Нюансы внедрения DLP: наш опыт

Выбор системы-DLP, или Проведите тест-драйв

Этот призыв, по сути, является нашим принципом работы. Наглядная демонстрация возможностей DLP-системы – развертывание пилотной зоны решения – помогает оценить ее «в полевых условиях». Под пилотной зоной может пониматься ограниченное число контролируемых каналов утечки или рабочих мест. Благодаря демо-внедрению, формулировка требований к системе перестает быть проблемой. При этом нельзя забывать, что критерии выбора зависят от конкретной бизнес-задачи, а не от класса систем или производителя.

Важно совместно определять наиболее проблемные точки в системе ИБ и выбирать только те подсистемы комплексного DLP-решения, которые действительно необходимы. Наши специалисты помогают оценить объем работ компании при внедрении и выработать требования к политике безопасности, которую будет необходимо настроить.

В результате приходит  понимание, какая именно система нужна для решения той или иной бизнес-задачи и каким критериям она должна соответствовать, какие каналы утечки должны контролироваться в первую очередь (т. е. какие подсистемы должны быть внедрены прежде всего), каким основным требованиям должна отвечать политика безопасности.

Выбор технологической платформы DLP-системы

На выбор технологической платформы влияют разнообразные факторы, далеко не всегда технического характера. Например, корпоративные стандарты. Если корпоративным стандартом являются продукты определенного вендора и в компании уже установлено соответствующее ПО, то внедрять, скорее всего, будут решение этого производителя. Аналогичная ситуация складывается и с выбором аппаратной платформы.

В компании может быть принят целый ряд принципиальных решений – назовем их политическими, – которые сужают круг потенциальных платформ. Например, в качестве возможных вариантов рассматриваются исключительно отечественные или, наоборот, зарубежные вендоры.

На выбор технологической платформы также влияют индивидуальные предпочтения, каждый выбирает по себе – обучать или регистрировать. Что имеется ввиду? По нашим наблюдениям, потребителей DLP-решений в России можно условно разделить на две группы. К первой относятся те, кто стремится, в первую очередь, обучать сотрудников выполнению существующих политик ИБ. Ко второй группе – те, кто предпочитает копить факты/доказательства для последующего разбора. Представителям первой группы логично предлагать решения, обладающие широким набором инструментов по обучению сотрудников (например, востребованы диалоговые окна с возможностью отказаться от действия, последствием которого будет являться нарушение политики ИБ). Для представителей второй группы больше подходят системы с широкими возможностями по хранению и поиску данных по архиву (лидером в этом сегменте DLP является комплекс «Дозор-Джет»).
Безусловно, необходимо учитывать, реализованы ли в предлагаемой DLP-системе такие технологии и функции, как цифровые отпечатки, выявление идентификаторов, языковая поддержка, автоматическое определение кодировок сообщений и т. д.

В начале статьи уже говорилось о том, что довольно часто компании необходимо оперативно внедрить DLP-решение для устранения выявленной уязвимости в системе ИБ. Именно по этой причине отсутствует возможность провести комплексное обследование бизнес-процессов и разработать политику DLP-системы на первом этапе внедрения. Для этих условий оптимально подходит комплекс «Дозор-Джет» – решение, которое, с одной стороны, поставляется с набором предустановленных правил фиксации инцидентов, с другой стороны, архивирует значительную часть обрабатываемых данных. Наличие архива позволяет ретроспективно исследовать сохраненные данные и на их основе кастомизировать предустановленную политику фиксации инцидентов.

Вовлеченность в процесс внедрения

Даже если разработать политику информационной безопасности DLP-системы на первом этапе невозможно, это должно быть выполнено впоследствии. Эти работы, по сути, и составляют «внедрение DLP». Политика обеспечивает настройку жизненного цикла инцидента с участием представителей различных служб компании. Они привлекаются для разбора инцидентов и должны обладать специальной компетенцией и способностью  принимать управленческие решения. 

Для разработки политики необходимо определить, какие данные относятся к конфиденциальным и какие сотрудники имеют право на доступ к ним. Также определяется круг лиц, которых необходимо уведомить о выявленных системой инцидентах. Большим подспорьем при ответе на вопросы, возникающие при разработке политики информационной безопасности DLP-системы, является наличие политики информационной безопасности компании.

По нашему опыту, в большинстве случаев сначала необходимо внедрять пассивные подсистемы комплексной DLP-системы, не влияющие на протекание бизнес-процессов. После этого рекомендуется как минимум полугодовой период отработки политики DLP-системы в режиме мониторинга информационных потоков. И только после этого можно переходить к внедрению активных средств контроля утечек – подсистем DLP, устанавливаемых «в разрыв» информационных потоков.

Заключение

Рынок DLP-систем в России расширяется с каждым годом. Чаще всего перед компанией, решившей внедрить DLP-систему, стоит задача найти источник утечки и не допустить повторения инцидента. Выбор технического средства при этом отходит на второй план, соответственно, не получают должной оценки технические и организационные аспекты внедрения. В этих условиях важно помочь компании сформулировать требования к решению, совместно определить наиболее проблемные точки в системе информационной безопасности и выбрать те подсистемы комплексного DLP-решения, которые действительно решат проблему.  Немаловажно грамотно выстроить совместную работу на этапе обследования бизнес-процессов и разработки политики DLP-системы. Учет этих рекомендаций позволит эффективно внедрить DLP-решение и повысить уровень реальной безопасности компании.