© 1995-2021 Компания «Инфосистемы Джет»
Практика и опыт использования DLP системы в корпорации Иркут
Информационная безопасность

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

22.09.2015

Посетителей: 64

Просмотров: 57

Время просмотра: 3.1 мин.

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Давно ли используется в корпорации система DLP? Что послужило мотивом к ее внедрению?

Первая версия решения появилась у нас почти 10 лет назад. Хотя тогда оно еще не было DLP-системой (тема DLP в ту пору вообще не поднималась), это было средство контроля контента почтового трафика. В процессе развития решения, выхода новых версий, подключения дополнительных модулей оно превратилось в ядро нашей системы DLP, которая позволяет анализировать и контролировать различные виды трафика с единой консоли и с использованием единых политик. Сейчас весь трафик, который может содержать какую-либо конфиденциальную информацию, контролируется DLP-системой.

Наша система DLP в ее нынешнем виде – результат многолетней работы. Безопасность складывается из множества элементов – как пазл. Думаю, мы близки к тому, чтобы в корпорации этот пазл сложился.

Как принимается решение о внедрении того или иного модуля, функционала? Вы как-то оцениваете точки риска?

Конечно, мы понимаем существующие угрозы и риски, знаем, где у нас есть слабые места. Исходя из этого решаем, что нам больше всего нужно в данный момент.

 

К теории риск-менеджмента мы не прибегаем, а принимаем решения на основании внутренней экспертизы в организации. Наши работники хорошо ориентируются и в своей области деятельности, и в делах компании в целом. Они понимают, что важно для компании и какой участок нуждается в контроле.

Каков алгоритм работы с DLP-системой? Получают ли какие-то оповещения рядовые пользователи, или это инструмент исключительно для руководителей?

Оповещения о событиях система выдает в режиме онлайн специалистам по безопасности. Дополнительно уведомления дублируются на рабочие станции нескольких руководителей, поскольку компетенций одного человека зачастую недостаточно, чтобы рассмотреть их все. Каждое событие анализируется, и если выясняется, что это заслуживающий внимания инцидент, он эскалируется руководителю более высокого уровня для принятия дальнейших управленческих решений. Есть и такие, которые заслуживают полноценного служебного расследования и серьезных мер дисциплинарного воздействия.

 

В целях предотвращения случайных утечек информации в действия работника внесены элементы осознанности – он должен подтвердить, что хочет сделать именно это. Если система подозревает попытку отправить конфиденциальную информацию, она задерживает письмо и сообщает об этом работнику.

 

Работа системы дает реальные результаты, многие неприятные ситуации нам удалось предотвратить.

Вы сказали, что безопасность в компании – это пазл, который должен сложиться. Значит должна существовать интеграция между подсистемами безопасности – элементами «пазла». С какими информационными системами интегрируется DLP?

В корпорации используется широкий набор средств безопасности, каждое из них – самостоятельный продукт со своим функционалом, своей консолью управления и системой отчетности. Агрегировать текущую информацию из всех систем, чтобы построить оперативный отчет вручную – трудоемкая задача. Для этого мы создали специализированную BI-систему, одним из источников которой является DLP-система. BI-система используется как агрегирующая среда контроля состояния элементов информационной безопасности.

 

Таким образом мы получаем наглядную картину состояния безопасности в корпорации. Для высшего руководства разработан специальный интерфейс, отображающий общий уровень безопасности в целом по организации. Система находится в постоянном развитии, каждый новый инструмент обеспечения безопасности будет в обязательном порядке интегрироваться с ней.

Кто пользуется этой системой в корпорации? Это только ваш департамент?

Созданная модель пока охватывает только вопросы безопасности. Однако в системе предусмотрен мандатный доступ к информации, и мы предполагаем предоставить ее и ИТ-специалистам – в части, касающейся их области ответственности. Учитывая, что система агрегирует информацию от СКУД корпорации, планируется открыть ее для руководства отдела кадров, а в перспективе, думаю, доступ к информации BI-системы получат и руководители подразделений корпорации, которые смогут лучше контролировать своих работников.

Как, на основании чего вы оцениваете эффективность работы средств безопасности, в частности системы DLP? Существуют ли какие-то критерии?

BI-система как раз и выполняет эту функцию. Мы провели большую аналитическую работу и ранжировали вклады источников данных в итоговый уровень безопасности. Так была создана система KPI, которая нашла свое отражение в интерфейсе BI-системы.

Какого функционала DLP вам не хватает, что хотелось бы получить от разработчиков?

Большие потоки информации ежедневно вливаются в корпоративную сеть и снижают уровень ее защищенности. В связи с этим было бы уместно контролировать информацию по контексту и типам приложений.

 

Разработчикам DLP-систем стоит уделить больше внимание различным механизмам контроля форм представления информации. Например, один и тот же документ можно отправить либо в текстовом формате, либо в виде скана pdf или jpg – и все это должно одинаково хорошо контролироваться.

 

Сейчас попытки контролировать отправку картинок приводят к большому количеству ложных срабатываний. Зачастую система не может отличить снимок домашнего питомца в графическом файле от скриншота чертежа. Похожая проблема возникает с отслеживанием рассылки официальных писем организации. Официальный бланк – это картинка. Подписывать письмо на официальном бланке уполномочен ограниченный круг руководителей. Если письмо подписывает другое лицо – это должностное нарушение, мы должны это отслеживать и пресекать. Но сделать это проблематично. Модуль цифровых отпечатков в своем нынешнем виде тут слабый помощник.

 

Нередко в подписи электронных писем и в «подвалы» текстовых документов автоматически вставляется дисклеймер, сообщающий, что письмо может содержать конфиденциальную информацию. Содержимое письма или вложения таковой не содержит, но DLP-система все равно реагирует на такие письма, опять же порождая множество ложных срабатываний. Как научить систему правильно реагировать на такие письма, пока не ясно.

Замечаний довольно много…

Скорее пожеланий. В целом мы DLP-системой довольны, в сочетании со всей «обвязкой» она доказала свою эффективность и результативность. Единственное неудобство – большое количество «ручного труда» по анализу ее уведомлений. Обойтись без него пока не получается. Хотелось бы, чтобы DLP-система стала более интеллектуальной и могла взять на себя еще большую долю первичного анализа информации.

Была ли у вас практика юридического использования результатов работы DLP? Позволяют ли настройки политик учитывать требования законодательства?

В корпорации проводится работа по каждому инциденту. Результатом ее является нахождение виновного и принятие решения о мерах дисциплинарного воздействия. До суда дело ни разу не доходило, но увольнения были.

 

Режим коммерческой тайны в корпорации установлен. Разработан ряд нормативных документов, которыми мы руководствуемся в работе со средствами DLP.

 

Если говорить об отношениях с другими компаниями, то со всеми, с кем мы работаем, имеется соглашение о неразглашении (Non-Disclosure Agreement, NDA), и мы следим, чтобы информация, которой мы с ними обмениваемся, обрабатывалась по условиям этого соглашения.

Алексей, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Интернет – взгляд на психологию пользователей и безопасность в организации

21-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные информационные потоки.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Заставьте вашу DLP-систему работать

Об основных причинах возникновения проблем с DLP и способах их устранения

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Не совсем информационная безопасность

Информационная безопасность – одна из самых обсуждаемых тем в ИТ

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня