Контакты
Подписка
МЕНЮ
Контакты
Подписка

Что заказчики ожидают от DLP-систем?

Что заказчики ожидают от DLP-систем?

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Что заказчики ожидают от DLP-систем?

Защита от утечек данных (DLP) является одним из самостоятельных направлений в области информационной безопасности, которое можно найти в портфеле ряда ведущих мировых ИБ-вендоров. Но на российском рынке DLP продолжают доминировать отечественные производители. Редакция журнала “Информационная безопасность/Information Security" узнала у ведущих российских компаний, что ожидают заказчики от DLP-систем и что ожидает тех, кто еще не внедрил защиту от утечек у себя на предприятии.

  1. Многие компании сегодня имеют удаленные/мобильные офисы, но не во всех компаниях внедрена система DLP. Что угрожает в этом случае компании?
  2. Меняются ли требования заказчиков к DLP-системам с возникновением новых видов атак?
  3. На что необходимо обратить внимание заказчику при выборе DLP-системы?
  4. Какие еще решения, на ваш взгляд, необходимы для повышения эффективности управления доступом к информационным ресурсам?
Галина
Рябова

Руководитель аналитического отдела компании Solar Security

1. Мы не видим тут каких-либо специфичных рисков, связанных с удаленной работой или работой в мобильном офисе. Все корпоративные информационные потоки должны идти по зашифрованным каналам (VPN) через информационные системы компании и проходить через DLP, стоящую на шлюзе. Такое построение корпоративных потоков через DLP-системы делает риски утечки (или компрометации) информации уровня business-critical одинаковыми для стационарных, мобильных и удаленных рабочих мест. Другое дело, что на данный момент многие компании пренебрегают этим риском и не внедряют специфичные решения (такие как MDM или BYOD), которые позволяют лучше контролировать действия сотрудников. Но, тем не менее, почтовый трафик всегда идет через DLP, если он, конечно, есть.

2. Нет, явных требований по защите от APT наши заказчики к DLP-системам не выдвигают. DLP-системы контролируют потоки информации внутри компании, выход информации за ее периметр, а также штатные легитимные потоки данных извне.

Напрямую DLP-система для защиты от хакерских атак не предназначена, но, тем не менее, может существенно помочь как в предотвращении, так и в расследовании соответствующих инцидентов. Также средства DLP хороши для предотвращения социальной инженерии. И отдельно хочется отметить, что многие заказчики сегодня выдвигают требования по интеграции DLP с SIEM.

3. Следует отталкиваться от назначения DLP-системы. Если цель – предотвращение нелегитимной передачи информации, нужны такие возможности, как контроль каналов передачи информации, оперативная настройка правил такого контроля и активное противодействие на каждом канале.

Для проведения расследований инцидентов безопасности на большую глубину нужен архив коммуникаций, позволяющий хранить значительные объемы информации. Если плечо расследования – несколько лет (а в нашей практике встречалось и более 10 лет), то немаловажным фактором становятся скорость и простота подключения к оперативному архиву секций, переданных на долговременное хранение. Ну и самое важное – возможность и удобство поиска по действительно большому архиву, автоматизация создания контекстных поисковых запросов.

За любым нарушением всегда стоит человек. Поэтому важно, чтобы система предоставляла консолидированную информацию по сотрудникам на основании накопленных данных об их коммуникациях – так называемый профиль поведения сотрудника: статистика по нарушениям, контактам, по используемым каналам коммуникаций. Следующим шагом является возможность детектирования аномалий поведения.

Константин
Челушкин

Технический консультант, Symantec

1. Ответ очевиден – это утечка данных и отсутствие эффективного контроля над информацией. Хочу заметить, что при наличии ЦОДа удаленные и мобильные офисы не являются причиной, по которой компании вынуждены отказываться от внедрения DLP.

