что такое dlp система информационной безопасности
Что такое DLP система?
DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
Зачем нужна DLP и как она работает?
Часто в компаниях больше внимание уделяют внешним угрозам: спаму и фишинг-атакам типа «отказ в обслуживании», вирусам (троянскому ПО, червям), подмене главных страниц интернет-ресурсов, шпионскому и рекламному программному обеспечению, социальному инжинирингу. Но на самом деле внутренние угрозы способны причинить компании куда более серьезный ущерб, чем злоумышленники за ее пределами.
В принципе любой работник компании может являться потенциальным инсайдером и поставить информационную безопасность под угрозу. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента.
Принцип работы DLP-системы прост и заключается в анализе всей информации: исходящей, входящей и циркулирующей внутри компании. Система при помощи алгоритмов анализирует, что это за информация и в случае, если она критичная и отправляется туда куда ей не положено — блокирует передачу и/или уведомляет об этом ответственного сотрудника.
Основа DLP — набор правил. Они могут быть любой сложности и касаться разных аспектов работы. Если кто-то их нарушает, то ответственные лица получают уведомление.
Так, например, в компании Х выявили сотрудника, который занимался майнингом криптовалют. Это было обнаружено при использовании модуля активности пользователей – отчёт показал, что рабочая станция не отключалась на ночь. После просмотра запущенных процессов выяснилось, что сотрудник перед уходом запускал процесс майнинга.
Система отслеживает не только время работы и активные программы на компьютере, но и любую другую работу с информацией, — ввод данных с клавиатуры, переписку и передачу файлов по почте, в соцсетях и мессенджерах, отправляемые на печать документы, время простоя, SIP-телефонию, активность на сайтах и многое другое.
Способы перехвата данных
Для того, чтобы анализировать данные — DLP-система сперва должна их получить.
Есть два основных способа перехвата — серверный и агентский. В первом случае система контролирует сетевой траффик на сервере, через который компьютеры «общаются» с внешним миром. Во втором случае специальные небольшие программы — агенты — устанавливаются на все компьютеры организации и передают с каждой машины данные для анализа.
Агентский перехват является более распространённым, ведь с его помощью можно получить гораздо больше данных из различных каналов коммуникации, а значит и надежнее предотвратить возможные утечки.
Нужна ли DLP вашей организации?
Если ответить кратко – да, конечно.
У каждой компании есть информация, которая имеет ценность, а значит притягивает злоумышленников, не только снаружи, но и изнутри. Это может быть клиентская база, особенности технологических процессов, чертежи, даже банальный список адресов для пресс-релиза несет ценность, которую не хочется просто так дарить конкурентам.
Как выбрать DLP?
Если вы убедились, что система защиты данных вам необходима, возникает вопрос, как ее выбрать исходя из разнообразия, представленного на рынке. Для начала задайте себе несколько вопросов:
Какие каналы передачи информации она должна контролировать
Будет ли использоваться система в расследованиях или работать только на перехват
Какой бюджет и оборудование будут выделены на систему
Чтобы максимально полно ответить на эти вопросы лучше всего запросить демо-версию продукта. Большинство разработчиков предоставляет DLP на некоторое время, чтобы вы могли посмотреть, как она работает. Во время тестового периода можно понять, насколько хорошо выбранный программный комплекс закрывает задачи, а также сравнить с другими.
DLP-системы и законодательство
Сама DLP-система, а также процедура ее внедрения при правильном исполнении соответствует требованиям законодательства. Достаточно отметить, что система мониторит исключительно рабочий процесс, а не частную жизнь человека.
Неочевидные способы использования DLP-системы
Казалось бы, система, созданная для контроля утечки данных, больше ничем не может быть полезна. Однако современные DLP имеют и другие возможности, неочевидные на первый взгляд.
• Анализ загруженности персонала
Многие DLP-системы способны вести учет рабочего времени сотрудников. Рабочий процесс каждого пользователя можно представить в виде статистики, которая позволяет проанализировать, насколько сотрудник вовлечен в трудовой процесс.
