ИТ-портал компании «Инфосистемы Джет»

DLP как пазл, который должен сложиться

DLP как пазл, который должен сложиться


О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

J.I.: Давно ли используется в корпорации система DLP? Что послужило мотивом к ее внедрению?

А. Ф.: Первая версия решения появилась у нас почти 10 лет назад. Хотя тогда оно еще не было DLP-системой (тема DLP в ту пору вообще не поднималась), это было средство контроля контента почтового трафика. В процессе развития решения, выхода новых версий, подключения дополнительных модулей оно превратилось в ядро нашей системы DLP, которая позволяет анализировать и контролировать различные виды трафика с единой консоли и с использованием единых политик. Сейчас весь трафик, который может содержать какую-либо конфиденциальную информацию, контролируется DLP-системой.

Наша система DLP в ее нынешнем виде – результат многолетней работы. Безопасность складывается из множества элементов – как пазл. Думаю, мы близки к тому, чтобы в корпорации этот пазл сложился.

J.I.: Как принимается решение о внедрении того или иного модуля, функционала? Вы как-то оцениваете точки риска?

А. Ф.: Конечно, мы понимаем существующие угрозы и риски, знаем, где у нас есть слабые места. Исходя из этого решаем, что нам больше всего нужно в данный момент.

К теории риск-менеджмента мы не прибегаем, а принимаем решения на основании внутренней экспертизы в организации. Наши работники хорошо ориентируются и в своей области деятельности, и в делах компании в целом. Они понимают, что важно для компании и какой участок нуждается в контроле.

J.I.: Каков алгоритм работы с DLP-системой? Получают ли какие-то оповещения рядовые пользователи, или это инструмент исключительно для руководителей?

А. Ф.: Оповещения о событиях система выдает в режиме онлайн специалистам по безопасности. Дополнительно уведомления дублируются на рабочие станции нескольких руководителей, поскольку компетенций одного человека зачастую недостаточно, чтобы рассмотреть их все. Каждое событие анализируется, и если выясняется, что это заслуживающий внимания инцидент, он эскалируется руководителю более высокого уровня для принятия дальнейших управленческих решений. Есть и такие, которые заслуживают полноценного служебного расследования и серьезных мер дисциплинарного воздействия.

В целях предотвращения случайных утечек информации в действия работника внесены элементы осознанности – он должен подтвердить, что хочет сделать именно это. Если система подозревает попытку отправить конфиденциальную информацию, она задерживает письмо и сообщает об этом работнику.

Работа системы дает реальные результаты, многие неприятные ситуации нам удалось предотвратить.

J.I.: Вы сказали, что безопасность в компании – это пазл, который должен сложиться. Значит должна существовать интеграция между подсистемами безопасности – элементами «пазла». С какими информационными системами интегрируется DLP?

А. Ф.: В корпорации используется широкий набор средств безопасности, каждое из них – самостоятельный продукт со своим функционалом, своей консолью управления и системой отчетности. Агрегировать текущую информацию из всех систем, чтобы построить оперативный отчет вручную – трудоемкая задача. Для этого мы создали специализированную BI-систему, одним из источников которой является DLP-система. BI-система используется как агрегирующая среда контроля состояния элементов информационной безопасности.

Таким образом мы получаем наглядную картину состояния безопасности в корпорации. Для высшего руководства разработан специальный интерфейс, отображающий общий уровень безопасности в целом по организации. Система находится в постоянном развитии, каждый новый инструмент обеспечения безопасности будет в обязательном порядке интегрироваться с ней.

J.I.: Кто пользуется этой системой в корпорации? Это только ваш департамент?

А. Ф.: Созданная модель пока охватывает только вопросы безопасности. Однако в системе предусмотрен мандатный доступ к информации, и мы предполагаем предоставить ее и ИТ-специалистам – в части, касающейся их области ответственности. Учитывая, что система агрегирует информацию от СКУД корпорации, планируется открыть ее для руководства отдела кадров, а в перспективе, думаю, доступ к информации BI-системы получат и руководители подразделений корпорации, которые смогут лучше контролировать своих работников.

J.I.: Как, на основании чего вы оцениваете эффективность работы средств безопасности, в частности системы DLP? Существуют ли какие-то критерии?

А. Ф.: BI-система как раз и выполняет эту функцию. Мы провели большую аналитическую работу и ранжировали вклады источников данных в итоговый уровень безопасности. Так была создана система KPI, которая нашла свое отражение в интерфейсе BI-системы.

J.I.: Какого функционала DLP вам не хватает, что хотелось бы получить от разработчиков?

А. Ф.: Большие потоки информации ежедневно вливаются в корпоративную сеть и снижают уровень ее защищенности. В связи с этим было бы уместно контролировать информацию по контексту и типам приложений.

Разработчикам DLP-систем стоит уделить больше внимание различным механизмам контроля форм представления информации. Например, один и тот же документ можно отправить либо в текстовом формате, либо в виде скана pdf или jpg – и все это должно одинаково хорошо контролироваться.

Сейчас попытки контролировать отправку картинок приводят к большому количеству ложных срабатываний. Зачастую система не может отличить снимок домашнего питомца в графическом файле от скриншота чертежа. Похожая проблема возникает с отслеживанием рассылки официальных писем организации. Официальный бланк – это картинка. Подписывать письмо на официальном бланке уполномочен ограниченный круг руководителей. Если письмо подписывает другое лицо – это должностное нарушение, мы должны это отслеживать и пресекать. Но сделать это проблематично. Модуль цифровых отпечатков в своем нынешнем виде тут слабый помощник.

Нередко в подписи электронных писем и в «подвалы» текстовых документов автоматически вставляется дисклеймер, сообщающий, что письмо может содержать конфиденциальную информацию. Содержимое письма или вложения таковой не содержит, но DLP-система все равно реагирует на такие письма, опять же порождая множество ложных срабатываний. Как научить систему правильно реагировать на такие письма, пока не ясно.

J.I.: Замечаний довольно много…

А. Ф.: Скорее пожеланий. В целом мы DLP-системой довольны, в сочетании со всей «обвязкой» она доказала свою эффективность и результативность. Единственное неудобство – большое количество «ручного труда» по анализу ее уведомлений. Обойтись без него пока не получается. Хотелось бы, чтобы DLP-система стала более интеллектуальной и могла взять на себя еще большую долю первичного анализа информации.

J.I.: Была ли у вас практика юридического использования результатов работы DLP? Позволяют ли настройки политик учитывать требования законодательства?

А. Ф.: В корпорации проводится работа по каждому инциденту. Результатом ее является нахождение виновного и принятие решения о мерах дисциплинарного воздействия. До суда дело ни разу не доходило, но увольнения были.

Режим коммерческой тайны в корпорации установлен. Разработан ряд нормативных документов, которыми мы руководствуемся в работе со средствами DLP.

Если говорить об отношениях с другими компаниями, то со всеми, с кем мы работаем, имеется соглашение о неразглашении (Non-Disclosure Agreement, NDA), и мы следим, чтобы информация, которой мы с ними обмениваемся, обрабатывалась по условиям этого соглашения.

J.I.: Алексей, большое спасибо за беседу!

Вернуться к содержанию выпуска
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su