В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Покупая такой продукт, как DLP-системы, заказчик, как правило, сотрудник руководящего уровня в банке, рассчитывает на его полезные для бизнес-процесса свойства, именуемые обобщенно "защита информации от утечек". Собственно говоря, для этого и изобретаются такие продукты. Их производители, дистрибьюторы и инсталляторы гарантируют эффект от их внедрения. Казалось бы, что еще надо? Купил, поставил, пользуйся и благоденствуй!
Однако, вместе с означенным продуктом, решающим одну группу проблем, заказчик приобретает вместе с этим еще и целый ряд новых, которые он неизбежно должен будет решать. Об этом "информационщики" предпочитают не говорить в силу разных причин. А порой именно эти проблемы, порождаемые функционированием DLP-систем, если им не уделить должного внимания, сводят на нет все положительное и полезное, заложенное в этом продукте.
Позволю себе перечислить несколько таких проблем, объединив их, довольно условно, в группы.
DLP-система, по сути, - программа, или, как принято говорить, ПО. Покупая ее для нужд банка, компании, следует основательно подумать о том, как и насколько органично она впишется в инфраструктуру сети, как будет вести себя в сочетании с другими программными продуктами (а в банке они подчас бывают весьма оригинальными), кто будет работать с ней - IT-специалист или сотрудник службы безопасности. Не исключено, что для полного раскрытия потенциала этой программы потребуется дополнение в функционал имеющихся сотрудников или же новая штатная единица.
Еще перед покупкой и установкой DLP-системы важно определить стратегические позиции в отношении к безопасности в целом: иметь прописанную концепцию или политику безопасности, положение о коммерческой тайне. Лишь на основе этого можно правильно сформулировать запрос к производителю, поставщику DLP-системы, разработать своеобразное техническое задание, в котором будет отражена логика системы и ее основные параметры.
Готовясь к внедрению DLP-системы, надо произвести изменения в целом ряде документов: в штатном расписании, трудовых договорах, соглашениях о неразглашении конфиденциальной, служебной информации, различных подписках и обязательствах. Не останутся в стороне и юридические аспекты внедрения: правильное оформление документов и предвидение возможной претензионно-исковой работы по защите интересов заказчика.
Как воспринимается внедрение DLP-системы персоналом? Вопрос важен в плане общей безопасности. Попробую ответить на него, основываясь на опыте банков. Изначально реакция коллектива, если ее изучать социологическими методами, будет отрицательной. Непонимание важности наличия и функционирования такой системы, боязнь "попасться" и "засветиться", отказ от привычной свободы действий лежат в основе такой реакции.
По прошествии некоторого периода времени наряду с привыканием постепенно наступает период "забвения". Настороженность и напряженность постепенно уходят. Но на смену им приходит другое - острая реакция на напоминание о существовании и действии DLP-системы, фиксирующей инциденты нарушения сложившихся и контролируемых правил. Люди, привыкнув к установившемуся порядку, расслабляются и зачастую очень эмоционально реагируют на замечания о допущенных ими нарушениях.
Опыт учит заранее готовиться к тому, что процесс внедрения DLP-систем - не только информационный. Он касается корпоративной культуры, психологического климата в коллективе, а в конечном итоге производительности труда и общей (в предельном масштабе) безопасности бизнеса.
Невозможно внедрить DLP-систему без преобразований в кадровой сфере:
В целом и банковскому бизнесу, и любому другому приходится учитывать не только "рисковый" аспект внедрения DLP-систем, но и прочие, определяясь как выгоднее его выстроить: по принципу "режимного объекта" или раздольного "гуляй-поля". А тем, кто продвигает эти продукты, надо заранее готовиться к тому, что у заказчика могут возникнуть вопросы и проблемы, замалчивание которых приводит к общему недоверию и неприятию столь полезных для бизнеса решений.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013