• Обеспечение юридической поддержки
Задача DLP состоит не только в том, чтобы предотвратить утечки, но еще и при наличии судебного разбирательства, предоставить доказательства злоумышленной деятельности.
• DLP как инструмент мотивации
Когда сотрудники осознают, что их трудовая деятельность находится под мониторингом, появляется большая ответственность за рабочий процесс. И это в свою очередь приводит к улучшению климата в коллективе.
DLP-технология гарантирует сохранность всей информации, поскольку содержит в своём архиве все коммуникации сотрудников, к которым в случае необходимости можно будет обратиться.
Контроль за информацией, или Три веселые буквы – DLP
Для начала небольшое введение, как и положено, скучное и формальное. Информация правит миром. Информация дороже золота. Какую бы еще избитую мысль привести, чтобы подтвердить тезис, в котором и так никто не сомневается?
Любая информация имеет особенность утекать. Причем обычно к конкурентам. Чтобы ваша информация оставалась при вас, ее надо защищать. Перечислим три основных способа защиты, посмотрим на плюсы и минусы. Ну а чтобы вы могли на равных разговаривать с вашим начальником службы ИТ-безопасности, добавим порцию умных слов, описывающих эти методы профессиональными терминами.
Первый способ. Можно построить стену, в стене прорубить калитку, у калитки поставить часового, и он будет совать нос в каждый документ, который пытаются вынести за пределы стены. Если документ похож на секретный, калитка захлопывается и вызывается начальник охраны.
Умные слова. Такой способ называется граничным DLP (Border DLP). Понятно, почему граничным: мы же запрещаем документам покидать границы нашей организации. Аббревиатура DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. Документы определяются как секретные либо по имени файла (способ простой, но ненадежный, ибо переименовать файл очень просто), либо по его содержимому. Вычисляется так называемая сигнатура – бинарная последовательность, которая будет уникальной для каждого исходного документа. Когда документ пытается покинуть пределы организации каким-либо путем – по сети, через USB-диск (флешку), по почте и так далее, определяется его сигнатура и сравнивается с базой защищаемых документов. Если сигнатура в базе найдена, операция блокируется, а ИТ-безопасность уведомляется.
Плюсы. Сделать такую систему достаточно просто, поэтому на рынке их много и стоят они относительно недорого.
Минусы. Не обязательно выносить документ из организации по сети или по почте. Есть и альтернативные способы. Во-первых, его можно прочитать и запомнить. Во-вторых, сделать снимок экрана и отправить по почте. В-третьих, сфотографировать документ, открытый на экране монитора. В-четвертых, вообще изменить документ, теперь он не будет совпадать с сигнатурой, а значит, система ничего не заметит.
Выводы. Стоит ли платить за такую систему – решайте сами. В качестве дополнения она, может, и сгодится. Проблема только в том, что зачастую две однотипные, но по-разному работающие системы имеют свойство конфликтовать.
Второй способ.Стену можно не строить (к чему такие строгости?), зато приставить к каждому работнику по сотруднику тайной службы, чтобы ходил следом да приглядывал, какие документы тот пытается прочитать. И только он захочет открыть запрещенный документ, как его хвать за рукав, секретный документ назад на полку, а нарушителя режима – куда следует.
Умные слова.Такой вариант DLP называется агентским (Agent DLP). На каждый компьютер в организации устанавливается агент, отслеживающий всякую попытку работы с любыми документами (открытие, копирование, удаление, печать и т. д.). При каждой такой попытке он вычисляет сигнатуру документа, сравнивает ее с базой сигнатур. Если документ защищен, определяется пользователь, пытающийся с ним работать, и есть ли у этого пользователя права на выполнение этой операции. Если права есть, операция выполняется, если нет, блокируется и уведомляется служба безопасности.
Плюсы. С помощью данного способа действительно можно эффективно защитить документы. Их невозможно будет даже открыть, а если нельзя открыть, то нельзя и ознакомиться с содержимым. Хотя, если основной задачей стоит именно запрет на открытие документов, здесь достаточно стандартного механизма разграничения прав доступа к файлам Windows.
Минусы. Как ни странно, тут их предостаточно. Во-первых, на каждом компьютере в сети работает агент, что отнюдь не сказывается положительно на общей производительности компьютера. Страдает также производительность сети, ведь каждый компьютер периодически обращается к базе сигнатур документов (нет, она, конечно же, сохраняется локально на компьютерах, но ведь ее надо периодически обновлять). Во-вторых, перед открытием, копированием, печатью каждого документа происходят вычисление его сигнатуры, сравнение и прочие действия, что в случае среднего компьютерного «железа» может обеспечить 1–5-секундные задержки (а то и больше) между запуском операции и ее выполнением. В-третьих, систему нужно настроить, указав все файлы, которые нужно защищать, и права доступа к ним для разных пользователей. Ну и наконец – деньги. Лицензия на каждый агент стоит недешево – 50–100 американских долларов, причем ближе к 100, чем к 50. При этом лицензию купить нужно на каждый компьютер, в противном случае можно сесть за незащищенную машину и получить доступ к файлам.
Выводы. Неплохой подход, если минусы для вас несущественны. Работает с любыми документами, но эффективен не во всех ситуациях.
Третий способ.Можно и стен не строить, и на соглядатаев не тратиться. Просто зашифровать документы. Что толку от документа, который прочесть невозможно? А хочешь прочесть, обратись в хранилище ключей, там твою личность проверят и дадут ключик. Но даже с ключиком ты не всесилен, если он не разрешает документ печатать или вносить в него изменения.
Умные слова.Каждая компания называет эту технологию по-разному. Но есть и общее название – DRM (Digital Rights Management), управление цифровыми правами. Данная технология реализуется путем встраивания механизма шифрования / дешифрации в стандартные программы для просмотра и редактирования документов. Для Microsoft это большинство программ, входящих в Office: Word, Excel, PowerPoint, Outlook; для Adobe – Acrobat и Acrobat Reader. Клиентская часть при попытке открытия документа обращается с информацией о документе и открывающем его пользователе к серверу ключей, который хранит сведения о правах различных пользователей на доступ к различным документам. Если право на доступ есть, отправляется ключ, с помощью которого клиент незаметно для пользователя расшифровывает документ и дает возможность выполнить разрешенные операции. То есть если в правах задано «Только просмотр», то напечатать документ уже не получится.
Плюсы. Защищенные письма в Outlook открываются заметно медленнее обычных, но в целом данная технология имеет хорошие показатели по скорости работы и мало нагружает компьютер и сеть.
Минусы. Я не зря сказал, что все компании называют эту технологию по-своему. Каждая компания еще и реализует эту технологию по-своему. Для защиты документов Microsoft Office используется программное обеспечение от Microsoft (причем желательно, чтобы Office был определенной версии), для защиты Adobe PDF – да, угадали, программное обеспечение от Adobe. Причем если захотите открыть документ с рабочего ноутбуку, который унесли домой, позаботьтесь, чтобы сервера были доступны извне вашей организации.
Вывод.Решение в целом неплохое, но весьма нишевое. Нужно в тех случаях, когда есть небольшое количество документов, которые надо защитить. Документы в едином формате, клиентское программное обеспечение одной и той же версии установлено у всех сотрудников, которые с этими документами будут работать (например, высшее руководство компании). Но для массового применения решение достаточно тяжелое и неэффективное.
Как заставить DLP-систему работать
DLP-системы завоевали определенное место на рынке средств защиты информации от утечек. Однако споры об их эффективности не умолкают. Причина — не только в завышенных ожиданиях, сформированных вендорами, но и в том, что каждая сложная система требует адекватной настройки.