2. DLP-системы не являются специальными средствами борьбы с изощренными атаками. Требования же к DLP-системам меняются с появлением новых сред управления информацией (мобильные офисы и облачные информационные системы) или новых процессов (необходимость групповой обработки DLP-инцидентов).

3. Если компании уже понятны стоящие перед DLP-системой задачи, то при прочих равных необходимо обратить внимание на возможности интеграции с другими существующими или планируемыми к развертыванию системами.

4. Ключом для повышения эффективности управления доступом к информации является система единого входа (SSO). Интеграция SSO-системы с системами двухфакторной аутентификации (2FA) и инфраструктуры публичных ключей (PKI) позволяет одновременно повысить и удобство пользователей, и информационную безопасность.

DLP глазами заказчика
Виктор
Жерновой

Заместитель начальника ОИБУпОБ, ВЭБ Лизинг

– Чем вы руководствовались при выборе DLP-системы?
– Основное влияние на выбор оказала простота архитектуры и мощный поисковый семантический движок. Хорошо работать – значит работать на упреждение. А "предвидение" инцидентов возможно, если работать с коллективом, выявлять намерения людей. Чаще всего подобную информацию можно почерпнуть, анализируя их переписку. Но чтобы DLP-система могла производить данную операцию автоматически, она должна обладать мощным аналитическим модулем.

– Какой вы видите идеальную DLP-систему в ближайшие пять лет?
– Идеальная DLP должна иметь возможность интеграции с существующими бизнес-системами в плане упрощения расследований инцидентов, их оформления и ведения архива/досье по инцидентам (копии документов, приказов, докладных и объяснительных). Интересной возможностью представляется умение DLP самообучаться. То есть если на какие-то сработки политики поиска никакой реакции со стороны сотрудников безопасности не последовало, возможно, следует напомнить им о ней. Или, к примеру, если имеет место большое количество ложноположительных результатов, следует предложить варианты для корректировки настроек этой политики.

– Какие еще решения, на ваш взгляд, необходимы для повышения эффективности управления доступом к информационным ресурсам?
– Вопрос эффективного управления доступом к ИР не сильно связан с DLP, но данная связь есть. Об эффективности можно говорить, если решены две задачи: раздача и контроль действующих прав. Причем желательно в связке с бизнес-системой ЭДО, в которой проходят согласование заявки на доступ к ресурсам. Такое решение должно в обязательном порядке иметь возможность оповещения уполномоченных сотрудников об изменении действующих прав на ИР, особенно если изменение не санкционировано. Собственно, используемая нами DLP-система уже движется в этом направлении. В частности, она способна автоматически выявлять подозрительные действия в Active Directory, как то: попытка подбора пароля к учетной записи, включение учетной записи в критически важную группу и т.п.

Владимир
Ульянов

Руководитель аналитического центра Zecurion

1. Проблема обеспечения безопасности данных мобильных сотрудников действительно стоит остро. Главные угрозы при этом:

  • утеря носителей с информацией;
  • возможность целенаправленного или случайного слива информации;
  • бесконтрольность распространения конфиденциальной информации.

2. Безусловно. Сегодня компании хотят получить действительно комплексную систему, которая решит проблему утечки информации, а не просто будет контролировать какие-то каналы передачи. Главным признаком комплексного решения является способность DLP-системы предотвратить утечку на всех этапах ее обращения в корпоративной среде:

  • во время хранения (для этого необходим функционал шифрования);
  • при обработке (для этого нужны локальные агенты);
  • при передаче, в т.ч. за пределы сети (для этого нужно решение на шлюзе сети).

