(Статья написана и опубликована в 2014 году в журнале "Директор по безопасности" руководителем ООО "Инфо-Оберег" (именно поэтому она названа часть 1)).

Думаю, что данный вопрос, а именно контроль интернет трафика, рано или поздно встанет перед любой организацией.

Безусловно, задача не новая, но если раньше на первом месте стоял вопрос экономии денег и снижения нагрузки на локальную вычислительную сеть, путем уменьшения трафика, то сейчас акцент смещается в сторону эффективности сотрудников и вопросам информационной безопасности.

То есть в современном мире под контролем трафика следует понимать именно:

Контроль трафика в связи с его влиянием на сеть (посещение ресурсов, которое ведет к вирусному заражению сети, загрузки запрещенного программного обеспечения, регистрация на ресурсах, что в дальнейшем ведем к спаму и так далее);

Контроль трафика для ведения статистических наблюдений (наиболее популярные протоколы, общие объемы информации, наиболее популярные ресурсы, поиск работы и так далее);

Контроль трафика с точки зрения информационной безопасности («утечка» информации, нежелательное общение сотрудников с конкурентами и так далее);

И в последнюю очередь объем входящего и исходящего трафика сотрудников.

Многие, прочитав название статьи, скажут, что ведь есть DLP-системы, которые снимут все вопросы в данном направлении – не соглашусь.

Ведь если разбить те задачи, которые выполняет DLP-система и с коррелировать с тем, что Вам необходимо, то получится, что решить их (задачи) возможно штатными или более простыми способами.

DLP-систем мы коснемся чуть позже…

Итак, мы исходим из того, что уже мало кого заботит ширина канала, значит контролировать интернет трафик нам нужно с точки зрения контроля за работой сотрудников (их эффективностью) и информационной безопасности.

Если мы говорит об эффективности, то уверен, что у Вас нет такого инструмента в организации, который бы позволил бы Вам сказать кто более эффективен: сотрудник, который открывает только word,excel и монотонно выполняет свои задачи или тот, кто способен отвлечься от работы, пересмотрев интернет-магазины, новости и социальные сети и после этого плодотворно поработать.

А если Вы перекроете (блокируете каналы передачи, введете блоклисты и так далее) сотруднику этот канал расслабления? То, скорее всего, Ваш сотрудник перейдет на мобильные устройства и о контроле уже можно будет забыть. И, вообще, в данной статье мы говорим о контроле интернет трафика, а не о методах борьбы с ним.

Итак, какие советы можно дать по тем шагам, которые необходимо сделать в первую очередь:

Создайте комплекс мер, которые приведут к тому, что выход в сеть общего пользования «Интернет» возможен будет только через единую точку.

Что под этим понимать? У каждого пользователя настройте выход в «Интернет» через прокси-сервер и осуществите шаги, в том числе организационные, которые не позволят ему получать доступ через иные каналы.

Пытается подключить USB-модем или телефон? – отключите эту возможность.

Пытается удалить настройки прокси-сервера? – исключите эту возможность.

Продумайте вариант по доступу через беспроводные сети.

Когда Вы уже полностью перешли на доступ в сеть через единую точку настройте возможность мониторинга в виде статистики: какие каналы, какой объем трафика у пользователей, какие программы и так далее.

После первых двух этапов Вам уже легче будет понять какие протоколы Вы хотите контролировать, а какие легче закрыть и это не приведет к миграции на мобильные устройства. Например, из интернет-мессенджеров оставить открытым только Skype, а из социальных сетей только «ВКонтакте».

После чего можно продумать вопрос об установлении лимита на трафик, как входящий, так и исходящий.

И в любом случае Вам необходимо будет проводить работу с сотрудниками в области повышения осведомленности об угрозах в сети «Интернет», в том числе, об угрозах социальной инженерии.

Как я и обещал, вернемся к DLP-системам.

По моему мнению, DLP-система – представитель систем информационной безопасности, внедрение, которых необходимо осуществлять только в том случае, если Вы выполнили все базовые и средние уровни технической и организационной защиты.

Есть ли у Вас система антивирусной защиты? Если есть, то настроены ли агенты на местах, собираются ли отчеты, анализируются ли для дальнейшей работы? Даже если это есть, то регламентирован ли данные процесс или все это в голове одного из сотрудников?

Но допустим, Вы решили внедрить DLP-систему…

Знаете ли Вы, что контролировать? Разработаны ли документы, политики, знакомы ли Вы со спецификой работы каждого структурного подразделения? Хорошо, если Вы некий закрытый завод и за периметр не должны уйти схемы определенного формата, а если (как правило) это финансовые документы, то по каждому отправленному документы формата excel Вы побежите за консультацией к финансовой службе?

Меньшее из зол, когда Вы выбрали недорогую DLP-систему, которую можете администрировать самостоятельно, но если это не так, да к тому же, Ваш выбор приведет к дальнейшему недешевому приобретению обновлений, технической поддержки (что уже открывает канал утечки информации), необходимости дозакупки системного программного обеспечения? И все это без тщательных разработанных документов, отсутствия сотрудников и ряда других проблем?

Если Вы знаете ответы на все эти вопросы, то я Вам завидую.

Какие советы я бы дал, если Вы хотите выбрать DLP-систему для контроля интернет-трафика Вашей организации:

Блокировать или контролировать.

Если Вы хотите блокировать трафик, то, думаю, что после того, как Вы перейдете к единой точке выхода в сеть «Интернет» Вам вовсе и не нужна DLP-система.

Хотите блокировать интернет-мессенджеры – это возможно без DLP.

Хотите оставить интернет-мессенджеры, но закрыть передачу файлов – это возможно без DLP.

Четко знаете, файлы, какого формата нужно блокировать – это возможно без DLP.

Может быть, у Вас есть какая-то секретная формула или инновационный состав какого-то материала, ноу-хау?

Так что Вы хотите блокировать именно средствами DLP-системы?

Или Вы хотите контролировать?

Ремарка:

проведите эксперимент: закройте «ВКонтакте» и наблюдайте, будут ли сотрудники заходить в данную социальную сеть в рабочее время. Скорее всего, Вы увидите, что Ваши сотрудники заходят на свою страницу со своего мобильного устройства.

«Зеркалирование» трафика или агентская часть.

Зеркалирование трафика подразумевает под собой отсутствие информации о шифрованных протоколах, то есть Вы не получите информацию ни по Skype, ни по HTTPS (то есть любая web-почта) и так далее.

Фактически развертывание DLP-системы даст Вам чуть больше преимуществ, чем анализ логов прокси-сервера, когда Вы осуществите все рекомендации начального уровня.

Установка агента позволит Вам помимо шифрованного трафика, получать информацию об активности рабочего стола, используемых программах, usb-носителях, контроль печати и так далее.

Наличие сертификата ФСТЭК.

Многие производители сертифицируют (ФСТЭК) свои продукты, но сертифицируют, версию 3.0, например, а продают 4.0 и так далее.

И еще более интерес момент, по моему мнению: закон №152 призван защищать свободы граждан (конституция РФ), DLP система, которая эти свободы несколько затрагивает, пытается претендовать на системы защиты персональных данных.

Но здесь, как говорил герой книги Айзека Азимова: «Бластер -  штука хорошая, но направить его можно в любую сторону!».

Фактов первоначальной стоимости и стоимости владения.

В данном пункте необходима чистая математика.

Сколько стоит DLP-система?

Сколько стоит внедрение DLP-системы?

Сколько стоит продление и техническая поддержка на 2 и 3 год?

Необходима ли покупка системных программ? (СУБД, операционная система и так далее).

Использует ли DLP-система платные или бесплатные СУБД?

Требования к аппаратной части системы?

Возможно ли внедрение и поддержка системы собственными силами, даже без обращения к IT-службам Вашей организации?

Если, например, система требует знание альтернативных операционных систем, то, Вы заранее готовы обречь себя на техническую поддержку?

Фактор простоты и способности по поддержанию работы собственными силами службы информационной безопасности.

Возможно ли, чтобы систему поддерживала, настраивала и обслуживала именно служба информационной безопасности Вашей организации?

В конце хочу сказать, что подход в любой организации он уникален с одной стороны, а с другой есть ряд шагов, от которых не уйти, чтобы построить эффективную систему контроля трафика, которая будет взаимосвязана с другими системами информационной безопасности.