Pada 11 Februari 2014, FSTEC Rusia menyetujui dokumen metodologis "Tindakan Keamanan Informasi dalam Sistem Informasi Negara". Dokumen ini digunakan untuk "memilih dan mengimplementasikan, sehubungan dengan informasi yang tidak terkait dengan rahasia negara dan terkandung dalam sistem informasi negara (SIG), langkah-langkah perlindungan yang bertujuan untuk memastikan kerahasiaan, integritas dan aksesibilitas informasi". Regulator merekomendasikan penggunaan dokumen ini untuk melindungi informasi baik dalam sistem informasi GIS dan non-pemerintah, termasuk untuk memastikan keamanan data pribadi.
Dokumen tersebut menunjukkan langkah-langkah perlindungan informasi yang direkomendasikan dengan merujuk ke kelas sistem tertentu, misalnya, seperti alat otentikasi, antivirus, IDS / IPS, dll. Namun, regulator tidak secara langsung menunjukkan perlunya menggunakan sistem perlindungan data rahasia terhadap kebocoran (DLP). Namun, sistem ini memungkinkan memenuhi persyaratan seperti memastikan kerahasiaan, integritas informasi yang dikirim dari sistem informasi, merekam peristiwa keamanan, dll.
Jadi, di mana kita dapat menemukan titik persimpangan dua, pada pandangan pertama, fenomena paralel - regulator dan perlindungan kebocoran? Detail di bawah potongan.
Pertama, katakanlah beberapa kata tentang tujuan sistem DLP. Implementasi DLP memiliki tujuan dasar berikut:
- Pencegahan kebocoran informasi rahasia.
- Pengumpulan informasi tentang insiden dan pelanggaran untuk pembentukan bukti dalam kasus transfer kasus ke pengadilan.
- Menyimpan arsip tindakan pengguna dan analisis retrospektif untuk mengidentifikasi tanda-tanda penipuan.
Dari pengalaman bertahun-tahun, kami dapat mengatakan bahwa ada banyak tugas yang diselesaikan pelanggan menggunakan DLP, hingga yang tersempit dan paling spesifik. Kami akan meninggalkan mereka di luar ruang lingkup materi ini, di sini kami akan mempertimbangkan yang mendasar.
Terlepas dari kenyataan bahwa sistem DLP tidak wajib untuk penggunaan perlindungan informasi, produk-produk dari kelas ini mampu menyediakan fungsionalitas yang diperlukan untuk menerapkan sejumlah tindakan yang direkomendasikan oleh FSTEC dalam dokumen yang disebutkan di atas.
Integritas
Mari kita mulai dengan rekomendasi utama untuk memastikan integritas sistem informasi dan informasi (OTsL) yang diberikan dalam dokumen metodologis FSTEC tertanggal 11 Februari 2014.
"OTSL.5 - Kontrol konten informasi yang ditransmisikan dari sistem informasi ( wadah berdasarkan pada properti objek akses, dan konten berdasarkan pencarian informasi yang dilarang untuk ditransmisikan menggunakan tanda tangan, topeng dan metode lain), dan pengecualian transfer informasi ilegal dari sistem informasi ".
Langkah-langkah apa yang diusulkan oleh regulator untuk digunakan untuk mengontrol konten informasi, dan mana yang dapat diimplementasikan dengan menggunakan sistem perlindungan kebocoran?
Pemindahan informasi yang dilindungi secara ilegal . Deteksi fakta transfer ilegal dari informasi yang dilindungi dari sistem informasi melalui berbagai jenis koneksi jaringan, termasuk jaringan komunikasi publik dan tanggapan mereka.
Prosedur ini diimplementasikan menggunakan fungsi terbagi untuk dua komponen DLP, tergantung pada saluran komunikasi yang digunakan:
- Memeriksa informasi yang dikirimkan melalui protokol http / https untuk transfer ilegal data yang dilindungi dapat dilakukan dengan menggunakan alat-alat dari sistem kelas proxy web.
- Untuk menganalisis lalu lintas intranet saat mengirim data dari server proxy atau router, Anda dapat memantau transfer file dan pesan melalui protokol surat.
Rekaman ilegal di media yang dapat dilepas. Identifikasi fakta pencatatan ilegal informasi yang dilindungi pada media penyimpanan komputer yang dapat dilepas dan ditanggapi.
Agen DLP yang diinstal di workstation, di samping memantau tindakan pengguna, menganalisis konten file dan dapat memblokir upaya pengguna untuk menyalin ke USB atau mengirim dokumen rahasia untuk dicetak. Fakta bahwa drive USB terhubung dicatat pada agen, menurut hasil, spesialis keamanan informasi dapat mengubah kebijakan sistem DLP dengan memasukkan drive ini dalam daftar hitam atau putih.
Memantau penyimpanan informasi yang dilindungi di server dan workstation.
Identifikasi fakta penyimpanan informasi rahasia pada sumber daya jaringan bersama (folder bersama, sistem alur kerja, database, arsip surat dan sumber daya lainnya).
Langkah-langkah yang ditunjukkan dapat diimplementasikan menggunakan fungsionalitas pemindaian penyimpanan file, yang diimplementasikan dengan berbagai tingkat kecanggihan di semua sistem DLP canggih. Fungsi ini memungkinkan Anda untuk menginventarisir konten pada penyimpanan file / cloud dan hard drive lokal, dan arsip surat.
Penyimpanan file pindaian mengungkapkan data sensitif dan pelanggaran aturan penyimpanannya menggunakan mekanisme berikut (daftar dapat bervariasi tergantung pada sistem):
- Memindai node jaringan lokal, file publik dan penyimpanan cloud.
- Memindai server surat untuk menganalisis arsip email.
- Memindai arsip salinan bayangan.
- Aktif menangkal pelanggaran aturan untuk menyimpan data yang dilindungi (memindahkan informasi rahasia tidak sah ke penyimpanan karantina, menggantinya dengan file pemberitahuan, menyalin spesialis keamanan informasi ke stasiun kerja, dll.).
- Klasifikasi otomatis data perusahaan tergantung pada pengaturan kebijakan.
- Memantau penyebaran informasi di dalam perusahaan dan mengidentifikasi tempat penyimpanan data penting yang tidak konsisten.
Selain itu, persyaratan untuk memperkuat tindakan ini termasuk
memblokir transfer informasi dari IP dengan konten yang tidak pantas. Hampir semua sistem DLP memungkinkan Anda memenuhi persyaratan ini di berbagai saluran komunikasi - mulai dari pesan email hingga penyalinan ke drive USB.
Pencatatan Kejadian Keamanan
Blok penting kedua rekomendasi FSTEC tentang perlindungan informasi adalah
pendaftaran peristiwa keamanan - RSK. Tentu saja, sebelum memulai langkah-langkah ini, organisasi harus mengkategorikan semua aset informasi (sumber daya). Setelah itu, menjadi mungkin untuk melakukan langkah-langkah berikut:
Menentukan komposisi dan isi informasi tentang peristiwa keamanan yang akan direkam.
Pengumpulan, perekaman, dan penyimpanan informasi tentang acara keamanan selama waktu penyimpanan utama.
Memantau (melihat, menganalisis) hasil rekaman peristiwa keamanan dan meresponsnya.
Tidak semua solusi DLP dapat menampilkan fakta dan waktu otentikasi pengguna dalam sistem informasi, serta informasi tentang hak yang diberikan kepada pengguna. Tetapi kebanyakan dari mereka memungkinkan Anda untuk mengkonfigurasi larangan meluncurkan aplikasi tertentu dan mengontrol tindakan pengguna ketika bekerja di berbagai sistem informasi. Dalam sistem DLP canggih, sebagai suatu peraturan, suatu gradasi peristiwa yang diperluas dalam hal tingkat kekritisannya diimplementasikan, hingga tingkat 4-5. Sangat nyaman untuk membuat profil peristiwa, menghasilkan laporan, dan mengumpulkan statistik. Setelah menganalisis peristiwa ini, seorang spesialis keamanan informasi yang bekerja dengan sistem memutuskan apakah insiden keamanan informasi telah terjadi.
Dengan menyimpan semua peristiwa dalam basis data sistem DLP, saat memperbarui kebijakan, Anda dapat melakukan analisis dan investigasi retrospektif.
Perlindungan IP, sarana dan sistem komunikasi dan transmisi data
Mari kita kembali ke tujuan dasar yang dihadapi sistem DLP. Sebagai hasil dari pemikiran yang matang, menjadi jelas bahwa tidak hanya kemampuan untuk mengumpulkan dan mengkonsolidasikan berbagai jenis log adalah penting untuk pencapaiannya, tetapi juga perlindungan terhadap data yang terakumulasi selama pengiriman / pemrosesan dan penyimpanannya. Sebenarnya, kita berbicara tentang konsep non-repudiation ketika membuat, mengirim dan menerima informasi yang kita bicarakan
secara rinci
di artikel sebelumnya. Anda dapat mendekati ukuran ini dari sudut yang berbeda. Implementasi beberapa sistem DLP menyiratkan penggunaan hanya SZI komersial dan CPSI tambahan untuk memastikan "tidak ada penolakan". Yang lain memungkinkan Anda untuk menggunakan fitur standar sistem operasi. Pertimbangkan apa yang dapat Anda andalkan, misalnya, dalam database CentOS OS dan PostgreSQL:
- Enkripsi volume berdasarkan sektor yang dibangun ke dalam inti DM_Crypt OS.
- Enkripsi basis data - modul pgcrypto (enkripsi tabel dan garis basis data itu sendiri, yang memungkinkan, antara lain, membangun perlindungan terhadap pengguna yang memiliki hak istimewa, termasuk staf TI).
- Membuat koneksi aman di cluster antara database "pg_hba.conf".
- Perlindungan koneksi klien-server - pada kenyataannya, TLS 1.2 dan lebih tinggi diperlukan.
Terlepas dari kenyataan bahwa FSTEC tidak mengatur penggunaan cara perlindungan kriptografis, selain itu dipandang sebagai yang disarankan untuk menggunakan enkripsi untuk melindungi
sistem informasi, sarana dan sistem komunikasi dan transmisi data (VMS) sehingga sistem DLP itu sendiri tidak menjadi milik personel TI yang kompeten. kebocoran informasi hak milik. Karena alat di atas adalah komponen dari OS dan perangkat lunak terkait, contoh di atas bersifat pribadi. Namun, dalam hal apa pun, jika perlu, Anda selalu dapat menemukan sumber terbuka / alternatif gratis untuk sarana komersial perlindungan informasi kriptografi yang ada. Tetapi di sini segera muncul pertanyaan tentang sertifikasi solusi ini, dan ini adalah topik untuk percakapan terpisah.
Dalam artikel kami berikutnya, kami akan berbicara tentang penerapan sistem kunci DLP dalam modul komponen dengan rekomendasi dari standar NIST AS Amerika.