3. Ключевые требования, которые заказчики предъявляют к DLP-системам:

  • контроль всех потенциальных каналов и источников утечки: сетевых (электронная почта, Web-почта, HTTP-трафик, IM-сервисы и др.), локальных (USB-устройства, устройства с другими типами интерфейса и беспроводным подключением), хранилищ информации (ПК, ноутбуки, оптические диски, магнитные ленты и др.);
  • набор технологий, используемых для анализа информации (это и цифровые отпечатки, и самообучающиеся технологии, и SVM, SmartID, ImagePrints, и мн.др. – многие заказчики требуют гибридного анализа, когда используется несколько технологий детектирования одновременно);
  • наличие режимов блокировки и мониторинга (также заказчики интересуются возможностью смешанного режима работы, когда блокируются только наиболее явные нарушения политик ИБ, а другие требуют дополнительной проверки для минимизации ошибок);
  • наличие архива и инструментов для его анализа (для расследования инцидентов, анализа действий пользователей, соответствия требований нормативных актов, сохранения теневых копий критически важных файлов и т.д.);
  • комфортное управление (желательно всеми модулями DLP из одной консоли, а не каждым продуктом по отдельности);
  • развитая система отчетности (для демонстрации результатов работы DLP).


4. Управление доступом – это все же другой класс решений. Хотя функции шифрования данных, встроенные в некоторые DLP-системы, действительно позволяют повысить эффективность управления доступом. К примеру, принудительное шифрование конфиденциальных файлов, копируемых на флешку, не позволит третьим лицам получить к ним доступ в случае кражи или утери. Доступ к данным можно будет получить лишь с компьютера, который находится под контролем DLP-системы.

Рустэм
Хайретдинов

CEO компании Appercut Security

1. Все зависит от того, имеет ли компания возможность контролировать свою инфраструктуру в этих офисах. Ситуация осложняется тем, что удаленные сотрудники и административно контролируются хуже, чем сотрудники в офисе, поэтому имеют не только бесконтрольный доступ к информации, но и полную свободу контактов. То есть отдавая корпоративную информацию на неконтролируемое мобильное устройство, можно мысленно с ней попрощаться: то, что ты не контролируешь, тебе не принадлежит.

2. Многие расследованные атаки последних лет показывают, что сами атаки стали сложнее, и отбить их с помощью одного технического средства невозможно. В современных атаках используются не только инсайдеры (мотивированные или ставшие жертвами социальной инженерии), но и специально написанные троянские программы, DDoS-атаки и иногда даже панические "вбросы" в соцсети. Поэтому DLP, работающее по типу "документы, похожие на вот этот, за пределы компании не выпускать" уже не работает – требуется учитывать не только сам контент, но и формальные атрибуты сообщения (кто, когда, каким каналом, откуда, куда), а также события в других системах безопасности, учет изменения профиля поведения пользователей в корпоративной сети и соцсетях и другие решения.

3. Прежде всего надо четко сформулировать задачу, а не пытаться купить какое-то решение и подстраиваться под него. Классическое "хочу защититься от утечек" уже не описывает задачу. Необходимо задать себе десятки вопросов, которые помогут сегментировать нечеткую и не решаемую в общем виде задачу на несколько решаемых и с хорошей точностью.

Всеволод
Иванов

Исполнительный директор компании InfoWatch

1. Эта ситуация принципиально ничем не отличается от положения любой компании, где нет DLP. Невозможно контролировать действия сотрудников, кто и кому пересылает конфиденциальную информацию. Таким образом, компания просто оказывается беззащитной перед внутренними угрозами – от кражи ценной информации и шпионажа в пользу конкурентов до мошенничества, коррупции и пр.

2. Требования, конечно, меняются, но в их основе лежит желание компании решать бизнес-задачи, а не просто предотвращать утечки информации. Например, сотрудники договариваются о мошенничестве, прямом воровстве денег у компании. Где здесь утечка? А нет утечки – нет и реакции со стороны DLP-систем. Поэтому сейчас мы ощущаем спрос на решения с расширенной функциональностью, способной выявлять и противостоять целому комплексу внутренних угроз.

3. Есть несколько важных моментов. Во-первых, хотя все вендоры заявляют о наличии определенного набора технологий в продукте, сравнение "по галочкам" – это лукавство. Надо смотреть, на каком уровне реализована каждая технология, проводить тестирование. Двигатель внутреннего сгорания тоже есть в каждой машине, но Ferrari, тем не менее, едет ощутимо лучше "Жигулей".

Далее, при внедрении системы по защите от внутренних угроз очень важно правильно настроить решение, иначе весь проект теряет смысл. Готов ли вендор оказывать серьезную поддержку на этом этапе, или все сложности лягут на плечи заказчика?

Дмитрий
Потемкин

Главный архитектор компании “Андэк"

1. Удаленные филиалы и подразделения компании в случае наличия самостоятельного выхода в Интернет требуют абсолютно такой же защиты от утечек данных, что и штаб-квартира компании, с архитектурной поправкой на меньший масштаб. Также они всегда требуют такой же защиты от утечек при использовании сотрудниками съемных носителей, при выводе данных на печать и т.п.

Что касается мобильных офисов, то использование сотрудниками нестационарных рабочих мест сильно усложняет задачу контроля утечек. Здесь уже, кроме классической защиты с помощью агента DLP, установленного на конечной точке, может возникнуть необходимость использовать средства организации виртуальной доверенной рабочей среды, которая будет отделена от операционной системы.

2. Вопрос утечки данных на самом деле мало пересекается с "хакерством". Большая часть утечек (по некоторой статистике – более 90%) является следствием непреднамеренной или непрофессионально злонамеренной передачи данных наружу, а не целенаправленной атакой.

К сожалению, DLP-системы на практике мало полезны в защите от продуманных целенаправленных атак. Для борьбы с атаками такого рода компания должна использовать решения по предотвращению вторжений.

3. В первую очередь заказчику стоит обратить внимание на спектр поддерживаемых DLP-системой каналов утечки данных. Понять, а позволяет ли выбранная система без использования сторонних средств максимально охватить такие каналы, как выход в Интернет, электронную почту, ПО мгновенных сообщений, реализовать контроль съемных устройств, печати и обнаружение запрещенной информации на сетевых ресурсах и рабочих станциях. Насколько легко все компоненты системы могут быть встроены в текущую инфраструктуру. Разобраться, насколько функциональным является агент DLP, устанавливаемый на рабочие станции пользователей и позволяет ли он обеспечить необходимый уровень контроля в автономном режиме, т.е. за пределами сети организации.

Очень важной с точки зрения развития и сопровождения системы DLP является гибкость политики обнаружения утечек. Т.е. позволяет ли система писать многоуровневые правила и новые шаблоны, и какие способы идентификации информации используются (типы файлов, ключевые слова, цифровые отпечатки файлов и таблиц БД, сличения с шаблоном документа, оптическое распознавание, метки документов и прочее).

Также в российских реалиях стоит обратить внимание на поддержку русского языка и различных кодировок текста в системе DLP, что до сих пор иногда бывает неожиданной проблемой.

DLP глазами заказчика
Андрей
Ерин

Директор Департамента информационной безопасности ООО “Каркаде"

– Чем вы руководствовались при выборе DLP-системы?
– Мы несколько месяцев тестировали 4 системы DLP от российских разработчиков. В ходе тестирования приходило понимание, какие именно свойства DLP нам необходимы. Эти свойства мы вносили в сравнительную таблицу, и к окончанию тестирования у нас было около 60 сравнительных параметров, по которым и был выбран победитель. Нужно отметить, что два финалиста теста были достаточно близки по своим характеристикам. Но окончательный выбор был сделан в пользу решения, с которым мы начали пилотный проект на пару месяцев раньше и который успели лучше освоить.

– За счет чего можно оптимизировать процесс внедрения DLP-системы и как оценить эффект от внедрения и срок окупаемости проекта?
– В пилотном проекте сначала необходимо провести категорирование информации на небольшом, но критичном подразделении. К тому моменту, когда DLP начнет контролировать хотя бы несколько каналов утечки, должно быть понимание, какую конкретно информацию мы будем "ловить". Первый же выявленный реальный инцидент утечки даст "волшебный пендель" всему проекту.

Эффективность внедрения напрямую зависит от стоимости конфиденциальной информации и количества утечек в конкретной компании. Напрямую измерить эту стоимость практически невозможно, поэтому у себя мы провели экспертную оценку с привлечением экспертов из других департаментов. Стоимость сохраненной информации за год, по мнению экспертов, превысила затраты на DLP в 30 раз, включая зарплату участников проекта. Конечно, руководство компании не поверило в эти впечатляющие цифры и графики. Но т.к. в основе цифр лежало стороннее мнение, то отношение к DLP все равно заметно улучшилось после доклада об экономической эффективности.

– Какой вы видите идеальную DLP-систему в ближайшие пять лет?
– Идеальная DLP система – это система, интегрированная с другими СЗИ. Самый эффективный обход DLP осуществляется методом фотографирования с экрана. Поэтому необходимо контролировать и нетипичное поведение пользователей при просмотре информации, а не только вывод информации за периметр.

Михаил
Аношин

Руководитель направления DLP Центра информационной безопасности компании “Инфосистемы Джет"

1. Обычно компании с "удаленными офисами" ограничиваются созданием защищенного VPN-соединения и, как максимум, внедрением MDM-системы. Задачу контроля перемещения информации это не решает. Пользователи беспрепятственно скачивают информацию, в том числе конфиденциальную, и могут свободно перемещать ее дальше: отправлять по личной почте, копировать на съемные устройства, скачивать на личные смартфоны и т.д. Для обеспечения должного уровня контроля с сохранением степени комфорта стоит внедрить DLP на рабочие станции – сотрудники будут иметь удаленный доступ к информации с устройств, контролируемых специальной системой. Агенты DLP работают и без подключения к корпоративной сети, тем самым осуществляя непрерывный контроль перемещения информации и своевременное выявление инцидентов.

2. Мы наблюдаем за появлением новых типов утечек и новых портретов нарушителей. Если раньше утечки по большей части были случайными и по неосторожности, то сейчас все чаще встречается умышленное воровство информации, запланированный инсайд. В роли нарушителя могут выступать целые группы сотрудников по сговору. В связи с этим требования заказчиков к DLP все больше стали разворачиваться в сторону экономической безопасности – фактически, помимо классического контроля утечек информации заказчики ожидают от системы выявления мошенничества. Это накладывает отпечаток не столько на сам продукт, сколько на работы интегратора по его правильной настройке и последующему расширенному сопровождению системы.

3. В современных реалиях стоит пристальнее присматриваться к решениям отечественных производителей – они уже адаптировали свои продукты под задачи местного заказчика (и готовы продолжить этот процесс).

Если говорить о технической стороне продуктов, то здесь стоит уделить пристальное внимание не сухому описанию возможностей (они сейчас более или менее одинаковы у всех ведущих игроков рынка), а качеству их реализации. Выбранную систему офицер ИБ будет эксплуатировать ежедневно, поэтому она должна быть ему удобна – быстро и надежно выявлять подозрительные события, удобно предоставлять информацию об обнаруженных инцидентах. Параллельно с этим стоит разумно оценить потребность в конкретных модулях системы, чтобы и бюджет первого этапа проекта был "подъемным", и после внедрения хватило рук на использование системы. Показав результаты работы первого этапа, будет проще объяснять целесообразность дальнейшего развития и поддержки системы. Кстати, сервисное сопровождение системы – тоже важный аспект. Стоит уделить внимание ведущим вендорам и интеграторам, которые поддерживают большое количество инсталляций.

4. DLP хорошо сочетается с SIEM-системами – расширяется спектр контролируемых инцидентов, появляется корреляция событий. BI-системы позволяют сделать использование DLP более прозрачным и дают возможность наглядного представления результатов контроля утечек, в том числе для других потенциальных потребителей результатов работы системы (HR, служба экономической безопасности, топ-менеджмент). Причем функционал BI позволяет получить любой уровень детализации отображаемого события (вплоть до его открытия в интерфейсе DLP буквально парой кликов мыши).

