10.4. В части обеспечения необходимой и достаточной автоматизации процессов мониторинга и контроля потенциальных каналов утечки информации организации БС РФ рекомендуются:
– реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа передаваемой (переносимой) информации для следующих информационных потоков и потенциальных каналов утечки информации:
- передача информации конфиденциального характера на внешние адреса электронной почты;
- передача информации конфиденциального характера в сеть Интернет, в том числе с использованием информационной инфраструктуры организации БС РФ;
- печать информации конфиденциального характера;
- копирование информации конфиденциального характера на переносные носители информации;
– реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа информации:
- на границе контролируемой информационной инфраструктуры организации БС РФ;
- на средствах вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ, имеющих непосредственный доступ к сети Интернет;
- на средствах вычислительной техники, предназначенных для обработки информации конфиденциального характера, используемых для ее печати;
- на средствах вычислительной техники с разблокированными портами ввода (вывода) информации, позволяющими осуществить копирование информации на переносные носители информации;
- осуществляемого с использованием технологии цифрового отпечатка документа и технологии нахождения ключевых слов;
– применение централизованного управления техническими средствами блокирования и (или) протоколирования передачи информации на основе ее контентного анализа, предусматривающего:
- централизованное установление политик контентного анализа, правил блокирования и протоколирования передачи информации;
- обеспечение выполнений функций блокирования и (или) протоколирования в режиме “offline” в условиях отсутствия постоянного сетевого взаимодействия с серверами управления;
- централизованный сбор протоколов работы технических средств, связанных с выполнением функций по блокированию и (или) протоколированию передачи информации;
– реализация для процесса мониторинга, контроля, блокирования использования сервисов электронной почты при передаче информации на внешние адреса электронной почты:
- контентного анализа передаваемой информации по протоколам исходящего почтового обмена;
- ведение единого архива электронных сообщений с архивным доступом на срок не менее 1 года и оперативным доступом на срок не менее 3 месяцев;
- ограничений на перечень протоколов сетевого взаимодействия, используемых для осуществления передачи сообщений электронной почты;
- ограничений на перечень форматов файлов данных, разрешенных к передаче в качестве вложений в сообщения электронной почты, и ограничения на размеры передаваемых файлов данных;
– реализация для процесса мониторинга, контроля, блокирования использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации БС РФ, удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет, а также мониторинга публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетей и форумов:
- контентного анализа передаваемой информации;
- автоматической классификации ресурсов сети Интернет с целью блокировки доступа к сайтам или типам сайтов, запрещенных к использованию в соответствии с установленными правилами;
- ограничений на перечень протоколов сетевого взаимодействия и сетевых портов, используемых при осуществлении взаимодействия с сетью Интернет;
- мониторинга общедоступных ресурсов сети Интернет с целью выявления публикации информации конфиденциального характера и (или) использования сервисов мониторинга общедоступных ресурсов сети Интернет, предоставляемых сторонними организациями;
- сбор протоколов сеансов удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет;
- сбор протоколов работы технических средств информационной инфраструктуры организации БС РФ, обеспечивающих функционирование беспроводных сетей;
– реализация для процесса мониторинга, контроля, блокирования копирования информации на переносные носители информации:
- контентного анализа информации, копируемой на отчуждаемые носители информации;
- блокирование не разрешенных к использованию портов ввода-вывода информации;
- блокирование возможности использования незарегистрированных (не разрешенных к использованию) переносных носителей информации;
– реализация для процесса мониторинга и контроля печати и (или) копирование информации на бумажных носителях: • контентного анализа информации, передаваемой на печать;
- протоколирование фактов отправки информации на печать;
- использования специализированных многофункциональных устройств печати с возможностью получения результатов выполнения задания на печать по паролю и (или) персональной карточке доступа;
– реализация для процесса контроля (блокирования) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ:
- шифрования информации конфиденциального характера на съемных и переносных носителях информации;
- обеспечения технической невозможности использования съемных и переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
– реализация для процесса блокирования возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации БС РФ:
- шифрование информации конфиденциального характера на средствах вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ;
- централизованное управление и мониторинг использования средств вычислительной техники (мобильных устройств) с применением подсистемы централизованного управления и мониторинга мобильных устройств (Mobile Device Management, MDM), реализующей: возможность удаленного уничтожения информации конфиденциального характера; уничтожение данных при попытках удаления программных компонентов MDM, уничтожение данных после ряда последовательных неудачных попыток аутентификации на мобильном устройстве;
– реализация в рамках процесса мониторинга и анализа действий возможных внутренних нарушителей автоматического выполнения правил фильтрации, агрегации и корреляции событий ИБ, связанных с указанными действиями, свидетельствующих о наличии приготовления к реализации утечки информации, в том числе:
- нетипичных действий возможных внутренних нарушителей;
- действий возможных внутренних нарушителей, направленных на доступ к определенной (конкретной) информации конфиденциального характера;
- действий возможных внутренних нарушителей по копированию на переносные носители информации или передаче с использованием сервисов электронной почты значительного объема информации конфиденциального характера.
