توصيات أمن معلومات DLP و FSTEC: تقاطع المتوازيات

في 11 فبراير 2014 ، وافقت FSTEC من روسيا على الوثيقة المنهجية "تدابير أمن المعلومات في نظم المعلومات الحكومية". تُستخدم هذه الوثيقة "لتحديد وتنفيذ ، فيما يتعلق بالمعلومات التي لا تتعلق بأسرار الدولة والمضمنة في أنظمة معلومات الدولة (GIS) ، تدابير حماية تهدف إلى ضمان سرية وسلامة المعلومات وسهولة الوصول إليها". توصي الهيئة التنظيمية باستخدام هذا المستند لحماية المعلومات في كل من نظم المعلومات الجغرافية ونظم المعلومات غير الحكومية ، بما في ذلك ضمان سلامة البيانات الشخصية.

يشير المستند إلى تدابير حماية المعلومات الموصى بها مع الإشارة إلى فئات معينة من الأنظمة ، على سبيل المثال ، أدوات المصادقة ، ومضادات الفيروسات ، و IDS / IPS ، إلخ. ومع ذلك ، فإن الجهة المنظمة لا تشير مباشرة إلى الحاجة إلى استخدام أنظمة حماية البيانات السرية ضد التسريبات (DLP). ومع ذلك ، تسمح هذه الأنظمة بالوفاء بمتطلبات مثل ضمان السرية وسلامة المعلومات المرسلة من نظام المعلومات وتسجيل أحداث الأمان وما إلى ذلك.



لذلك ، أين يمكننا أن نجد نقاط التقاطع بين اثنين ، للوهلة الأولى ، الظواهر المتوازية - المنظمين وحماية التسرب؟ التفاصيل تحت خفض.

أولاً ، دعنا نقول بضع كلمات حول الغرض من أنظمة DLP. تنفيذ DLP له الأهداف الأساسية التالية:

• منع تسرب المعلومات السرية.
• جمع المعلومات حول الحوادث والانتهاكات لتشكيل الأدلة في حالة إحالة القضايا إلى المحكمة.
• الحفاظ على أرشيف لإجراءات المستخدم وتحليل بأثر رجعي لتحديد علامات الاحتيال.

من سنوات الخبرة الطويلة ، يمكننا القول أن هناك العديد من المهام التي يحلها العملاء باستخدام DLP ، حتى أضيقها وأكثرها تحديدًا. سنتركهم خارج نطاق هذه المواد ، هنا سننظر في المواد الأساسية.

على الرغم من أن أنظمة DLP ليست أدوات أمان معلومات إلزامية ، فإن منتجات هذه الفئة قادرة على توفير الوظيفة اللازمة لتنفيذ عدد من التدابير التي أوصت بها FSTEC في الوثيقة المذكورة أعلاه.

سلامة

لنبدأ بالتوصيات الرئيسية لضمان سلامة نظام المعلومات والمعلومات (OTsL) الواردة في الوثيقة المنهجية FSTEC بتاريخ 11 فبراير 2014.

"OTSL.5 - التحكم في محتوى المعلومات المرسلة من نظام المعلومات ( الحاوية بناءً على خصائص كائن الوصول ، والمحتوى المستند إلى البحث عن المعلومات المحظورة إرسالها باستخدام التوقيعات والأقنعة وغيرها من الطرق) ، واستبعاد النقل غير القانوني للمعلومات من نظام المعلومات ".

ما هي التدابير التي تقترح الجهة المنظمة استخدامها للتحكم في محتوى المعلومات ، وأي منها يمكن تنفيذها باستخدام أنظمة حماية التسرب؟

نقل غير قانوني للمعلومات المحمية . الكشف عن وقائع النقل غير القانوني للمعلومات المحمية من نظام المعلومات من خلال أنواع مختلفة من اتصالات الشبكة ، بما في ذلك شبكات الاتصالات العامة والاستجابة لها.