Комментарий эксперта
Илья
Мальцев

Руководитель отдела информационной безопасности торгового портала “Фабрикант"

– Чем вы руководствовались при выборе DLP-системы?
– Для нас важнейшими критериями были наличие сертификатов и лицензий ФСТЭК России, контролируемые каналы передачи информации, модульность системы (возможность приобрести модули только для контроля актуальных каналов утечки информации), цена (стоимость владения).

– За счет чего можно оптимизировать процесс внедрения DLP-системы и как оценить эффект от внедрения и срок окупаемости проекта?
– При внедрении DLP-системы необходимо прежде всего оптимизировать бизнес-процессы компании, сократив перечень актуальных каналов утечки информации. Оценить эффект от внедрения можно с самого начала: снижаются риски потери важной информации, повышается эффективность деятельности работающего персонала, выявляются нелояльные сотрудники.

– Какой вы видите идеальную DLP-систему в ближайшие пять лет?
– Идеальная DLP-система должна быть высокоавтоматизированной и легкой в управлении, содержать механизмы самообучения и самоконтроля. Проще говоря, быть не столько инструментом в руках офицера ИБ, сколько его помощником.

– Какие еще решения, на ваш взгляд, необходимы для повышения эффективности управления доступом к информационным ресурсам?
– В современных компаниях работают сотни, а порой и тысячи сотрудников, к тому же с течением времени это количество меняется. Происходят постоянные перемещения сотрудников по карьерной лестнице внутри компании. В связи с этим современная система управления доступом к информационным ресурсам не может быть эффективной без внедрения таких решений, как Identity Management, Single Sign-On, Privileged Access Management и SIEM.

Евгений
Шемчук

Инженер ООО “НТЦ “Вулкан"

1. В этом случае можно говорить о том, что в компании существуют риски, связанные с утечкой информации, и "точкой утечки" могут выступать как раз удаленные/мобильные офисы, т.к. в них зачастую отсутствуют выделенные специалисты по защите информации и уровень контроля ниже, чем "в центре".

Утечка информации, в свою очередь, может привести к таким негативным последствиям, как материальный и/или репутационный ущерб, упущенная выгода, судебные разбирательства и т.д., в масштабах уже всей компании. Поэтому компании необходимо оценить в денежном эквиваленте возможные перспективные негативные последствия в случае утечки данных и принять решение о целесообразности внедрения DLP.

2. Конечно. Заказчик заинтересован в наиболее современных DLP-решениях, отвечающих всем текущим реалиям. Иначе применение DLP станет лишь пустой финансовой тратой.

3. При выборе DLP-систем, кроме стоимости, заказчику также необходимо обратить внимание на функциональность решения, а именно: охватываемые каналы контроля/перехвата; перечень поддерживаемых операционных систем агентами DLP; на каких каналах решение может реально производить блокировку передачи данных, в т.ч. с учетом контента.

Если говорить о последнем, то большинство отечественных производителей DLP-решений могут гарантировать блокировку по контенту лишь по HTTP- и SMTP-каналам, чего может оказаться недостаточно.

Также немаловажным критерием в выборе DLP является простота внедрения и еще больше – возможности самостоятельного сопровождения данной системы, если бюджет на подобную услугу ограничен.

4. Первостепенно для повышения эффективности управления доступом к информационным ресурсам я бы отметил наличие не технических решений, а выстроенных процессов и процедур в рамках управления доступом (Access Control). Это связано с тем, что именно от их качества будет зависеть эффективность работы любого технического решения, начиная от штатно встроенного в ОС Microsoft DAC (Dynamic Access Control) и до лидеров квадранта Gartner.


Комментарий эксперта
Александр
Хрусталев

Директор департамента информационной безопасности ОАО МГТС

– Чем вы руководствовались при выборе DLP-системы?
– МГТС, как и другие компании, при выборе DLP отталкивается от задач, которые предполагается решать после внедрения системы. Сегодня на рынке DLP-решений конкуренция довольно высока, что заставляет участников включать в продукты помимо стандартного функционала по предотвращению утечек конфиденциальной информации дополнительные возможности, от кейлоггера и записи микрофона до модуля контроля учета рабочего времени. Также стоит обратить внимание на вопрос инсталляции DLP-системы. В начале необходимо определиться: решение внедряется как инструмент обнаружения инцидентов, для последующего проведения служебных проверок и расследований, либо же необходима возможность автоматического предотвращения утечки конфиденциальной информации. Последнюю задачу решают не все DLP-системы, плюс она требует на этапе внедрения системы более кропотливой работы в части настройки правил определения конфиденциальной информации, а также быстрого реагирования службы информационной безопасности на инциденты с блокировкой легитимной информации. Кроме того, в России традиционно с опаской относятся к установке подобных систем "вразрез", становится необходимой проработка вопроса отказоустойчивости решения, что влечет за собой повышение стоимости проекта.

Крайне важно на этапе внедрения решения провести гибкую настройку правил с учетом специфики бизнеса компании. Для этого необходимо наличие в штате вендора команды профессиональных аналитиков, а также подробное описание данных работ в техническом задании. Если этим пренебречь, система превратится в "помойку", куда попадает огромное количество ложных отработок, на разбор которых администраторы тратят большое количество времени, а конфиденциальная информация покидает пределы организации. К сожалению, DLP – это не та система, которая "из коробки" дает высокую эффективность. МГТС при выборе поставщика DPL-решения уделила большое внимание возможности провести быструю интеграцию с уже используемыми системами ИТ и ИБ, поскольку гибкость решения в интеграции значительно упрощает жизнь администраторам как на этапе внедрения, так и при обслуживании системы.

Не стоит также забывать про требования внешних регуляторов в части лицензирования и сертификации. Для компаний из государственного и финансовых секторов, медицинских учреждений существуют определенные требования регуляторов (ФСТЭК, ЦБ и т.п.), которые обязаны выполняться, и DLP-решения должны иметь соответствующие сертификаты.

– За счет чего можно оптимизировать процесс внедрения DLP-системы и как оценить эффект от внедрения и срок окупаемости проекта?
– Вопрос экономического обоснования внедрения систем ИБ актуален всегда. Не являются исключением и DLP-системы. Срок окупаемости от приобретения решения данного класса определить сложно, т.к. дохода от использования системы в прямом понимании нет (если, конечно, речь не идет об использовании DLP в рамках сервиса "Безопасность как услуга"), есть так называемый предотвращенный ущерб, для расчета которого не существует единой формулы. Однако оперировать этой величиной необходимо, т.к. с ее помощью можно продемонстрировать руководству компании и экономическую выгоду от установки DLP-решения.

При этом важно понимать, что эффектом от внедрения DLP-системы является не столько увеличение количества расследований ИБ и материальная выгода, полученная от взыскания штрафов с сотрудников, сколько возросший уровень осведомленности персонала компании в вопросах информационной безопасности, что в дальнейшем значительно сокращает количество утечек конфиденциальной информации. Именно это дает наибольший эффект от успешного внедрения DLP-системы в организации, ведь по статистике1 доля случайных утечек в 2014 г. составляет 49,7%.

Затрагивая вопрос оптимизации, необходимо пояснить, что единого подхода к лицензированию у вендоров нет. Кто-то лицензирует рабочие места, кто-то каналы передачи данных, а кто-то – закупленные модули системы. Впрочем, в последнее время чаще всего используется совмещенный подход к лицензированию. Поэтому, как уже говорилось ранее, самое главное – понимать, для решения каких задач внедряется DLP. Это позволяет избежать закупки модулей, которые реализуют ненужный для компании функционал, установки агентов на ПК, где конфиденциальная информация не обрабатывается, и т.п. При этом лучше, если решение будет максимально гибким с точки зрения масштабируемости, т.к. в современных реалиях неактуальный сегодня функционал может стать совершенно необходимым через пару лет, это особенно критично для DLP-систем.

