© 1995-2021 Компания «Инфосистемы Джет»
Особенности использования DLP системы в банковском секторе
Информационная безопасность

Для банка DLP – одна из трех-четырех систем, иметь которую необходимо

Информационная безопасность Тренд

DLP: синергия техники и психологии

Автор
Василий Окулесский Начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

22.09.2015

Посетителей: 96

Просмотров: 135

Время просмотра: 0.7 мин.

Для банка DLP – одна из трех-четырех систем, иметь которую необходимо. Вопрос – для чего или, вернее, как ее правильно использовать. В свое время, когда на российском рынке появилась технология, позиционировавшаяся как средство контроля сотрудников и предотвращения утечек информации, она вызывала большой энтузиазм. Но на поверку все оказалось не так просто.

 

 

Чтобы DLP-система могла предотвращать утечки информации, она должна быть установлена в разрыв сети. Но такая схема чревата блокированием всего потока информации, и крупнейшие банки принципиально этого не делают, считая, что надежность важнее безопасности. Есть и другая сложность: чтобы система могла с высокой достоверностью фильтровать информационный поток и автоматически определять, какое сообщение нужно заблокировать, а в каком случае достаточно предупредить пользователя, системе должны быть заданы очень четкие правила. Для задания правил можно, например, использовать интеграцию с системой документооборота. Однако это предполагает принципиальное изменение существующей системы документооборота: во-первых, документ не должен содержать ничего лишнего – только «квант» нужной информации, во-вторых, все документы должны быть маркированы, учтены, для них должны быть прописаны регламенты хранения, распространения и т. д. Это колоссальный объем не только технической, но и организационной работы.

 Изменение системы документооборота требует в буквальном смысле революции в сознании, но большинство организаций в нашей стране пока не являются настолько зрелыми, чтобы эту революцию осуществить.

 

DLP-система, поставленная не в разрыв сети, выполняет функцию Data Leak Prevention не напрямую – она не совершает никаких действий с выявленными событиями, лишь собирает информацию о них и производит первичную фильтрацию. Совершать действия должен человек – администратор безопасности, руководитель подразделения и т. д.

 

Вопрос – как человек должен реагировать, что делать с нарушителем? Чтобы предъявить ему формальную претензию, информации об инциденте нужно придать юридическую силу, а для этого выполнить ряд дополнительных процедур (например, непосредственно на рабочем месте сотрудника актом зафиксировать факт использования служебного компьютера для личной переписки). Человеку, уполномоченному принимать решения по инцидентам, должно быть понятно, какие нужны процедуры, как можно распорядиться информацией, полученной из DLP-системы, в рамках существующих законов и нормативов. Должны существовать регламенты реагирования, типовые сценарии. Люди задумываются об их выработке уже после внедрения DLP, и это следствие того, что DLP неправильно позиционируется на рынке.

 

DLP не следует рассматривать как самостоятельное законченное техническое решение. Этот инструмент должен быть частью комплексной системы обеспечения безопасности, включающей технические средства, организационные мероприятия, нормативное обоснование. Именно в таком виде DLP-решение должно предлагаться заказчикам.

 

Культура безопасности или DLP-модуль «Секретарша»

 

Итак, если DLP не занимается прямым предотвращением утечек, то для чего она нужна? Ответ: для того, чтобы дисциплинировать сотрудников.

Любой уважающий себя банк заботится о том, чтобы мотивировать сотрудников к соблюдению правил информационной безопасности с первых дней работы. В первую очередь проводится подробный инструктаж, после чего сотрудник подтверждает своей подписью знакомство с правилами безопасности. Но одного инструктажа недостаточно, сотрудников нужно постоянно держать в тонусе. В Банке Москвы, например, разработаны веб-курсы, посвященные правилам работы с информацией – их все сотрудники проходят ежегодно. Прохождение веб-курсов завершается зачетом, результаты которого учитываются при начислении годовой премии.

 

Но и регулярным обучением ограничиваться не стоит. Нужно создавать в организации атмосферу, способствующую развитию самоконтроля сотрудников. По статистике, 80% утечек конфиденциальной информации допускаются людьми случайно – по рассеянности, недомыслию и пр. Чтобы этого не происходило, в голове у человека должен быть «стоп-кран», который не позволит писать лишнего в соцсети или откровенничать не с теми людьми. «Стоп-кран» будет работать, если сотрудникам постоянно напоминать, что их действия находятся под контролем. В этом как раз и поможет DLP-система.

 

Во-первых, сотрудники должны знать, что DLP-система в организации есть – так же как и видеонаблюдение, и другие средства безопасности. Во-вторых, результаты ее работы должны периодически становиться известны коллективу. Для этого совершенно не обязательно доводить дело до увольнения провинившегося сотрудника, а тем более до судебного разбирательства: выговор с лишением премии действует на коллектив доходчивее. А вот как донести эту информацию до коллектива – вопрос изобретательности руководителя. Можно устроить виновнику инцидента публичную выволочку. А можно – шепнуть секретарше, что такого-то застукали за недозволенными действиями в сети и теперь лишают премии. Секретарский корпус – это своего рода сеть распространения неофициальной информации в организации. Так что можно быть уверенным, что информация о проступке и его последствиях вскоре будет известна всем сотрудникам. Психологический эффект получается очень хороший.

 

Критерии выбора

 

Рассматривая возможность покупки чего-нибудь, принято подсчитывать экономический эффект: когда и сколько будет прибыли/экономии на рубль затрат. Однако эффект от наличия системы безопасности определяется не рублями, а самим существованием этой системы. Есть вещи, без которых бизнес просто не может функционировать, информационная безопасность – одна из таких вещей для банка. Говорить об «экономике» того или иного DLP-решения бессмысленно. Безопасность – это стратегия и стиль работы организации, которые позволяют сотрудникам и руководству чувствовать себя уверенно. Хотя, возможно, экономически обосновать внедрение DLP могла бы организация, обладающая некими ноу-хау, утечка которых может свести на нет конкурентные преимущества.

 

Для DLP (как и для любого другого решения по информационной безопасности) критерием выбора является не стоимость, а степень удобства работы пользователей. Решение не должно им мешать! Важно, чтобы DLP-система не затрудняла выполнение сотрудниками штатных операций и не тормозило работу прикладного ПО. Если вам предлагают очень хорошую (отлично себя зарекомендовавшую) систему, которая рассчитана на современные рабочие станции и конкретные версии антивируса, а в вашей инфраструктуре «зоопарк», – не берите. Если предлагают недорогую («выгодно!») систему, которая заставляет сотрудника долго ждать загрузки рабочей программы, – ни в коем случае не берите. Не прямо, но косвенно удобство работы пользователей сказывается на общей эффективности работы организации.

 

Еще раз о практическом эффекте

 

Кто-то может спросить: а зачем вообще тратиться на DLP-систему? Может, просто заняться воспитанием сотрудников, повышением их лояльности? Или застраховать свои риски? Да и какую информацию можно увести у банка? Базу клиентов? А смысл? Если банк хорошо работает, клиенты все равно останутся с ним, если плохо – и так уйдут.

 

На это можно ответить, что в банке есть конфиденциальная информация, утечка которой, возможно, не нанесет прямого материального ущерба, но нанесет ущерб репутации. Очевидный пример – персональные данные. Контроль их отправки внешним адресатам – постоянный процесс.

Случаются попытки отправки конфиденциальных документов. В Банке Москвы такая попытка была выявлена вскоре после установки DLP-системы. Была реакция, и впредь попытки не повторялись.

 

Когда DLP работает в комплексе с другими системами, это дает синергетический эффект. В нашем случае комплексная система позволила обнаружить подложные письма, содержащие троян. Антивирус реагировал на них только после того, как получатель открывал письмо. Комплекс, включающий DLP, делал это раньше.

 

DLP-система будет тем эффективнее, чем лучше проработаны организационные вопросы – подготовлены и занесены в базу данных контентной фильтрации шаблоны документов, налажена регулярная подготовка отчетов, проработаны алгоритмы реакции на инциденты, организована обратная связь для администраторов системы. Совершенствование и адаптация DLP-системы – процесс постоянный и непрерывный.

 

Подведем итог

 

Опыт говорит о том, что DLP – система полезная, а для многих организаций даже обязательная. Но не стоит ожидать от нее чудес – технология сама по себе не решит за администратора/руководителя все проблемы. Это всего лишь инструмент, которым человек либо сумеет грамотно воспользоваться, либо нет. Извлечь максимум пользы из DLP поможет в первую очередь тщательная организационная проработка процессов, в которых система задействована. А также – творческий подход к использованию полученных результатов.

Уведомления об обновлении тем – в вашей почте

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

Обеспечение защиты сервисов ДБО Банка Москвы от мошенничества

Банк Москвы и компания «Инфосистемы Джет» запустили в работу систему борьбы с мошенничеством в каналах дистанционного банковского обслуживания (ДБО) юридических лиц

Заметки о мобильной безопасности

Нам часто задают вопрос: Можете вы предложить что-то для защиты от утечек через мобильные устройства? Да, конечно, можем.

Комплекс защиты от утечек информации «Дозор-Джет»: общая архитектура и функциональные возможности

Комплекс защиты от утечек информации «Дозор-Джет» представляет собой DLP-систему, ядром которой является «Система архивирования и анализа «Дозор-Джет», вот уже более 10 лет развиваемая компанией «Инфосистемы Джет».

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня