El 11 de febrero de 2014, el FSTEC de Rusia aprobó el documento metodológico "Medidas de seguridad de la información en los sistemas de información estatales". Este documento se utiliza para "seleccionar e implementar, en relación con la información no relacionada con los secretos de estado y contenida en los sistemas de información del estado (SIG), medidas de protección destinadas a garantizar la confidencialidad, integridad y accesibilidad de la información". El regulador recomienda el uso de este documento para proteger la información tanto en SIG como en sistemas de información no gubernamentales, incluso para garantizar la seguridad de los datos personales.
El documento indica las medidas de protección de la información recomendadas con referencia a ciertas clases de sistemas, por ejemplo, como herramientas de autenticación, antivirus, IDS / IPS, etc. Sin embargo, el regulador no indica directamente la necesidad de utilizar sistemas confidenciales de protección de datos contra fugas (DLP). Sin embargo, estos sistemas permiten cumplir requisitos tales como garantizar la confidencialidad, la integridad de la información transmitida desde el sistema de información, el registro de eventos de seguridad, etc.
Entonces, ¿dónde podemos encontrar los puntos de intersección de dos, a primera vista, fenómenos paralelos: reguladores y protección contra fugas? Detalles debajo del corte.
Primero, digamos algunas palabras sobre el propósito de los sistemas DLP. La implementación de DLP tiene los siguientes objetivos básicos:
- Prevención de fugas de información confidencial.
- Recopilación de información sobre incidentes y violaciones para la formación de pruebas en el caso de transferencia de casos a los tribunales.
- Mantener un archivo de acciones del usuario y análisis retrospectivo para identificar signos de fraude.
De muchos años de experiencia, podemos decir que hay muchas tareas que los clientes resuelven usando DLP, hasta las más específicas y específicas. Los dejaremos fuera del alcance de este material, aquí consideraremos los fundamentales.
A pesar de que los sistemas DLP no son herramientas obligatorias de seguridad de la información, los productos de esta clase pueden proporcionar la funcionalidad necesaria para implementar una serie de medidas recomendadas por el FSTEC en el documento mencionado anteriormente.
Integridad
Comencemos con las principales recomendaciones para garantizar la integridad del sistema de información y la información (OTsL) que figuran en el documento metodológico FSTEC del 11 de febrero de 2014.
"OTSL.5 - Control del contenido de la información transmitida desde el sistema de información ( contenedor basado en las propiedades del objeto de acceso y contenido basado en la búsqueda de información que está prohibido transmitir utilizando firmas, máscaras y otros métodos), y la exclusión de la transferencia ilegal de información del sistema de información ".
¿Qué medidas propone utilizar el regulador para controlar el contenido de la información y cuál de estas puede implementarse utilizando sistemas de protección contra fugas?
Transferencia ilegal de información protegida . Identificación de los hechos de la transferencia ilegal de información protegida desde un sistema de información a través de varios tipos de conexiones de red, incluidas las redes de comunicación pública y la respuesta a ellas.
Este procedimiento se implementa utilizando una funcionalidad dividida para dos componentes DLP, dependiendo de los canales de comunicación utilizados:
- La verificación de la información transmitida a través de protocolos http / https para la transferencia ilegal de datos protegidos se puede llevar a cabo utilizando las herramientas de los sistemas de clase de proxy web.
- Para analizar el tráfico de la intranet al enviar datos desde un servidor proxy o enrutadores, puede monitorear la transferencia de archivos y mensajes a través de protocolos de correo.
Grabación ilegal en medios extraíbles. Identificación de hechos de grabación ilegal de información protegida en medios extraíbles de almacenamiento extraídos de computadoras y respuesta a ellos.
El agente DLP instalado en la estación de trabajo, además de monitorear las acciones del usuario, analiza el contenido de los archivos y puede bloquear los intentos del usuario de copiar a USB o enviar documentos confidenciales para imprimir. El hecho de que la unidad USB esté conectada queda registrada en el agente; de acuerdo con los resultados, el especialista en seguridad de la información puede cambiar la política del sistema DLP al incluir esta unidad en las listas negras o blancas.
Supervisión del almacenamiento de información protegida en servidores y estaciones de trabajo.
Identificación de los hechos de almacenamiento de información confidencial en recursos de red compartidos (carpetas compartidas, sistemas de flujo de trabajo, bases de datos, archivos de correo y otros recursos).
Las medidas indicadas se pueden implementar utilizando la funcionalidad de escaneo de almacenamiento de archivos, que se implementa con diversos grados de sofisticación en todos los sistemas DLP avanzados. Esta funcionalidad le permite inventariar contenido tanto en almacenamiento de archivos / nube como en discos duros locales y archivos de correo.