يتم تنفيذ هذا الإجراء باستخدام وظيفة مقسمة لمكونين DLP ، اعتمادًا على قنوات الاتصال المستخدمة:

• يمكن إجراء التحقق من المعلومات المرسلة عبر بروتوكولات http / https للنقل غير القانوني للبيانات المحمية باستخدام أدوات أنظمة فئة وكيل الويب.
• لتحليل حركة مرور إنترانت عند إرسال البيانات من خادم وكيل أو أجهزة التوجيه ، يمكنك مراقبة نقل الملفات والرسائل عبر بروتوكولات البريد.

تسجيل غير قانوني على الوسائط القابلة للإزالة. تحديد وقائع التسجيل غير القانوني للمعلومات المحمية على وسائط تخزين الكمبيوتر القابلة للإزالة غير المحصنة والاستجابة لها.

يقوم وكيل DLP المثبت على محطة العمل ، بالإضافة إلى مراقبة إجراءات المستخدم ، بتحليل محتويات الملفات ويمكنه حظر محاولات المستخدم للنسخ إلى USB أو إرسال مستندات سرية للطباعة. يتم تسجيل حقيقة توصيل محرك أقراص USB على الوكيل ؛ ووفقًا للنتائج ، يمكن لمتخصص أمن المعلومات تغيير سياسة نظام DLP من خلال تضمين محرك الأقراص هذا في القوائم السوداء أو البيضاء.

مراقبة تخزين المعلومات المحمية على الخوادم ومحطات العمل.

تحديد حقائق تخزين المعلومات السرية على موارد الشبكة المشتركة (المجلدات المشتركة ، أنظمة سير العمل ، قواعد البيانات ، أرشيف البريد وغيرها من الموارد).

يمكن تنفيذ التدابير المشار إليها باستخدام وظيفة مسح تخزين الملفات ، والتي يتم تنفيذها بدرجات متفاوتة من التطور في جميع أنظمة DLP المتقدمة. تتيح لك هذه الوظيفة إمكانية جرد المحتوى على كل من تخزين الملفات / السحابة ومحركات الأقراص الثابتة المحلية وأرشيفات البريد.

يكشف مسح تخزين الملفات عن بيانات حساسة وانتهاكات للقواعد الخاصة بتخزينها باستخدام الآليات التالية (قد تختلف القائمة وفقًا للنظام):

• مسح عقد الشبكة المحلية والملف العام والمستودعات السحابية.
• مسح خوادم البريد لتحليل أرشيف رسائل البريد الإلكتروني.
• مسح المحفوظات نسخة الظل.
• التصدي الفعلي لانتهاكات قواعد تخزين البيانات المحمية (نقل المعلومات السرية غير المشروعة إلى تخزين الحجر الصحي ، واستبدالها بملف إخطار ، ونسخ متخصص في أمن المعلومات إلى محطة عمل ، إلخ).
• التصنيف التلقائي لبيانات الشركة حسب إعدادات السياسة.
• مراقبة نشر المعلومات داخل الشركة وتحديد أماكن التخزين غير المتسق للبيانات الهامة.

بالإضافة إلى ذلك ، تتضمن متطلبات تعزيز هذا الإجراء حظر نقل المعلومات من عنوان IP بمحتوى غير مناسب. تسمح جميع أنظمة DLP تقريبًا بالوفاء بهذه المتطلبات على قنوات الاتصال المختلفة - من رسائل البريد إلى النسخ إلى محرك أقراص USB.

تسجيل الأحداث الأمنية

المجموعة الهامة الثانية من توصيات FSTEC بشأن حماية المعلومات هي تسجيل الأحداث الأمنية - SSR. بالطبع ، قبل الشروع في هذه التدابير ، يجب على المنظمة تصنيف جميع أصول المعلومات (الموارد). بعد ذلك ، يصبح من الممكن تنفيذ التدابير التالية:

تحديد تكوين ومحتوى المعلومات حول أحداث الأمان التي سيتم تسجيلها.

جمع وتسجيل وتخزين المعلومات حول أحداث الأمان خلال وقت التخزين الرئيسي.

مراقبة (عرض وتحليل) نتائج تسجيل الأحداث الأمنية والاستجابة لها.

لا يمكن لجميع حلول DLP عرض حقيقة ووقت مصادقة المستخدم في أنظمة المعلومات ، وكذلك معلومات حول الحقوق الممنوحة للمستخدمين. لكن معظمها يسمح لك بتكوين حظر تشغيل تطبيقات معينة والتحكم في تصرفات المستخدم عند العمل في أنظمة المعلومات المختلفة. في أنظمة DLP المتقدمة ، كقاعدة عامة ، يتم تطبيق تدرج ممتد للأحداث من حيث مستوى درجة الأهمية ، حتى 4-5 مستويات. أنها مريحة للغاية بالنسبة لأحداث التنميط ، وإنشاء التقارير وجمع الإحصاءات. بعد تحليل هذه الأحداث ، يقرر متخصص أمن المعلومات الذي يعمل مع النظام ما إذا كان قد وقع حادث أمن معلومات.

من خلال تخزين جميع الأحداث في قاعدة بيانات نظام DLP ، عند تحديث السياسات ، يمكنك إجراء تحليل وتحقيق بأثر رجعي.

حماية الملكية الفكرية ووسائلها وأنظمة الاتصال ونقل البيانات

دعنا نعود إلى الأهداف الأساسية التي تواجه أنظمة DLP. نتيجة للتفكير الناضج ، يصبح من الواضح أن القدرة على جمع وتوحيد أنواع مختلفة من سجلات مهمة فقط لتحقيقها ، ولكن أيضا لحماية البيانات المتراكمة أثناء نقلها / معالجتها وتخزينها. في الواقع ، نحن نتحدث عن مفهوم عدم التنصل ذاته عند إنشاء وإرسال واستقبال المعلومات التي تحدثنا عنها بالتفصيل في المقالة السابقة. يمكنك التعامل مع هذا التدبير من زوايا مختلفة. تتضمن تطبيقات بعض أنظمة DLP استخدام SZI و CPSI تجاري إضافي فقط لضمان "عدم التنصل". البعض الآخر يسمح لك باستخدام الميزات القياسية لنظام التشغيل. ضع في اعتبارك ما يمكنك الاعتماد عليه ، على سبيل المثال ، في قاعدة بيانات CentOS OS و PostgreSQL:

• تشفير وحدة التخزين حسب القطاعات المضمنة في جوهر نظام التشغيل DM_Crypt.
• تشفير قاعدة البيانات - وحدة pgcrypto (تشفير الجداول وخطوط قاعدة البيانات نفسها ، والتي تتيح ، من بين أمور أخرى ، بناء الحماية ضد المستخدمين المميزين ، بما في ذلك موظفو تكنولوجيا المعلومات).
• إنشاء اتصال آمن في الكتلة بين قاعدة البيانات "pg_hba.conf".
• حماية اتصال عميل الخادم - في الواقع ، TLS 1.2 وما فوق مطلوب.

على الرغم من حقيقة أن FSTEC لا ينظم استخدام وسائل الحماية المشفرة ، إلا أنه يُنصح باستخدام التشفير لحماية نظام المعلومات ووسائله وأنظمة الاتصالات ونقل البيانات (VMS) حتى لا يصبح نظام DLP نفسه في أيدي موظفي تكنولوجيا المعلومات الأكفاء تسرب معلومات الملكية. نظرًا لأن الأدوات المذكورة أعلاه هي مكونات لنظام التشغيل والبرامج ذات الصلة ، فإن المثال أعلاه ذو طبيعة خاصة. ومع ذلك ، في أي حال ، إذا لزم الأمر ، يمكنك دائمًا العثور على بديل مفتوح المصدر / مجاني للوسائل التجارية الحالية لحماية معلومات التشفير. ولكن هنا على الفور السؤال الذي يطرح نفسه هو التصديق على هذه الحلول ، وهذا موضوع لمحادثة منفصلة.

في مقالتنا التالية ، سنتحدث عن قابلية تطبيق أنظمة DLP الرئيسية في الوحدات المكونة لتوصيات معيار NIST US.