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP-системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор»». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5–6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
Рекомендуем режим блокировки подключать лишь на правила, которые в 100 % случаев являются истинными утечками. При условно-ложных срабатываниях рекомендуется подключать режим фиксации инцидентов.
5. Проверить, введен ли режим коммерческой тайны
Режим коммерческой тайны дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Защита данных от утечки
Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»
[Anti-Malware] Как выбрать лучшую DLP-систему?
За последние годы рынок DLP-систем активно менялся, вендоры находили для себя новые вызовы, и каждый при этом определял направление развития по-своему. В результате сегодня в данном классе представлено много конкурентоспособных решений без возможности выделить из них универсального лидера. В статье мы попробуем обозначить круг возможных потребностей и рассмотрим для каждой ситуации наиболее интересные реализации.
Казалось бы, выбрать должно быть просто. Что делает хорошая DLP-система? Контролирует все каналы передачи данных, эффективно выявляет угрозы утечки конфиденциальных данных, стабильно работает и не прерывает бизнес-процессов.
Что можно сделать, чтобы выбрать лучшую для потребностей конкретной компании?
Но остаются вопросы:
Так еще и выясняется, что во многие DLP-системы уже включены:
«На бумаге» сравнить качество реализации подобных инструментов уже значительно сложнее. Получается, большинство вопросов можно снять только одним способом: провести пилотный проект. Но решений много, а кадровых ресурсов мало. Даже пара небольших бесплатных проектов в конечном итоге может обойтись довольно дорого. А небольшими они будут, только если заранее четко представить, что именно необходимо протестировать.
А значит, ключевая задача — выделить для тестирования одно-два решения, где реализованы наиболее интересные функции.
Об этом и будем вести речь далее.
Для начала рассмотрим наиболее универсальные способы.
Самые продаваемые. Парадокс, но они же самые дорогие. Явные «лидеры рынка», собравшие в себе «всё лучшее, что на данный момент известно».
Однако многие особенности не могут быть объективно плохими или хорошими. Например:
Таким образом, даже если мы имеем дело с «лидером рынка», не факт, что вам понравится то, какой выбор когда-то для себя сделали его разработчики.
Самые мощные. Система предотвращает утечку данных по различным каналам, значит, чем больше каналов — тем мощнее.
Однако, как уже обозначалось выше, каналы это еще далеко не всё.
Первый раз мы выбирали систему именно по этому принципу. В процессе тестирования оказалось, что это четыре не интегрированных между собой продукта одного вендора. При этом на обслуживание каждого нужно по два человека на постоянной основе. Это, конечно, преувеличение для большей наглядности.
Самые рекомендуемые. Нужно определиться с источником рекомендаций — квадрант Gartner, например. Правый верхний угол: Forcepoint и Symantec. Системы действительно мощные и авторитетные. Но почему именно они? Потому что это западный рынок, и наши игроки на нём пока не популярны. На приведенные выше системы приходится по 66 и 69 review (исследования, на основе которых дается оценка) соответственно. На всех «наших» вместе взятых менее десяти.
Рисунок 1. Gartner Magic Quadrant for Enterprise Data Loss Prevention
Попробуем представить более индивидуальные критерии выбора.
Первым делом сформулируем потребности. Предлагаем несколько вопросов для самоконтроля. Ответив на каждый из них, вы сможете оценить, что из нескольких одновременно недостижимых вариантов вам больше подходит.
После этого рассмотрим варианты реализации. Данная информация является лишь нашей рекомендацией и основана на субъективном опыте работы с системами. Упоминание вендора в конкретном контексте не означает, что в продуктах конкурентов таких возможностей нет, как и то, что указанная система может работать только так, как написано здесь. Приводится лишь наиболее удачная на наш взгляд реализация конкретной особенности.
Все, конечно, понимают, что DLP — это инструмент для обеспечения информационной безопасности. Но некоторые, возможно, удивятся, как много еще найдется подразделений, заинтересованных в информации из DLP-архива. Стоит ли спрашивать, нужна ли службе экономической безопасности информация о взаимодействиях с контрагентами (реализовано в InfoWatch, Ростелеком-Solar)? Будет ли интересна службе внутренней безопасности информация об определенных пристрастиях среди работников (есть в SearchInform, «Гарда Технологии»)? Да, возможно, вы работаете в небольшой организации и все перечисленные выше — это вы сами. Но от этого подобная информация не теряет актуальность. Не исключено, что контролем некоторых процессов заинтересуется непосредственно руководство компании. Выберите симпатичную систему с дружелюбным интерфейсом (например, Ростелеком-Solar, «Гарда Технологии») и покажите, как за пять минут оценить оперативную обстановку(Ростелеком-Solar, «Гарда Технологии», InfoWatch). Здесь же очень могут пригодиться возможности по получению информации об эффективности работы сотрудников (как в SearchInform, InfoWatch, «Гарда Технологии», Zecurion), а если нет — им всегда будет рад департамент HR. И это еще не полный перечень вариантов использования.
Рисунок 2. Рабочий стол аналитика в Solar Dozor
Рисунок 3. Дашборд — «Гарда Предприятие»
Рисунок 4. Отчет по активности пользователей — КИБ SearchInform
Как подключить коллег, всегда остается на ваше усмотрение: можете предоставить ограниченный доступ, можете сами выгружать информацию по запросу либо настроить регулярную отправку данных. Суть в том, что с большим количеством вариантов использования будет гораздо проще окупить затраты на такую довольно-таки дорогую «игрушку».
Некоторые системы требуют минимум участия в их повседневной работе (Forcepoint, Symantec). Но будьте готовы, что из коробки всё не «взлетит». Вам потребуются довольно дорогие специалисты для настройки политик. Очень много их времени придется задействовать на старте, но и это еще не всё: регулярно (по крайней мере, раз в квартал) будьте готовы снова подключать их для актуализации имеющихся правил контроля. Примерно за год, а в некоторых компаниях и гораздо быстрее, бизнес-процессы изменятся так, что DLP либо начнет ловить воздух, либо погребет вас под волной неинформативных уведомлений.
Обратная ситуация — «ловим всё, разбираемся после» (SearchInform, «Гарда Технологии»). Можете сэкономить время (и деньги) на настройке, но будьте готовы раскапывать ключевую информацию в потоке плохо структурированных данных (не потому что эти системы плохие, а потому что мы сэкономили на настройке). Плюсуйте в штат по одному человеку на каждую 1000 сотрудников на контроле и считайте. Кому-то так выйдет даже дешевле, чем всё досконально настраивать.
Возможен и промежуточный вариант (InfoWatch, Ростелеком-Solar). Потратили время, настроили — дальше потихоньку разбираем. Понемногу где-то подкручиваем, оптимизируем временные затраты автоматизацией.
Если принято решение, что для постоянной работы с системой нужно больше одного человека, можно обратить внимание на то, как в DLP построен процесс взаимодействия между аналитиками, насколько удобно будет взаимодействовать между собой (Ростелеком-Solar) и насколько каждый из них сможет настроить систему под свои задачи («Гарда Технологии»).
Какие каналы действительно использует бизнес? Какие из них будет небезопасно использовать даже при наличии DLP? Можно ли от чего-то отказаться? Например, возможность контроля ICQ в DLP это хорошо. Но если в вашей организации общаются с клиентами только в Skype, не логичнее ли будет заблокировать запуск всех посторонних мессенджеров («Гарда Технологии», Ростелеком-Solar)?
Возможностями по блокированию потенциально критичных действий DLP-системы различаются очень сильно. Разберемся, какие именно процессы мы хотим прерывать: не позволять записывать информацию на съемный носитель (Zecurion, DeviceLock), приостанавливать отправку писем или модифицировать их контент (Forcepoint, Ростелеком-Solar), не давать загружать файлы на внешние ресурсы включая web-почту, мессенджеры, файлообменники и облачные сервисы (Ростелеком-Solar, InfoWatch), контролировать отправку данных на печать (Ростелеком-Solar, InfoWatch).
Не менее интересный вопрос — хотите ли вы полностью заблокировать канал передачи данных (SearchInform, InfoWatch) или попробуете запрещать только факты отправки именно конфиденциальных данных (Forcepoint,Ростелеком-Solar). Как будете определять конфиденциальные данные: при помощи контентного анализа (Forcepoint, Ростелеком-Solar) или организуете процесс регулярной маркировки всего ценного, чтобы не заблокировать случайно лишнего (Forcepoint, «Гарда Технологии», Safetica).
Ряд сложных вопросов: «Какие у вашей организации есть ценные активы?», «Где они хранятся?», «Кто, кому и по каким каналам их передает?» Если не уверены, что всё это знаете идеально, у вас, тем не менее, два выхода:
Провести аудит. Скорее всего, привлечь специалистов со стороны и долго с пристрастием опрашивать Бизнес на тему, где, что и для каких целей у них припасено. Собирать образцы активов вперемешку с абстрактными описаниями «файликов с большим количеством цифр». Только после этого возвращаться к процессу написания политик контроля.
Внедрять систему, собирающую много данных и имеющую возможность «прошерстить» уже собранную информацию на соответствие только что придуманным политикам (SearchInform, «Гарда Технологии», Ростелеком-Solar). Анализировать, сравнивать, строить графики и только потом переходить к автоматизации и блокировке.
Предлагаем подумать об отчётах. Нужно ли будет выгружать «доказательную базу» (SearchInform, Zecurion)? Или потребуется наглядная статистика (InfoWatch, «Гарда Технологии»)?
Рисунок 5. Сводка по компании — InfoWatch Vision
Рисунок 6. Визуализация перемещения информации — «Гарда Предприятие»
Будете ли анализировать нагрузку на своих сотрудников (Ростелеком-Solar)?
Рисунок 7. Статистика по офицерам информационной безопасности в Solar Dozor
. Или задачу можно решить специализированным решением?
Возможно, при помощи DLP нужно решить какую-то локальную задачу? Например, контролировать съемные носители (Zecurion, DeviceLock). Не исключено, что у нас совсем немного информационных систем и можно настроить контроль для всех документов, которые из них выгружаются (Safetica). Либо акцент в контроле все-таки смещен не в сторону конфиденциальных данных, а в сторону непосредственно сотрудников (контроль сотрудников с примесью DLP — Staffcop, «Стахановец»).
Возможно, вам потребуется реализовать в системе что-то нестандартное? Как правило, разработчики всегда приветствуют интересные идеи для возможной реализации в системе. Но совсем другое дело, если идея им интересной не покажется. Например, Ростелеком-Solar ревностно следит, чтобы не отклоняться от основной концепции (и это действительно гармоничный продукт!), но если вы не вписываетесь — сожалеем. InfoWatch в той же ситуацииреализует ваш каприз за ваши же деньги. А «Гарда Технологии» делают довольно молодой продукт и очень легки на подъем. Договориться с ними будет проще.
Вопросы стабильности, быстродействия, качества поддержки и прочие в данном случае оставим за скобками. Всё это можно и нужно будет попробовать лично.
Так как во многих случаях одна и та же функциональность для разных задач может стать как преимуществом, так и недостатком, в одном решении объединить все лучшие качества невозможно. Рекомендуем начать выбор системы с определения собственных целей и возможностей. Воспользуйтесь нашей методикой или сформулируйте их на базе собственного опыта. Выберите решения, где уделяется внимание именно вашим интересам, и попробуйте их на пилотном внедрении. Понимая, что ищете, вы оперативно проведете тестирование и не потратите время и деньги на временные задачи. А проверив систему в собственной инфраструктуре, вы, наконец, сможете дать ответ на вопрос, какая DLP-система для вас самая лучшая.
Николай Постнов
Руководитель направления Infosecurity в Softline