Проект

Э.OН Россия (InfoWatch Traffic Monitor Enterprise)

Заказчики: Юнипро, ранее Э.ОН Россия (ЭОН Россия)

Москва; Энергетика

Подрядчики: Leta IT-company
Продукт: InfoWatch Traffic Monitor Enterprise (IWTM)

Дата проекта: 2011/09
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248

По словам главного специалиста по защите информации “Э.ОН России” Романа Попова, информационная безопасность является одним из высших приоритетов компании, поскольку она относится к предприятиям, имеющим стратегическое значение для экономики России. Особое внимание при этом уделяется защите персональных данных и информации, составляющей коммерческую тайну.

Практически сразу, после основания компании начался процесс объединения ИТ-инфраструктуры составляющих ее предприятий, создавались централизованные ИТ-сервисы и хранилища данных, в результате чего резко возросли межфилиальные потоки информации, одновременно шла подготовка к первичному размещению акций. В этот период служба безопасности (СБ) компании столкнулась с новыми для себя и более сложными задачами контроля распределенной корпоративной информационной системы, участники которой разнесены друг от друга на тысячи километров.

После того как главным акционером “Э.OН России” стала E.ON, кроме ранее действовавших национальных и внутрикорпоративных требований к ИБ возникла необходимость выполнять еще и международные. Несколько серьезных ИБ-инцидентов обострили потребность в создании системы, которая не только помогла бы контролировать информационные потоки, но и способствовала бы проведению юридически значимых расследований ИБ-инцидентов.

В качестве таковой СБ и ИТ-подразделение компании выбрали систему предотвращения утечек данных (DLP). Инициатором проекта и его руководителем со стороны заказчика стал г-н Попов. Среди представленных на российском рынке продуктов, по его оценкам, потребностям компании лучше всего соответствовал InfoWatch Traffic Monitor Enterprise.

Основными критериями выбора, определившими выбор именно этого продукта стала совокупность таких свойств, как наличие перехватчиков для широкого спектра каналов передачи данных (электронной почты, Интернета, съемных носителей, принтеров и т. д.), централизованная система управления ИБ-правилами, возможность анализа полученных данных сразу по всем контролируемым каналам и — самое главное — полнотекстового контентного анализа с поддержкой русской морфологии, в том числе и ретроспективного. Требование к доступности DLP-системы в распределенной ИТ-инфраструктуре заказчика сразу определило необходимость поддержки системой кластерной архитектуры и балансировки нагрузки.

К внедрению приступили в 2008 г. на фоне начавшейся ранее консолидации ИТ-активов. Полигоном для пилотного внедрения стала московская штаб-квартира компании, где работают почти три сотни сотрудников. Пилотный проект занял около месяца. От заказчика в нем участвовали руководитель проекта, сотрудник СБ и активно привлекался персонал ИТ-службы. Интегратор и вендор (LETA и InfoWatch соответственно) были представлены руководителями проекта и техническими специалистами (по одному с каждой стороны). Проект контролировался руководством “Э.OН России”. С момента покупки контрольного пакета акций ОГК-4 компанией E.ON работу систем ИБ стали регулярно инспектировать аудиторы из Европы.TAdviser Security 100: Крупнейшие ИБ-компании в России 58.3 т

Как сообщил директор по продажам компании InfoWatch Константин Левин, на пилотном этапе заказчик не ставил задачу проверки работоспособности системы в онлайновом режиме — в первую очередь ожидали результатов расследования ИБ-инцидентов, проверки нагрузки на DLP-систему, соответствия международным требованиям к прозрачности бизнес-процессов с позиции обеспечения ИБ и обслуживания системой хранилищ электронной переписки. По завершении пилотного проекта система была запущена в промышленную эксплуатацию, в первую очередь для контроля почтового трафика.

Основная специфика этого проекта, по словам г-на Попова, заключалась в том, что решение InfoWatch приходилось на ходу адаптировать под динамично меняющуюся инфраструктуру компании и перехватчики для других каналов (съемных носителей, мобильных устройств доступа, принтеров) интегрировались в систему по мере необходимости. Внедрение DLP помогло выявить такие каналы передачи данных, подлежащие контролю на утечки, которые раньше заказчиком не учитывались.

По оценкам г-на Левина, в организационном плане проект был непростым из-за настороженного отношения персонала заказчика не только к внешним исполнителям, но и к представителям собственных смежных подразделений в процессе выдачи требуемой для запуска DLP-системы информации. Из-за этого владельцы данных (их список пополняется до сих пор) выявлялись с большим трудом.

Первоочередными при внедрении были задачи категоризации данных и выявления владельцев, соответствующих категориям. В качестве побочного эффекта участники проекта отметили заметное снижение интернет-трафика: данные перестали передаваться по ненадлежащим адресам. Примерно полтора года внедрялась технологическая подложка, а затем приказами были введены процедуры расследования ИБ-инцидентов, связанных с распространением информации определенных категорий.

В настоящее время система активно развивается, но полноценно (по всем каналам) пока обслуживает только московский офис. Обновление системы, проведенное в 2011 году, сделало ее гораздо более легкой и эффективной в эксплуатации. В перспективе планируется подключение локальных ИТ-ресурсов, расположенных в других регионах страны.

Нынешнее состояние системы г-н Попов охарактеризовал так. Реализована интеграция с корпоративной службой каталогов. Действует подсистема отчетности, не требующая глубоких технических знаний, благодаря чему ею без технических посредников могут пользоваться и бизнес-заказчики. Внедрены модули обнаружения документов по цифровым отпечаткам и детектирования персональных данных. Задействован автоматизированный инструмент для создания базы контентной фильтрации. Все это, по его словам, упрощает использование системы и повышает ее эффективность, которая напрямую связана с тем, насколько аккуратно система работает с потоком информации, насколько точно исходящие документы категоризируются в автоматическом режиме. Важным показателем эффективности DLP-системы стало соответствие заказчика требованиям к ИБ со стороны национальных и зарубежных регуляторов.

Задача категоризации данных трудозатратна и, по оценкам г-на Попова, в ручном режиме практически невыполнима при том объеме документов, которым оперирует компания “Э.OН Россия”. Сегодня система решает её в автоматическом режиме на лету, что исключает влияние человеческого фактора. По словам г-на Попова, система “понимает” не только принадлежность документа к конкретной тематике (например, содержание в нём финансовой информации), но и к какой именно области относится текст (скажем, к бухгалтерской документации).

Сейчас систему обслуживает один ИТ-инженер, на которого возложена поддержка резервного копирования и взаимодействие с технической поддержкой InfoWatch. Один сотрудник СБ занимается подготовкой отчетов и актуализацией базы контентной фильтрации. Роман Попов отвечает за организацию расследований, инициируемых по регистрируемым системой инцидентам. Как сообщили участники проекта, за время эксплуатации системы с ее помощью проведен ряд внутренних расследований, в том числе и проактивных.

Нынешние результаты проекта заказчик оценивает как исключительно положительные. “Совместная работа с InfoWatch помогла нам понять, чтó именно является для нашей компании конфиденциальной информацией, и зафиксировать это понимание в наших организационно-распорядительных документах. Режим коммерческой тайны и контроль его соблюдения — вот те обязательные компоненты, без которых внедренная DLP-система превращается в неэффективный балласт, не позволяющий решать возлагаемые на нее задачи”, — констатировал г-н Попов.