El escaneo de los archivos almacenados revela datos confidenciales y violaciones de las reglas para su almacenamiento utilizando los siguientes mecanismos (la lista puede variar según el sistema):
- Escaneo de nodos de redes locales, archivos públicos y almacenamientos en la nube.
- Escaneo de servidores de correo para analizar el archivo de correos electrónicos.
- Escaneo de archivos de instantáneas.
- Contrarrestar activamente las violaciones de las reglas para almacenar datos protegidos (mover información confidencial ilegítima al almacenamiento de cuarentena, reemplazarla con un archivo de notificación, copiar un especialista en seguridad de la información en una estación de trabajo, etc.).
- Clasificación automática de datos corporativos según la configuración de la política.
- Monitorear la difusión de información dentro de la empresa e identificar lugares de almacenamiento inconsistente de datos críticos.
Además, los requisitos para fortalecer esta medida incluyen
bloquear la transferencia de información desde la IP con contenido inapropiado. Casi todos los sistemas DLP le permiten cumplir estos requisitos en varios canales de comunicación, desde mensajes de correo hasta copias en una unidad USB.
Registro de eventos de seguridad
El segundo bloque importante de recomendaciones del FSTEC sobre protección de la información es el
registro de eventos de seguridad: SSR. Por supuesto, antes de embarcarse en estas medidas, la organización debe clasificar todos los activos de información (recursos). Después de eso, es posible llevar a cabo las siguientes medidas:
Determinar la composición y el contenido de la información sobre los eventos de seguridad que se registrarán.
Recopilación, grabación y almacenamiento de información sobre eventos de seguridad durante el tiempo de almacenamiento principal.
Monitorear (ver, analizar) los resultados de registrar eventos de seguridad y responder a ellos.
No todas las soluciones DLP pueden mostrar el hecho y el momento de la autenticación del usuario en los sistemas de información, así como la información sobre los derechos otorgados a los usuarios. Pero la mayoría de ellos le permiten configurar la prohibición de iniciar ciertas aplicaciones y controlar las acciones del usuario cuando trabaja en varios sistemas de información. En los sistemas DLP avanzados, como regla, se implementa una gradación extendida de eventos en términos de su nivel de criticidad, hasta 4-5 niveles. Es muy conveniente para perfilar eventos, generar informes y recopilar estadísticas. Después de analizar estos eventos, un especialista en seguridad de la información que trabaja con el sistema decide si ha ocurrido un incidente de seguridad de la información.
Al almacenar todos los eventos en la base de datos del sistema DLP, al actualizar las políticas, puede realizar un análisis e investigación retrospectivos.
Protección de IP, sus medios y sistemas de comunicación y transmisión de datos.
Volvamos a los objetivos básicos que enfrentan los sistemas DLP. Como resultado del pensamiento maduro, resulta obvio que no solo la capacidad de recopilar y consolidar varios tipos de registros es importante para su logro, sino también la protección de los datos acumulados durante su transmisión / procesamiento y almacenamiento. En realidad, estamos hablando del concepto mismo de no repudio al crear, enviar y recibir información sobre la que hablamos
en detalle
en el artículo anterior. Puede abordar esta medida desde diferentes ángulos. Las implementaciones de algunos sistemas DLP implican el uso de SZI y CPSI comerciales adicionales para garantizar el "no repudio". Otros le permiten utilizar las funciones estándar del sistema operativo. Considere en qué puede confiar, por ejemplo, en el sistema operativo CentOS y la base de datos PostgreSQL:
- Cifrado de volumen por sectores integrados en el núcleo del sistema operativo DM_Crypt.
- Cifrado de la base de datos: el módulo pgcrypto (cifrado de tablas y líneas de la base de datos en sí, que permite, entre otras cosas, crear protección contra usuarios privilegiados, incluido el personal de TI).
- Crear una conexión segura en el clúster entre la base de datos "pg_hba.conf".
- Protección de la conexión cliente-servidor: de hecho, se requiere TLS 1.2 y superior.
A pesar de que el FSTEC no regula el uso de medios de protección criptográficos, se considera adicionalmente recomendable utilizar el cifrado para proteger el
sistema de información, sus medios y sistemas de comunicación y transmisión de datos (VMS) para que el sistema DLP en sí no llegue a manos del personal de TI competente. fuga de información de propiedad. Dado que las herramientas anteriores son componentes del sistema operativo y el software relacionado, el ejemplo anterior es de carácter privado. Sin embargo, en cualquier caso, si es necesario, siempre puede encontrar una alternativa de código abierto / gratuita a los medios comerciales existentes de protección de información criptográfica. Pero aquí surge de inmediato la cuestión de la certificación de estas soluciones, y este es un tema para una conversación separada.
En nuestro próximo artículo, hablaremos sobre la aplicabilidad de los sistemas DLP clave en los módulos de componentes a las recomendaciones del estándar estadounidense NIST de EE. UU.