Советы по выбору DLP-систем

Советы по выбору DLP-систем
StaffCop
Советы по выбору DLP-систем

Советы по выбору DLP-системы

DLP-системы предназначены для предотвращения утечек вовне, а также представляют собой комплексы (программные и программно-аппаратные) для такого предотвращения утечек. Для чего они нужны и как выбрать подходящую?

Промышленный шпионаж (кража технологий и методов работы компаний, списков потенциальных или текущих клиентов, финансовой информации) развился настолько, что трудно назвать компанию (из тех, которые занимают ключевое положение на рынках, да и компаний малого и среднего бизнеса с большими оборотами), которая не подвергалась попыткам промышленного шпионажа. Наиболее ярким случаем в новейшей истории, приведшим к серьёзным политическим последствиям, можно считать попытку хищения сведений в области космической электроники у компаний IBM и Texas Instru-ments специалистами французской компании Schneider Electric, что вызвало грандиозный межправительственный скандал между США и Францией, и привело к тому, что президент Франции Шарль де Голль потребовал от США обмена всех наличных долларов, имевшихся на тот момент в распоряжении Французского банка, на золото (1965 год). Промышленный шпионаж в политике (известный как Уотергейтский скандал) привёл к отставке президента США Ричарда Никсона.

Предотвращение утечек информации является ключевым для любой компании. Существующие мифы о промышленном шпионаже (например, «Наша компания — слишком небольшая, чтобы стать целью промышленного шпионажа», «Утечка данных — не причина для банкротства», «Достаточно защищать только цифровую информацию — и мы гарантированы от утечек») — увы, всего лишь мифы. Примеров, когда целью промышленной разведки становились не транснациональные корпорации, а предприятия малого и среднего бизнеса, и когда утечка информации приводила к потерям многомиллионных контрактов и последующему банкротству компании из-за утраты репутации — достаточно.

В текущих реалиях руководству компаний приходится решать не вопрос «Нужна нам DLP-система?!», а вопросы «Какую из DLP-систем, представленных на рынке, выбрать? Какая конфигурация её нам нужна? Сколько денег мы должны потратить. Ниже приводятся пункты алгоритма, которые позволят руководству компаний и специалистам по информационной безопасности оценить работоспособность, а главное — целесообразность выбора DLP-системы, которая будет оптимальной для вашей компании. Всегда полезно сделать это перед тем, как планируется потратить деньги, чтобы не тратить их впустую.

1. Проведите аудит ваших информационных систем.

Всех — как систем обработки электронной информации (документооборот, электронные письма, 1С и т. д.), так и обычной, бумажной документации. Создайте графическую схему документооборота компании, если у вас её ещё нет до сих пор. Определите, какие документы являются конфиденциальными, введите режим соблюдения коммерческой тайны и конфиденциальной информации. Распределите имеющуюся информацию по категориям: решите, что подлежит особой охране, какая информация будет иметь гриф «для служебного пользования», а какая может располагаться в открытом доступе. Не забудьте о действующем законодательстве (в частности, о Законе об обработке персональных данных — 152-ФЗ, так как персональные данные в отделе кадров и бухгалтерии обрабатывают ВСЕ компании), документооборот вашей компании должен полностью ему соответствовать. Определите круг пользователей, которые могут работать с различными категориями информации. Допустим, что какие-то области деятельности вашей компании переданы на аутсорсинг — не забудьте и об этом.

Если ваши ИТ-менеджеры и специалисты по документообороту не могут провести такой аудит — закажите его в фирме, специализирующейся на подобных аудитах. Внешний аудит объективно покажет, какие проблемы информационной безопасности имеются (или могут возникнуть, даже гипотетически) в вашей компании. Да, подобный аудит далеко не бесплатен, но поверьте — эти деньги окупятся, да и объём вложений в этом случае гораздо меньше, чем те потери, которые ваша компания может понести.

2. По результатам аудита необходимо определиться, какие наиболее актуальные задачи нужно решить «здесь и сейчас».

Нужно подумать о будущем — о перспективных планах, но это делается позже — уже на основании опыта решения важнейших задач. Решите проблемы, которые актуальны для вашей компании в настоящий момент. Аудит зафиксировал, что в базы данных вносятся непонятные изменения? Рассматривайте систему с мониторингом приложений, работающих с базами. Обнаружено, что клиенты стали уходить к конкурентам, и есть подозрения, что менеджеры передают информацию? Выделите в группу риска клиент-менеджеров и выбирайте систему, которая бы контролировала работу пользователей со средствами коммуникации — мессенджерами, электронной почтой и т. д. Примените известное медицинское правило — «Сначала необходимо купировать боль, после этого будем лечить пациента».

3. Примерно оцените, какую информацию и насколько подробно вы хотите собирать.

Сколько критичных групп пользователей и рабочих станций отметил аудит?

4. Решите, сколько вы готовы потратить на «железо» (сервер и инфраструктура для его функционирования) и программное обеспечение.

Готовы ли вы тратить средства на доработку системы под ваши нужды, если это понадобится?

5. По результатам аудита и выделения актуальных задач, представляя себе объёмы имеющегося финансирования, определитесь, какие системы удовлетворяют вашим требованиям.

Пообщайтесь с менеджерами по продажам поставщиков DLP-систем, выбранных вами, уточните, готовы ли поставщики провести пилотные проекты по внедрению, а также доработать DLP-систему «под вас», если это окажется необходимым. Уточните, для каких операционных систем есть решения в выбранной вами DLP-системе: если ваши пользователи работают в нескольких операционных системах (Microsoft Windows, Linux, macOS, Android, iOS — обычно это актуально для компаний, использующих мобильные решения) — убедитесь, что у поставщика есть решения для ВСЕХ операционных систем, используемых вами. В противном случае вам придётся совмещать несколько разных DLP-систем, а это неблагодарная и не всегда решаемая в полном объёме задача!

Запросите коммерческие предложения от поставщиков, системы которых удовлетворяют вашим требованиям в наибольших объёмах.

6. Изучите имеющуюся в открытом доступе справочную информацию по системам, коммерческие предложения по которым вы получили.

Иногда бывает так, что разработчик DLP-системы не отвечает на запрос коммерческого предложения, считая, что внедрение DLP-системы в вашей компании будет слишком затруднительным. Не тратьте своё время на общение с такими поставщиками — если даже вы и приобретёте именно эту систему, будьте уверены, что внимания разработчик, как и его техподдержка, вам уделять практически не будет!

Разберитесь с уровнем технической поддержки (он обязательно должен быть указан в коммерческом предложении) — включена ли она вообще в стоимость лицензии, платная она или бесплатная, каково время реакции на возникшую проблему в работе DLP-системы.

Оцените требования к оборудованию для рассматриваемых систем. Не факт, что самая «нетребовательная» к оборудованию система будет наиболее эффективной в вашем случае, может быть, что «нетребовательность» достигнута за счёт резкого уменьшения возможностей системы.

7. Оцените масштабируемость и перспективность предложенных вам решений.

Если вам понадобится расширить число контролируемых пользователей, рабочих станций, операционных систем или ресурсов, не выйдете ли вы на границу возможностей системы? Если для каких-либо DLP-решений такая возможность хотя бы призрачно, но просматривается — лучше от этого решения отказаться.

Внимательно изучите систему генерации отчётов выбранных вами систем. Рассматривать к внедрению следует ту DLP-систему, которая имеет т.н. «открытый» комплекс генерации отчётов, который позволяет не только изменять имеющиеся отчёты, но и добавлять новые.

Следует внимательно изучить принципы выхода обновлений системы. Насколько часто разработчик выпускает обновления системы, и являются ли обновления в период действия лицензии на программное обеспечение бесплатными? Если нет (каждое обновление требует обновлять лицензию за отдельную плату) — то от такого решения лучше отказаться, потому что обновления, как правило, вносят новый полезный функционал в систему и исправляют обнаруженные.

Наконец, вы выбрали поставщика своей DLP-системы. Наступило время пилотного проекта. Вами уже были определены ранее группы риска, за которыми надо наблюдать в первую очередь (в п.п.1 и 2). Теперь совместно со специалистами служб внедрения и технической поддержки поставщика разработайте на основе стандартных политик и настроек выбранной системы политики, настройки и отчёты, ориентированные именно на ваш проект.

Существует два подхода к организации пилотного проекта (реально, конечно, их больше, но фактически почему-то применяются именно эти два). Первый условно называется «максимальным» и олицетворяет подход к идеальному внедрению со стороны пользователя. При таком подходе системе сразу даётся максимальная нагрузка (далеко не факт, что ваша инфраструктура и серверное оборудование выдержат такое), грубо говоря, мы сразу хотим контролировать всё и вся. Второй условно называется «минимальным» и олицетворяет подход к идеальному внедрению со стороны разработчика. Этот подход ещё можно назвать «ну лишь бы хоть что-то заработало»: у DLP-системы включается минимум возможностей, заказчику показывается, что система работоспособна, и дальше начинаются совместные эксперименты по включению разных возможностей по перехвату информации — заработает или мощности ресурсов рабочих станций и сервера недостаточно?!

Истина, как всегда, лежит где-то посередине: необходимо заранее, перед пилотным проектом, определиться, какие возможности системы вам реально нужны «вот сегодня, вот сейчас», и именно их надо и будет включать и тестировать.

8. В ходе реализации пилотного проекта необходимо в полном объёме протестировать систему генерации отчётов.

Насколько легко модифицируются под ваши задачи стандартные отчёты системы? Насколько быстро они формируются? Можно ли оперативно создавать новые отчёты и генерировать их по собранным ранее данным? Очень часто бывает, что созданные новые отчёты требуют нового сбора данных.

9.Необходимо уделить отдельное внимание системе оповещения об инцидентах и недопустимой деятельности.

Насколько оперативно система оповещения реагирует на события и какую информацию о событии она предоставляет?

В ходе реализации пилотного проекта необходимо оценить эффективность инструментов ведения расследований инцидентов. Насколько они гибки и позволяют ли они быстро получить дополнительную информацию в удобном для анализа виде?

Вывод

Случается, и довольно часто, что пилотный проект приводит к полной «неудаче» — DLP-система либо не работает так, как хочется заказчику, либо не удовлетворяет его запросы. Не стоит считать это полным провалом: неудачно завершённый пилотный проект — полностью отрицательный (да и то не всегда) результат только для разработчика. Для заказчика проваленный пилотный проект — не повод отказываться от внедрения DLP-системы вообще: может быть, имеет смысл пересмотреть то, что сделано на этапах ДО начала пилотного проекта, поскольку были допущены какие-то ошибки, после чего стоит провести повторный пилотный проект, но уже с другой системой? Два, а иногда даже три пилотных проекта по внедрению таких сложных комплексов, которым является DLP-система — это не нечто из ряда вон выходящее, а вариант нормы. Выбор должен быть осознанным и полностью аргументированным!


Основский Юрий,
Специалист технической поддержки StaffCop