© 1995-2022 Компания «Инфосистемы Джет»
Практика и опыт использования DLP системы в корпорации Иркут
Информационная безопасность

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Главная>Информационная безопасность>DLP как пазл, который должен сложиться

22.09.2015

Посетителей: 112

Просмотров: 105

Время просмотра: 3.5 мин.

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Давно ли используется в корпорации система DLP? Что послужило мотивом к ее внедрению?

Первая версия решения появилась у нас почти 10 лет назад. Хотя тогда оно еще не было DLP-системой (тема DLP в ту пору вообще не поднималась), это было средство контроля контента почтового трафика. В процессе развития решения, выхода новых версий, подключения дополнительных модулей оно превратилось в ядро нашей системы DLP, которая позволяет анализировать и контролировать различные виды трафика с единой консоли и с использованием единых политик. Сейчас весь трафик, который может содержать какую-либо конфиденциальную информацию, контролируется DLP-системой.

Наша система DLP в ее нынешнем виде – результат многолетней работы. Безопасность складывается из множества элементов – как пазл. Думаю, мы близки к тому, чтобы в корпорации этот пазл сложился.

Как принимается решение о внедрении того или иного модуля, функционала? Вы как-то оцениваете точки риска?

Конечно, мы понимаем существующие угрозы и риски, знаем, где у нас есть слабые места. Исходя из этого решаем, что нам больше всего нужно в данный момент.

 

К теории риск-менеджмента мы не прибегаем, а принимаем решения на основании внутренней экспертизы в организации. Наши работники хорошо ориентируются и в своей области деятельности, и в делах компании в целом. Они понимают, что важно для компании и какой участок нуждается в контроле.

Каков алгоритм работы с DLP-системой? Получают ли какие-то оповещения рядовые пользователи, или это инструмент исключительно для руководителей?

Оповещения о событиях система выдает в режиме онлайн специалистам по безопасности. Дополнительно уведомления дублируются на рабочие станции нескольких руководителей, поскольку компетенций одного человека зачастую недостаточно, чтобы рассмотреть их все. Каждое событие анализируется, и если выясняется, что это заслуживающий внимания инцидент, он эскалируется руководителю более высокого уровня для принятия дальнейших управленческих решений. Есть и такие, которые заслуживают полноценного служебного расследования и серьезных мер дисциплинарного воздействия.

 

В целях предотвращения случайных утечек информации в действия работника внесены элементы осознанности – он должен подтвердить, что хочет сделать именно это. Если система подозревает попытку отправить конфиденциальную информацию, она задерживает письмо и сообщает об этом работнику.

 

Работа системы дает реальные результаты, многие неприятные ситуации нам удалось предотвратить.

Вы сказали, что безопасность в компании – это пазл, который должен сложиться. Значит должна существовать интеграция между подсистемами безопасности – элементами «пазла». С какими информационными системами интегрируется DLP?

В корпорации используется широкий набор средств безопасности, каждое из них – самостоятельный продукт со своим функционалом, своей консолью управления и системой отчетности. Агрегировать текущую информацию из всех систем, чтобы построить оперативный отчет вручную – трудоемкая задача. Для этого мы создали специализированную BI-систему, одним из источников которой является DLP-система. BI-система используется как агрегирующая среда контроля состояния элементов информационной безопасности.

 

Таким образом мы получаем наглядную картину состояния безопасности в корпорации. Для высшего руководства разработан специальный интерфейс, отображающий общий уровень безопасности в целом по организации. Система находится в постоянном развитии, каждый новый инструмент обеспечения безопасности будет в обязательном порядке интегрироваться с ней.

Кто пользуется этой системой в корпорации? Это только ваш департамент?

Созданная модель пока охватывает только вопросы безопасности. Однако в системе предусмотрен мандатный доступ к информации, и мы предполагаем предоставить ее и ИТ-специалистам – в части, касающейся их области ответственности. Учитывая, что система агрегирует информацию от СКУД корпорации, планируется открыть ее для руководства отдела кадров, а в перспективе, думаю, доступ к информации BI-системы получат и руководители подразделений корпорации, которые смогут лучше контролировать своих работников.

Как, на основании чего вы оцениваете эффективность работы средств безопасности, в частности системы DLP? Существуют ли какие-то критерии?

BI-система как раз и выполняет эту функцию. Мы провели большую аналитическую работу и ранжировали вклады источников данных в итоговый уровень безопасности. Так была создана система KPI, которая нашла свое отражение в интерфейсе BI-системы.

Какого функционала DLP вам не хватает, что хотелось бы получить от разработчиков?

Большие потоки информации ежедневно вливаются в корпоративную сеть и снижают уровень ее защищенности. В связи с этим было бы уместно контролировать информацию по контексту и типам приложений.

 

Разработчикам DLP-систем стоит уделить больше внимание различным механизмам контроля форм представления информации. Например, один и тот же документ можно отправить либо в текстовом формате, либо в виде скана pdf или jpg – и все это должно одинаково хорошо контролироваться.

 

Сейчас попытки контролировать отправку картинок приводят к большому количеству ложных срабатываний. Зачастую система не может отличить снимок домашнего питомца в графическом файле от скриншота чертежа. Похожая проблема возникает с отслеживанием рассылки официальных писем организации. Официальный бланк – это картинка. Подписывать письмо на официальном бланке уполномочен ограниченный круг руководителей. Если письмо подписывает другое лицо – это должностное нарушение, мы должны это отслеживать и пресекать. Но сделать это проблематично. Модуль цифровых отпечатков в своем нынешнем виде тут слабый помощник.

 

Нередко в подписи электронных писем и в «подвалы» текстовых документов автоматически вставляется дисклеймер, сообщающий, что письмо может содержать конфиденциальную информацию. Содержимое письма или вложения таковой не содержит, но DLP-система все равно реагирует на такие письма, опять же порождая множество ложных срабатываний. Как научить систему правильно реагировать на такие письма, пока не ясно.

Замечаний довольно много…

Скорее пожеланий. В целом мы DLP-системой довольны, в сочетании со всей «обвязкой» она доказала свою эффективность и результативность. Единственное неудобство – большое количество «ручного труда» по анализу ее уведомлений. Обойтись без него пока не получается. Хотелось бы, чтобы DLP-система стала более интеллектуальной и могла взять на себя еще большую долю первичного анализа информации.

Была ли у вас практика юридического использования результатов работы DLP? Позволяют ли настройки политик учитывать требования законодательства?

В корпорации проводится работа по каждому инциденту. Результатом ее является нахождение виновного и принятие решения о мерах дисциплинарного воздействия. До суда дело ни разу не доходило, но увольнения были.

 

Режим коммерческой тайны в корпорации установлен. Разработан ряд нормативных документов, которыми мы руководствуемся в работе со средствами DLP.

 

Если говорить об отношениях с другими компаниями, то со всеми, с кем мы работаем, имеется соглашение о неразглашении (Non-Disclosure Agreement, NDA), и мы следим, чтобы информация, которой мы с ними обмениваемся, обрабатывалась по условиям этого соглашения.

Алексей, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и ...

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

DLP 2.0. Комплексная защита активов

Системы DLP (Data Leak Prevention) на протяжении многих лет являются лидирующим классом продуктов по защите от утечек конфиденциальных данных в России.

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня