3.1. Проект внедрения DLP-системы на предприятииГруппа разработчиков:Аналитик – выполняет анализ первичной информации;Проектировщик – выполняет выбор средств разработки, проектирует структуру программы и структуру информационного фонда;Руководитель проекта – координирует работу, согласовывает бюджет план проекта;Инженер – выбирает оборудование для ИС;Программист – создание программного кода ИС;Руководство – руководство предприятия;Сотрудник компании – пользователь ИС; Консультант – консультирование по использованию ИС;Тестировщик – тестирование ИС;Техник – установка оборудования и программного обеспечения.На рис. 3.1 приведена диаграмма Гаета проекта.Рис. 3.1 – Диаграмма ГантаРис. 3.2 – Диаграмма использования ресурсовРис. 3.3 – Лист ресурсов3.2. Оценка стоимости проекта внедрения DLP-системы на предприятииДля определения экономической эффективности системы защиты информации необходимы следующие данные:расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;Содержание и объеме разового ресурса, выделяемого на защиту информации приведен в таблице 3.1.Таблица 3.1Содержание и объем разового ресурса, выделяемого на защиту информацииВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)Установка DLP-системы300206000Настройка DLP-системы300103000Проведение обучающих занятий с сотрудниками компании250205000Итого14000Перечень затрат на программно-аппаратные средств защиты информации приведен в таблице 3.2.Таблица 3.2Перечень затрат на ПАСЗИНоменклатураСтоимость, единицы (руб)Кол-во (ед. измерения)Стоимость, всего (руб.)DLP-система SecureTower45000145000Итого45000Объеме постоянного ресурса, выделяемого на защиту информации, приведен в таблице 3.3.Таблица 3.3Организационные мероприятияВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)Выполнение плановых мероприятий по ИБ администратором ЛВС20012024000Дежурство администратора ЛВС2001560312000Итого336000Таблица 3.4Мероприятия инженерно-технической защитыНоменклатураСтоимость, единицы (руб.)Кол-во (ед. измерения)Стоимость, всего (руб.)Резервные рабочие станции2000010200000Резервные сервера1400001140000Резервные источники питания150046000Итого346000Суммарный объем выделенного ресурса составил: 14000+45000+336000+346000=741000 рублей.3.3. Оценка экономического эффекта от внедрения DLP-системы на предприятииИсходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.Для определения уровня затрат Ri нам известен: перечень угроз информации, потенциальную опасность для информации для каждой из угроз, размеры затрат, необходимых для нейтрализации каждой из угроз.Для определения уровня затрат возможно использование эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации, формула 3.1.Ri = 10(Si + Vi – 4) (3.1)гдеSi – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении.Значения коэффициентов SiиVi, приведенные в таблице 3.5 и 3.6.Таблица 3.5Значения коэффициентов SiОжидаемая (возможная)частота появления угрозыПредполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год)51-2 раза в неделю (примерно 100 раз в год)63 раза в день (1000 раз в год)7Таблица 3.6Значения коэффициентов ViЗначение возможного ущербапри проявлении угрозы, руб.Предполагаемое значение Vi30030013 000230 0003300 00043 000 000530 000 0006300 000 0007Суммарная стоимость потерь определяется формулой 3.2R=(3.2)где N – количество угроз информационным активам.Результаты расчетов для компании«УлМарт» представлены в таблице 3.7.Таблица 3.7Величины потерь (рисков) до внедрения DLP-системыУгрозаВеличина потерь (тыс.руб.)угрозы сканирования, направленные на выявление типа или типов используемых ОС, сетевых адресов РС, топологии ЛВС, открытых портов и служб, открытых соединений500угрозы «Анализа сетевого трафика» с перехватом передаваемойиз информационной системы персональных данных (ИСПДн) 600угрозы внедрения ложного объекта200угрозы подмены доверенного объекта500угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри ЛВС, так и во внешних сетях600угрозы типа «Отказ в обслуживании»200угрозы выявления паролей500угрозы внедрения по сети вредоносных программ100угрозы удаленного запуска приложений800ИТОГО4000Величина потерь для активов предприятия после внедрения DLP-системы приведена в таблице.Таблица 3.6Величины потерь (рисков) после внедрения DLP-системыУгрозаВеличина потерь (тыс.руб.)угрозы сканирования, направленные на выявление типа или типов используемых ОС, сетевых адресов РС, топологии ЛВС, открытых портов и служб, открытых соединений100угрозы «Анализа сетевого трафика» с перехватом передаваемойиз информационной системы персональных данных (ИСПДн) 100угрозы внедрения ложного объекта200угрозы подмены доверенного объекта500угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри ЛВС, так и во внешних сетях100угрозы типа «Отказ в обслуживании»200угрозы выявления паролей100угрозы внедрения по сети вредоносных программ100угрозы удаленного запуска приложений300ИТОГО1700Таким образом, период окупаемости, рассчитываемый по формуле Ток = R∑ / (Rср – Rпрогн) (3.3)Составляет Ток = 741000 / (4000000 - 1700000) = 741000 / 2300000= 0,32 годаЗаключениеЦелью дипломного проекта является обеспечение нормального функционирования информационной сети компании «УлМарт»путем внедрения DLP-системы.В первой главе ПЗ описаны основные понятия DLP-систем.Рассмотрены механизмы защиты от утечек.Рассмотрены преимущества использования DLP-систем для бизнеса. Внедряя на предприятии DLP-систему компании нет необходимости содержать отдельное подразделение по обеспечению информационной безопасности.Рассмотрены преимущества использования DLP-систем для IT-службы и службы безопасности.Во второй главе описана деятельность компании «УлМарт».Описан процесс продажи товаров через интернет с точки зрения обеспечения информационной безопасности.Дана оценка угрозы информационной безопасности компании.Описан перечень требований к участникам интернет-продаж. В третьей главе разработан проект внедрения DLP-системы на предприятии. Сформирован состав группы разработчиков.Также составлена диаграмма Ганта проекта.Дана оценка стоимости проекта внедрения DLP-системы на предприятии.Рассчитан экономический эффект от внедрения DLP-системы на предприятии. Период окупаемости системы составил 4 месяца.Таким образом, цель работы можно считать достигнутой, а задачи решенными.Список источников и литературыБачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2011.Office of Government Commerce «ITIL Version 3 – Service Operation», с. 112-114, 154.Мильман С. «Понять ITIL — значит «правильно применять». http://www.osp.ru/os/2010/05/5205540/.Георгий Г. «Проведение расследования инцидентов информационной безопасности: организационные и правовые аспекты», с. 56-58.Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: 2010.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2010. – 192с.Диева С.А., Шаеаева А.О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2011.Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2011. – 368с.Мельников В.В., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2011. – 336с.Назаров С.В. Локальные вычислительные сети. Книга 1. Москва «Финансы и статистика» 2010, с. 24Хореев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2011.Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2010. – 544с.ГОСТ Р ИСО/МЭК 27001-2006. «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».ГОСТ Р ИСО/МЭК 18044-2007. «Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».ISO/IEC TR 18044:2004 «Information security incident management».