– Какой вы видите идеальную DLP-систему в ближайшие пять лет?
– DLP-система прежде всего должна быть современной, учитывать все актуальные направления индустрии ИТ, такие как облачные хранилища, Big Data, развитие мобильных платформ. Идеальная DLP-система имеет широкие возможности для интеграции как с системами ИТ, так и ИБ, например SIEM, MDM. Инструменты анализа идеальной DLP учитывают специфику документов РФ и отдельных отраслей, актуальных для нашей страны. Помимо этого имеется широкий функционал, доступный уже "из коробки", а также инструментарий самообучения, за счет чего количество ложных срабатываний стремится к нулю. Наверное, учитывая политическую ситуацию в мире и принятый многими компаниями курс на импортозамещение, в ближайшие годы повышенный интерес будет к отечественным игрокам рынка DLP.

На данный момент большим недостатком многих DLP-решений является их громоздкость. Консоли, а у некоторых вендоров их несколько, съедающие большое количество оперативной памяти на ПК администратора, сложные механизмы построения отчетов, непонятные по своей логике принципы написания правил и политик должны остаться в прошлом. Широкие функциональные возможности и интуитивно понятный интерфейс, быстрота работы и гибкий инструментарий фильтрации – все это сочетается в идеальной DLP-системе.

Конечно, как и всего идеального, такой DLP-системы не существует. Однако данный класс систем ИБ в настоящий момент очень динамично развивается, к этому подстегивает производителей высокая конкуренция на рынке.

– Какие еще решения, на ваш взгляд, необходимы для повышения эффективности управления доступом к информационным ресурсам?
Хорошей профилактикой повышения эффективности управления и контроля доступа является внешний аудит, который позволяет выявить все недочеты в действующем подходе к управлению доступом, а также получить рекомендации по дальнейшему развитию системы управления.

___________________________________________
1 по данным Аналитического центра компании InfoWatch

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2015
Посещений: 7486

Приобрести этот номер или подписаться
  Автор

Галина Рябова

Галина Рябова

Руководитель аналитического отдела компании Solar Security

Всего статей:  1

  Автор

Константин Челушкин

Константин Челушкин

Технический консультант, Symantec

Всего статей:  2

  Автор

Виктор Жерновой

Виктор Жерновой

Заместитель начальника ОИБУпОБ, ВЭБ Лизинг

Всего статей:  1

  Автор

Владимир Ульянов

Владимир Ульянов

Руководитель аналитического центра Perimetrix

Всего статей:  13

  Автор

Рустем Хайретдинов

Рустем Хайретдинов

Заместитель генерального директора компании InfoWatch

Всего статей:  9

  Автор

Всеволод Иванов

Всеволод Иванов

Исполнительный директор компании InfoWatch

Всего статей:  3

  Автор

Дмитрий Потемкин

Дмитрий Потемкин

Главный архитектор компании “Андэк"

Всего статей:  1

  Автор

Андрей Ерин

Андрей Ерин

начальник отдела информационной безопасности Банка24.ру

Всего статей:  2

  Автор

Михаил Аношин

Михаил Аношин

Менеджер по развитию бизнеса компании “Инфосистемы Джет"

Всего статей:  4

  Автор

Илья Мальцев

Илья Мальцев

Руководитель отдела информационной безопасности торгового портала “Фабрикант"

Всего статей:  1

  Автор

Евгений Шемчук

Евгений Шемчук

Инженер ООО “НТЦ “Вулкан"

Всего статей:  2

  Автор

Александр Хрусталев

Александр Хрусталев

Директор департамента информационной безопасности ОАО МГТС

Всего статей:  2

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций