ИТ-портал компании «Инфосистемы Джет»

В главной роли – DLP

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и количество выявляемых в компаниях инцидентов, успевают ли технологии за изобретательностью современных нарушителей. Эти и другие аспекты жизни DLP-решений в компаниях мы обсудили с Анатолием Скородумовым, заместителем директора, начальником отдела информационной безопасности Банка «Санкт-Петербург», и Константином Коротневым, менеджером по информационной безопасности компании «Эльдорадо».


Анатолий Скородумов,
заместитель директора, начальник отдела информационной безопасности Банка «Санкт-Петербург»


Константин Коротнев,
менеджер по информационной безопасности компании «Эльдорадо»

J.I.: Коллеги, как выстроен процесс работы с DLP-системой в вашей компании, какие подразделения в нем участвуют?

Анатолий Скородумов: DLP в нашей организации применяется в режиме Prevention, поэтому «используют» DLP-систему все подразделения банка. Любому сотруднику может прийти уведомление, что он выполняет определенные действия, которые нарушают существующую политику информационной безопасности организации. Дополнительно соответствующая информация будет направлена его руководителю.

Константин Коротнев: DLP-система контролирует передачу информации. В случае обнаружения попыток несанкционированной передачи конфиденциальных данных генерируется инцидент ИБ и происходит оповещение заинтересованных сотрудников. Впоследствии инцидент расследуется и в отношении нарушителей политики ИБ применятся дисциплинарные меры.

J.I.: С какими системами интегрировано DLP-решение в вашей компании, есть ли среди них специфические, отраслевые системы?

Константин Коротнев: DLP интегрировано с системой сбора информации о событиях Splunk. Это позволяет, используя язык поисковых запросов, коррелировать события, генерируемые различными средствами защиты, и осуществлять необходимую при расследовании инцидентов ИБ выборку.

Анатолий Скородумов: Для «понимания» структуры организации система DLP интегрирована с MS AD. Необходимости интеграции DLP с бизнес-приложениями на данный момент мы не видим.

J.I.: Каким образом в вашей компании измеряется эффективность DLP-решения?

Константин Коротнев: У нас внедрена система управления ИБ, сертифицированная на соответствие международному стандарту ISO 27001:2013. Для каждого процесса управления ИБ определены KPI, на основании которых оценивается его эффективность. При оценке экономической эффективности той или иной системы ИБ производится сравнение денежного выражения рисков ИБ, которые снижаются с ее помощью, с затратами на ее приобретение и эксплуатацию.

Анатолий Скородумов: Эффективность DLP-решения оценить достаточно сложно. У руководства банка есть понимание, что утечка данных несет в себе серьезные финансовые и репутационные риски и применение средств защиты от утечек необходимо. Доверие клиентов бесценно, и банк прилагает серьезные усилия и тратит значительные ресурсы для его сохранения.

J.I.: Существует ли у вас практика юридического использования результатов работы DLP-системы? Если да, с какими трудностями вы сталкивались на этом пути?

Константин Коротнев: Практика юридического использования имеет место. В большинстве случаев сотрудники признают наличие инцидента и нарушение политики ИБ, конструктивно воспринимая применяемые к ним меры.

Анатолий Скородумов: На данный момент у нас в организации такая практика отсутствует.

J.I.: Изменились ли типы и количество инцидентов в связи с экономическим кризисом?

Константин Коротнев: Мы не зафиксировали значительного изменения количества инцидентов.

Анатолий Скородумов: Я бы не сказал, что в связи с экономическим кризисом что-то кардинально изменилось. Последние годы наблюдается устойчивый тренд увеличения количества инцидентов и их разнообразия, который, видимо, сохранится в ближайшее время.

J.I.: Практикуется ли у вас обучение бизнес-пользователей этике информационной безопасности?

Анатолий Скородумов: Да, в банке действует политика повышения осведомленности сотрудников по вопросам ИБ. Для этого применяется практически весь спектр возможных методов, вплоть до разработки специализированных flash-игр по теме ИБ. Что касается DLP-системы, ее использование в режиме Prevention, на наш взгляд, несет в себе серьезный потенциал по выработке у сотрудников правильных навыков работы с информацией.

Константин Коротнев: Все пользователи информационных систем компании проходят регулярное общее или специализированное обучение по ИБ. При приеме на работу сотрудники знакомятся под подпись с документами, регламентирующими ИБ в компании. После этого им назначаются учебные курсы в системе дистанционного обучения, завершающиеся контрольными вопросами на знание материала. Для групп пользователей, наиболее критичных с точки зрения ИБ, разрабатываются и назначаются специализированные учебные курсы, а также проводится регулярное очное обучение.

J.I.: Способны ли сегодняшние DLP-решения отлавливать современных нарушителей? Успевают ли технологии за их изобретательностью? Если нет, чего, на ваш взгляд, не хватает подобным системам?

Константин Коротнев: DLP-решения не являются панацеей от всех рисков ИБ, скорее, это одна из ступеней в эшелонированной защите. Идеализированную задачу по отлову всех нарушителей они не решают, но совместно с другими средствами защиты информации помогают снизить риски ИБ до приемлемого для компании уровня.

Анатолий Скородумов: Эффективность DLP-решений для предотвращения умышленного копирования информации не очень велика. Функциональность агентов, устанавливаемых на рабочие станции сотрудников, на данный момент недостаточна. Охват мобильных технологий также оставляет желать лучшего. А если вы активно используете аутсорсинг и облачные сервисы, и понятие ИТ-периметра организации достаточно размыто, то достаточно сложно организовать эффективный контроль над информацией исключительно с использованием DLP-системы. Для выявления внутреннего злоумышленника необходим целый комплекс мероприятий и средств безопасности, в состав которого, безусловно, должна входить DLP-система. В то же время очевидно, что для несанкционированного копирования небольшого объема данных пользователь может использовать неконтролируемые методы (запомнить, записать на бумаге (личном коммуникаторе), сфотографировать с экрана). Поэтому важно отслеживать каналы не только копирования, но и получения этих данных.

Вернуться к содержанию выпуска
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su