ИТ-портал компании «Инфосистемы Джет»

Нюансы внедрения DLP: наш опыт

Нюансы внедрения DLP: наш опыт

Для начала нужно определиться с основными предпосылками появления DLP-системы в компании. Внедрение DLP-решения, как правило, – реакция на конкретный инцидент утечки конфиденциальной/критичной информации, который выявил уязвимость в существующей системе информационной безопасности. В таком случае перед службой ИБ стоит первостепенная бизнес-задача – провести расследование, найти источник утечки и принять меры, чтобы исключить повторение подобных инцидентов в будущем. При этом не важно, как называется техническое средство, которое позволит предотвратить утечки. В то же время компания может быть ограничена во времени (меры необходимо принять в максимально сжатые сроки) и в финансах (внедрение является форс-мажором, и средства в текущем бюджете не запланированы).

В любом случае наш vis-a-vis понимает, что необходимо решать  проблему, и начинает действовать. Бывает, что внутри компании невозможно четко сформулировать, какая именно система необходима. Нужен взгляд со стороны, и привлекаются эксперты. Как один из вариантов, можно решать проблему не с помощью полноценной DLP-системы, а совокупности отдельных подсистем комплексного DLP-решения или системы другого класса.

Иногда компании в силу объективных факторов трудно оценить объем работ при внедрении DLP-системы. Службе ИБ нужно максимально оперативно устранить уязвимость в системе безопасности,  при этом нет возможности выполнить 3-месячное (как минимум) обследование бизнес-процессов и разработать полноценную политику ИБ. Именно в таких случаях стоит обратиться к разработанным методологиям внедрения систем класса DLP.

Выбор системы-DLP, или Проведите тест-драйв

Этот призыв, по сути, является нашим принципом работы. Наглядная демонстрация возможностей DLP-системы – развертывание пилотной зоны решения – помогает оценить ее «в полевых условиях». Под пилотной зоной может пониматься ограниченное число контролируемых каналов утечки или рабочих мест. Благодаря демо-внедрению, формулировка требований к системе перестает быть проблемой. При этом нельзя забывать, что критерии выбора зависят от конкретной бизнес-задачи, а не от класса систем или производителя.

Важно совместно определять наиболее проблемные точки в системе ИБ и выбирать только те подсистемы комплексного DLP-решения, которые действительно необходимы. Наши специалисты помогают оценить объем работ компании при внедрении и выработать требования к политике безопасности, которую будет необходимо настроить.

В результате приходит  понимание, какая именно система нужна для решения той или иной бизнес-задачи и каким критериям она должна соответствовать, какие каналы утечки должны контролироваться в первую очередь (т. е. какие подсистемы должны быть внедрены прежде всего), каким основным требованиям должна отвечать политика безопасности.

Выбор технологической платформы DLP-системы

На выбор технологической платформы влияют разнообразные факторы, далеко не всегда технического характера. Например, корпоративные стандарты. Если корпоративным стандартом являются продукты определенного вендора и в компании уже установлено соответствующее ПО, то внедрять, скорее всего, будут решение этого производителя. Аналогичная ситуация складывается и с выбором аппаратной платформы.

В компании может быть принят целый ряд принципиальных решений – назовем их политическими, – которые сужают круг потенциальных платформ. Например, в качестве возможных вариантов рассматриваются исключительно отечественные или, наоборот, зарубежные вендоры.

На выбор технологической платформы также влияют индивидуальные предпочтения, каждый выбирает по себе – обучать или регистрировать. Что имеется ввиду? По нашим наблюдениям, потребителей DLP-решений в России можно условно разделить на две группы. К первой относятся те, кто стремится, в первую очередь, обучать сотрудников выполнению существующих политик ИБ. Ко второй группе – те, кто предпочитает копить факты/доказательства для последующего разбора. Представителям первой группы логично предлагать решения, обладающие широким набором инструментов по обучению сотрудников (например, востребованы диалоговые окна с возможностью отказаться от действия, последствием которого будет являться нарушение политики ИБ). Для представителей второй группы больше подходят системы с широкими возможностями по хранению и поиску данных по архиву (лидером в этом сегменте DLP является комплекс «Дозор-Джет»).
Безусловно, необходимо учитывать, реализованы ли в предлагаемой DLP-системе такие технологии и функции, как цифровые отпечатки, выявление идентификаторов, языковая поддержка, автоматическое определение кодировок сообщений и т. д.

В начале статьи уже говорилось о том, что довольно часто компании необходимо оперативно внедрить DLP-решение для устранения выявленной уязвимости в системе ИБ. Именно по этой причине отсутствует возможность провести комплексное обследование бизнес-процессов и разработать политику DLP-системы на первом этапе внедрения. Для этих условий оптимально подходит комплекс «Дозор-Джет» – решение, которое, с одной стороны, поставляется с набором предустановленных правил фиксации инцидентов, с другой стороны, архивирует значительную часть обрабатываемых данных. Наличие архива позволяет ретроспективно исследовать сохраненные данные и на их основе кастомизировать предустановленную политику фиксации инцидентов.

Вовлеченность в процесс внедрения

Даже если разработать политику информационной безопасности DLP-системы на первом этапе невозможно, это должно быть выполнено впоследствии. Эти работы, по сути, и составляют «внедрение DLP». Политика обеспечивает настройку жизненного цикла инцидента с участием представителей различных служб компании. Они привлекаются для разбора инцидентов и должны обладать специальной компетенцией и способностью  принимать управленческие решения. 

Для разработки политики необходимо определить, какие данные относятся к конфиденциальным и какие сотрудники имеют право на доступ к ним. Также определяется круг лиц, которых необходимо уведомить о выявленных системой инцидентах. Большим подспорьем при ответе на вопросы, возникающие при разработке политики информационной безопасности DLP-системы, является наличие политики информационной безопасности компании.

По нашему опыту, в большинстве случаев сначала необходимо внедрять пассивные подсистемы комплексной DLP-системы, не влияющие на протекание бизнес-процессов. После этого рекомендуется как минимум полугодовой период отработки политики DLP-системы в режиме мониторинга информационных потоков. И только после этого можно переходить к внедрению активных средств контроля утечек – подсистем DLP, устанавливаемых «в разрыв» информационных потоков.

Заключение

Рынок DLP-систем в России расширяется с каждым годом. Чаще всего перед компанией, решившей внедрить DLP-систему, стоит задача найти источник утечки и не допустить повторения инцидента. Выбор технического средства при этом отходит на второй план, соответственно, не получают должной оценки технические и организационные аспекты внедрения. В этих условиях важно помочь компании сформулировать требования к решению, совместно определить наиболее проблемные точки в системе информационной безопасности и выбрать те подсистемы комплексного DLP-решения, которые действительно решат проблему.  Немаловажно грамотно выстроить совместную работу на этапе обследования бизнес-процессов и разработки политики DLP-системы. Учет этих рекомендаций позволит эффективно внедрить DLP-решение и повысить уровень реальной безопасности компании.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su