DeviceLock DLPкак инструмент выполнения некоторых требований стандарта СТО БР

Например, в готовящемся стандарте Банка России по информационной безопасности некредитных финансовых организаций СТО БР ИБНФО есть такое требование – обеспечить "защиту от НСД и НРД, управление доступом и регистрацией всех действий в АС НФО РФ". Кроме того, это требование предполагает не только управление доступом, что обеспечивает, как правило, сама автоматизированная система, но и регистрацию всех действий пользователей, что сложно сделать в рамках прикладной системы или приложения. Для этого нужно использовать специальное дополнительное средство мониторинга всех действий пользователя, его обращений к файловой системе и использование сетевого взаимодействия.

Мониторинг

Именно этим занимается решение компании SmartLine с названием DeviceLock DLP Suite. Это модульное решение, которое состоит из следующих компонентов:

• DeviceLock Base. Это базовый компонент, который реализует все функции централизованного управления и администрирования другими компонентами комплекса, а также сбор данных в центральное хранилище. Этот компонент является базовым и требует установки на каждое рабочее место собственного агента. Центральный сервер обеспечивает сбор данных с агентов, событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и другие мобильные устройства, а также канал печати документов на локальные и сетевые принтеры. При этом ядро сохраняет сведения о контексте взаимодействия и имеет необходимый набор механизмов контекстного контроля доступа пользователей, который минимизирует ложные срабатывания.

• NetworkLock. Этот компонент обеспечивает контекстный контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов, детектирование коммуникационных приложений и их выборочную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных.

• ContentLock. Модуль реализует механизмы контентного анализа, циркулирует в компании информации и фильтрации файлов и данных, передаваемых с/на сменные носители, и в каналах сетевых коммуникаций – Web-почте и социальных сетях, службах мгновенных сообщений, файловом обмене по протоколам FTP и FTP-SSL и др. Кроме того, технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы снизить количество ложных срабатываний для эффективного решения задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа.

• DeviceLock Discovery. Компонент проводит сканирование рабочих станций и корпоративных сетевых ресурсов и на основании заданных политик обнаруживает документы и файлы с критическим содержимым, осуществляет различные опциональные действия с обнаруженными документами, а также может инициировать процедуры управления инцидентами, направляя тревожные оповещения в реальном режиме времени, если конфиденциальная информация обнаружилась в неположенном месте.

• DeviceLock Search Server (DLSS). Он обеспечивает полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования Device-Lock. Сервер DLSS позволяет значительно снизить трудозат-ратность и повысить эффективность процессов аудита и расследования инцидентов информационной безопасности, связанных с утечками информации, их криминалистического анализа и сбора доказательной базы.

В целом же DeviceLock DLP Suite сильно расширяет возможности контроля администратора за действиями пользователей. Если встроенные правила доступа для приложений и платформ ограничены только ими, то средства контроля модуля ContentLock позволяют устанавливать сложные правила контроля доступа и регистрации событий.

Обычно операционные системы и базы данных не контролируют контент действий пользователя, в то время как правила DeviceLock позволяют сотрудникам отдела ИБ пользоваться не только стационарными правами доступа, но и так называемыми контентно-зависимы-ми правилами. Это позволяет добиться с помощью DeviceLock высочайшего уровня детализации в контроле устройств и сетевых протоколов, которого невозможно достигнуть стандартными средствами групповых политик Windows. Причем обеспечивается он с помощью интерфейса, прозрачно интегрируемого в редактор групповых политик Windows Group Policy Editor, что позволяет легко управлять контролем доступа в больших корпоративных сетях.

Теневое копирование

Отдельно стоит упомянуть о такой функции DeviceLock, как теневое копирование с возможностью анализа накопленных данных с помощью DLSS. Этот функционал позволяет не просто фиксировать действия пользователей в системе, что может делать и система Syslog, но также передавать на центральный сервер информацию, с которой работал пользователь и которую он попытался вынести из компании с помощью накопителя или в виде бумажной копии. Эти данные также собираются в хранилище и могут быть в дальнейшем проанализированы с помощью DLSS.

Таким образом, DeviceLock является уникальным инструментом для удовлетворения требований Центрального банка РФ и других регуляторов. При этом он является модульным продуктом, что позволяет постепенно наращивать функциональность защиты по мере необходимости.

Обязательным компонентом является только само ядро DeviceLock Base, к которому в любой момент можно добавить модули сетевого мониторинга NetworkLock, контент-анализа ContentLock, поиска мест хранения конфиденциальной информации DeviceLock Discovery и сервера анализа теневых копий и системных записей DeviceLock Search Server. Модульный подход позволяет постепенно наращивать функциональные возможности DLP-системы DeviceLock DLP Suite.

СМАРТ ЛАЙН ИНК, АО
107140 Москва,
1-й Красносельский пер., 3, пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru