Внедрение DLP-системы на предприятии. случаев утечки данных каждую секунду

Тарифы

Ориентируясь на англоязычное название этого класса продуктов, многие до сих пор считают, что системы DLP предназначены исключительно для защиты от утечек информации. Подобное заблуждение свойственно тем, кто не имел случая познакомиться со всеми возможностями таких средств защиты. Между тем современные системы представляют собой сложные аналитические инструменты, при помощи которых сотрудники отделов ИТ, информационной и экономической безопасности, внутреннего контроля, персонала и других структурных подразделений могут решать различные задачи.

ДЕСЯТЬ ЗАДАЧ

В рамках данной статьи мы не будем касаться верхнеуровневых задач бизнеса, определяемых, согласно методологии COBIT5, на основе взаимосвязи целей бизнеса и ИТ: получение выгод, оптимизация ресурсов (включая расходы), оптимизация рисков. Мы спустимся на уровень ниже и рассмотрим конкретные прикладные задачи, выделив среди них те, в решении которых могут помочь современные системы DLP.

I. Изобличение недобросовестных сотрудников:

  • обнаружение фактов передачи защищаемой информации;
  • выявление экономических преступлений;
  • фиксирование фактов неэтичного общения;
  • архивирование событий и управление инцидентами.

II. Снижение рисков и повышение общего уровня информационной безопасности:

  • блокирование каналов утечки и/или определенных информационных сообщений;
  • выявление систематического нарушения сотрудниками принятой политики безопасности.

III. Обеспечение соответствия законодательным и иным требованиям (compliance):

  • категоризация информации;
  • выполнение постановлений регуляторов и помощь в достижении соответствия требованиям стандартов и лучших практик.

IV. Анализ и повышение эффективности процессов:

  • прогнозирование и выявление возможных проблем с сотрудниками;
  • анализ потоков данных и хранимой информации.

ЧУЖОЙ СРЕДИ СВОИХ

Изобличение недобросовестных сотрудников позволяет вовремя принять необходимые управленческие решения (в том числе юридически грамотно расстаться с такими людьми). Для этого необходимо обнаружить сам факт события, правильно его интерпретировать и классифицировать, обеспечить хранение найденных свидетельств.

Обнаружение фактов передачи защищаемой информации нелегитимным получателям является самой востребованной функцией систем DLP. Обычно система настраивается на выявление сведений, составляющих коммерческую тайну, персональных данных, номеров кредитных карт и другой конфиденциальной информации (в зависимости от отрасли и специфики конкретной организации).

По данным аналитического центра InfoWatch, чаще всего случаются утечки персональных данных, а на втором месте - сведения, составляющие коммерческую тайну (см. Рисунок 1).

В зависимости от конкретного решения, системы DLP могут отслеживать и анализировать следующие основные каналы передачи информации: электронная почта, передача данных через Интернет (социальные сети и форумы, файлообменные сервисы и облачные хранилища, Web-доступ к электронной почте и другие), копирование на внешние носители, печать документов.

Выявление экономических преступлений не является основной задачей систем DLP. Тем не менее довольно часто анализ переписки позволяет обнаружить подготовку к ним или уже факт совершения неправомерного действия. Таким образом обычно удается обнаружить обсуждение схем «откатов» и другие несанкционированные переговоры, способные нанести вред компании.

Помимо этого, печать пустых бланков с печатями и подписями или их пересылка кому-либо тоже может косвенно свидетельствовать о возможной подготовке к подлогу документов. Но не стоит надеяться на системы DLP как на панацею - подготовку такого рода преступлений скрыть несложно.

Фиксирование фактов неэтичного общения происходит в результате анализа переписки сотрудников между собой и с внешними получателями. Современные системы DLP способны идентифицировать агрессивное и деструктивное поведение - например, подстрекательство и призывы к саботажу, «психологический террор», «троллинг», угрозы и оскорбления. Совсем недавно одному моему коллеге удалось пресечь потенциальное преступление: система DLP обнаружила в переписке двух сотрудников сговор с целью причинения телесных повреждений третьему сотруднику.

Архивирование и систематизация всех информационных сообщений необходимы для дальнейшего расследования инцидентов и обеспечения юридической значимости доказательств. Мало уметь выявлять инциденты, нужно еще сохранить добытые сведения и предоставить удобный механизм для их анализа.

«ПЛОМБИРОВАНИЕ» КАНАЛОВ

Снижение риска утечки защищаемой информации достигается путем постоянного контроля и блокирования каналов утечки, а также благодаря предупреждению пользователей, замеченных в нарушении политики безопасности.

Исследование Ponemon Institute (отчет ‘‘Is Your Company Ready For A Big Data Breach?’’) показало, что за последние два года треть опрошенных компаний зафиксировала более 1000 случаев утечки конфиденциальной информации: у 48% утечка данных случилась лишь однажды, у 27% - дважды, 16% сталкивались с подобными инцидентами до пяти раз, 9% зафиксировали более пяти случаев утечки. Это говорит об актуальности рассматриваемых угроз.

Блокирование каналов утечки и/или определенных информационных сообщений может существенно снизить риски утечки информации. Для этого существует несколько подходов: блокирование портов ввода-вывода, запрет доступа к определенным категориям сайтов (файлообменникам, электронной почте) и/или анализ содержания передаваемых сообщений и последующее блокирование передачи.

В некоторых случаях системы DLP позволяют обеспечить выявление систематических нарушений сотрудниками принятой политики безопасности : передача сообщений третьим лицам в открытом (незашифрованном) виде, вывод документов на печать без проставления определенных грифов, случайная отправка электронных писем посторонним адресатам.

СТРОГО ПО ФОРМЕ

Выполнение формальных требований регуляторов и/или рекомендаций лучших практик (best practices) может соотноситься с задачами первой и второй группы, однако рассматривается отдельно.

Автоматизированная категоризация информации является дополнительной возможностью, предоставляемой некоторыми системами DLP. Как это работает? Система DLP сканирует рабочие станции и серверы для выявления файлов определенных типов и, используя различные технологии анализа, принимает решение об отнесении документов к тем или иным категориям.

Данная возможность может быть весьма полезной, так как, по нашему опыту, лишь малая часть компаний имеет актуальные перечни сведений конфиденциального характера, без чего невозможно понять, какие документы являются конфиденциальными, а какие нет.

Использование систем DLP позволяет добиться выполнения некоторых требований регуляторов (например, приказы ФСТЭК России № 21 и № 17, положение Банка России № 382-П) и лучших практик (ГОСТ/ISO 27001, СТО БР ИББС, COBIT5, ITIL). Системы DLP помогают при категоризации информации, ограничении мест ее хранения, управлении событиями и инцидентами, управлении внешними носителями, контроле передаваемых сообщений и во многих других случаях.

ЧТО СТОИМ, ЧЕГО ЖДЕМ?

Системы DLP могут использоваться для анализа потоков данных и хранимой информации - например, для выявления фактов хранения информации ограниченного доступа в неразрешенных местах, определения излишней нагрузки на электронную почту при наличии файлового хранилища и других. Они выявляют возможные узкие места в бизнес-процессах, возникающие из-за неудовлетворительного поведения и неудовлетворенных ожиданий персонала, а также нерациональных способов хранения, передачи и обработки информации.

Прогнозирование и выявление возможных конфликтов интересов реализуется путем анализа переписки сотрудников и другой их активности в социальных сетях и на различных интернет-ресурсах. При необходимости системы DLP способны «понять», кто собирается покинуть компанию (поиск работы или обсуждение полученных предложений), нецелевым образом использует корпоративные ИТ-ресурсы (слишком продолжительное общение в социальных сетях, печать на принтере личных документов, книг и фотографий, посещение игровых сайтов и тому подобное), негативно реагирует на управленческие решения. Эти вопросы относятся скорее к компетенции отдела кадров и линейных руководителей, а не службы безопасности.

КАКОВЫ ЗАДАЧИ?

Внедряя систему DLP или только задумываясь о ее развертывании, важно иметь четкое представление о том, какие задачи она будет решать. Без этого трудно не только выбрать производителя решения, но и правильно сформулировать требования к функционалу и настройкам. Если фокусироваться именно на решении задач, а не на перечне функциональных возможностей, то это позволит четко обосновать целесообразность внедрения DLP и для ИТ-подразделения, и для предприятия в целом.

Андрей Прозоров - ведущий эксперт по информационной безопасности InfoWatch, блогер.

Внедрять системы DLP довольно просто, однако настроить их так, чтобы они начали приносить ощутимые выгоды, не так легко. На данный момент при внедрении систем мониторинга и контроля информационных потоков (мой вариант описания термина DLP) чаще всего используют один из следующих подходов:

  1. Классический . При таком подходе в компании уже определена критичная информация и требования по ее обработке, а система DLP только контролирует их выполнение.
  2. Аналитический . При этом в компании есть общее представление о том, что необходимо контролировать распространение критичной инофрмации (обычно конфиденциальной информации), однако поимание потоков информации и необъодимых требований к ним еще не определены. Тогда система DLP выступает в роде инструментария, собирающего необходимые данные, анализ которых позволит четко сформулировать требования по обработке информации, а затем уже и дополнительно, более точно, настроить и саму систему.

Кратко приведу примеры шагов по внедрению DLP, характерных для каждого из подходов..

Классический подход по внедрению DLP :

  1. Определить основные бизнес процессы и проанализировать их . На выходе внеобходимо получить документ "" (иногда это может быть более расширенный перечень, что-то типа рабочего документа "Перечень контролируемой информации ", т.к. например вы хотите контролировать и пресекать в электронной переписке использование ненормативной лексики) и рабочий документ "Перечень владельцев информации". Понимание того, кто является владельцем той или иной информации, необходимо для того, чтобы в последствии определить требования по ее обработке.
  2. Определить основные носители информации и способы передачи. Необходимо понять, на каких носителях может присутствовать контролируемая иноформация в рамках ИТ-инфраструктуры организации. При этом хорошей практикой является разработка таких рабочих докуменов как "Перечень носителей информации " и "Перечень возможных каналов утечки информации ".
  3. Определить требования по использованию информации и сервисов . Часто бывает, что такие требования формулируются в отдельных политиках, например, в документах "Политка использования электронной почты", "Политика использования сети Интернет" и другие. Однако удобнее разработать единую "Политику допустимого использования ресурсов ". В ней имееь смысл указывать требования по следующим блокам: работа с электроной почтой и сетью Интернет, использование съемных носителей; использование рабочих станций и ноутбуков, обработка информации на персональных устройствах (кпк, смартфоны, планшеты и пр.), использование копировально-множительной техники и сетевых хранилищ данных, общение в социальных сетях и блогах, использование сервисов мгновенных сообщений, обработка информации, закрепленнной на твердых носителях (бумага).
  4. Ознакомить сотрудников с требованиями по использованию информации и сервисов, определенными на предыдущем шаге .
  5. Спроектировать систему DLP . С точки зрения технического проектирования, я рекомендую разрабатывать как минимум "Техническое задание " и "Программу и методику испытаний ". также дополнительно пригодятся и такие документы как "", в котором вы должны детально указать то, как система будет фильтравать информацию и реагировать на события и инциденты, и "", в котором Вы зафиксируете роли и границы ответственности за управление DLP.
  6. Внедрить и настроить систему DLP, запустить в опытную эксплуатацию. Первоначально это лучше всего сделать в режиме мониторинга.
  7. Провести обучение персонала, ответственного за управление и обслуживание DLP . На данном этапе Вам желатьльно разработать Комплект ролевых иснструкций по DLP (управление и обеспечение).
  8. Проанализировать итоги и результаты опытной эксплуатации, внести правки (при необходимости), запустить в промышленную эксплуатацию.
  10. Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP .

Аналитический подход по внедрению DLP :

    Спроектировать систему DLP . На данном этапе будет достаточно простого "Технического задания " и "Программы и методики испытаний ".

    Определить и настроить минимальные политики DLP. Нашей задачей является не мониторинг и блокирование любых активностей, а именно сбор аналитической информации о том, какими каналами и средствами пользуются для передачи той или иной корпоративной информации.

    Провести обучение персонала, ответственного за управление и обслуживание DLP. Тут можно использовать стандартные "вендорские" инструкции.

    Внедрить и настроить систему DLP, запустить в опытную эксплуатацию (в режиме мониторинга).

    Проанализировать итоги и результаты опытной эксплуатации. Задача - выявить и проанализировать основные информационные потоки.

    Внести правки (разработать) основные документы, регламентирующие мониторинг и контроль информации, ознакомить с ними сотрудников. Документы "Перечень конфиденциальной информации " и "Политика допустимого использования ".

    Внести правки в настройки DLP, определить процедуру управления и обслуживания DLP, запустить в промышленную эксплуатацию . Разработать документы "Корпоративный стандарт по настройке политик DLP ", "Положение по распределению ролей по управлению и обслуживанию DLP ", "Комплект ролевых инструкций по DLP ".

    Внести правки (при отсутствии, разработать) в процедуру управления инцидентами (или аналоги).

    Регулярно проводить анализ инцидентов и совершенствовать политику настройки DLP.

Подходы отличаются, но и тот и другой вполне подходят для внедрения систем DLP. Надеюсь, что представленная выше информация сможет навести Вас на новые удачные мысли по защите информации от утечек.

В современном мире одним из ключевых экономических ресурсов является информация. Кто ей владеет, тот будет иметь успех, в то же время утечка данных практически всегда означает потерю клиентов, а то и крах компании. Именно поэтому сегодня так велик интерес к DLP-решениям, позволяющим выявить и предотвратить передачу конфиденциальной информации. Выбор большой, лидеры еще четко не определены, а предложения часто схожи по функциям, но отличаются логикой работы и заложенными принципами, поэтому определиться не так просто.

Как выбрать DLP?

Информационная безопасность стала одной из составляющих деятельности любой компании, а соответствующие риски влияют на ее рейтинг и привлекательность для инвесторов. По статистике, вероятность утечки конфиденциальной информации из-за действий сотрудника организации (инсайдера) превышает вероятность утечки в результате взлома, причем это не обязательно умышленные действия, пользователь может случайно отправить файл не тому адресату. До появления интернета контролировать деятельность сотрудников было практически невозможно. Нет, установить контроль, конечно, было реально, но технических средств для автоматизации процесса не существовало. Сейчас всё изменилось. Деловая переписка ведется по электронной почте, пользователи общаются посредством IM и VoIP, обмениваются файлами, ведут блоги, публикуют сообщения в соцсетях и т. д. Все эти каналы легко контролировать автоматически, мощность современных серверов и емкость носителей позволяют собирать и обрабатывать данные в реальном времени. Чтобы обнаружить и предотвратить передачу конфиденциальных данных на разных этапах (при перемещении, использовании и хранении), применяется целый класс систем защиты - DLP (Data Leak Prevention). На сегодня существует еще с десяток терминов-синонимов для таких систем: ILDP (Information Leak Detection & Prevention), IPC (Information Protection and Control), ILP (Information Leak Prevention) и др. Задача у них, в общем-то, простая - мониторинг, идентификация и защита. Официальных стандартов, определяющих, какой должна быть DLP, пока не существует, поэтому разработчики по-разному смотрят на функции DLP. Часто можно встретить самые разные реализации, не всегда включающие действительно необходимое или, наоборот, напичканные ненужным функционалом, добавленным по заказу компании. Однако со временем определились некоторые требования, которыми должно обладать полнофункциональное DLP-решение. В первую очередь они касаются диапазона возможных каналов утечки:

  • электронная почта (SMTP, POP3, IMAP);
  • программы обмена IM/VoIP-сообщениями и P2P-клиенты;
  • веб-ресурсы (социальные сети, форумы, блоги), а также передача файлов по протоколам HTTP, HTTPS и FTP;
  • сетевая печать (SMB Printing, NCP Printing, LPD, и т. д.);
  • внешние устройства (USB, CD/DVD, принтеры, Bluetooth, модемы и т. п.), сетевые папки.

Характер передаваемых данных определяется путем обнаружения специфических признаков (метки, хеш-функции, грифы) и анализа контента (статистический анализ, регулярные выражения и т. п.). Хорошие системы, как правило, используют все доступные технологии, а администратор может легко создавать правила самостоятельно на основе подготовленных шаблонов. Кроме того, DLP-система должна обеспечивать службу безопасности инструментом для анализа всех событий и архивом переданной информации. Еще одним критерием, определяющим выбор DLP, является возможность блокировать утечку данных в реальном времени. Однако специалисты по-разному относятся к этой функции, ведь ошибка в работе DLP (а ложные срабатывания случаются, особенно на этапе ввода в эксплуатацию) может привести к блокировке вполне легального трафика, а значит, помешать работе сотрудников. Поэтому многие администраторы предпочитают анализ по факту, а не блокировку.

INFO

Важный этап в развертывании DLP - внедрение, когда необходимо четко сформулировать требования и ожидания и «обеспечить» DLP всеми данными для контроля.

Websense Data Security Suite

  • Сайт проекта: websense.com .
  • Лицензия: проприетарная.
  • ОС сервер: Windows Server 2003 R2.
  • ОС клиенты: Windows Vista, 7, 2003, 2008/R2.
  • Русификация: отсутствует.

Калифорнийская корпорация Websense хорошо известна как производитель систем фильтрации веб-трафика, в частности, в Facebook вскоре будет внедрена ее разработка для защиты при переходе по внешним ссылкам. Решения ориентированы в первую очередь на средние и крупные компании со штатом свыше 500 сотрудников и государственные учреждения. Комплекс Websense DSS за счет контроля основных каналов обмена данными позволяет в реальном времени остановить утечку конфиденциальной информации. Он работает на основе технологии цифровых отпечатков PreciseID, разработанной компанией PortAuthority Technologies, которую Websense купила в 2006 году. PreciseID обеспечивает высокую точность обнаружения конфиденциальных данных и не имеет некоторых недостатков лингвистических методов. Данные описываются при помощи «цифрового отпечатка», представляющего собой набор символов или слов документа или содержимого полей БД. Такой подход обеспечивает точную классификацию контента более чем для 400 форматов документов (включая таблицы СУБД и сжатые файлы), даже если данные перенесены или конвертированы в другой формат. Кроме PreciseID, используются другие алгоритмы: словари, точное и частичное совпадение, статистический анализ и т. д. Вместе с тем для анализа информации в продуктах Websense применяется несколько технологий «Deep Content Control» и ThreatSeeker (сканирование веб-сайтов и обнаружение новых угроз).

Производится мониторинг основных каналов передачи: электронной почты (SMTP), сообщений MS Exchange, HTTP/HTTPS, FTP, IM/MSN. Предусмотрена интеграция по ICAP с любым интернет-шлюзом, поддерживающим этот протокол. Для мониторинга сервер Websense может устанавливаться в разрыв или использовать зеркалирование трафика (SPAN).


Websense DSS автоматически определяет реакцию на инцидент либо требует подтверждения ответственного сотрудника. Система умеет блокировать передачу конфиденциальных данных, отправлять уведомление (специалисту службы безопасности, начальнику или владельцу контента), запускать внешнюю программу, отправлять запрос на подтверждение отправки и др. Система присваивает инциденту уникальный номер и прикрепляет к сообщению файл. Администратор задает гибкие политики с учетом бизнес-процессов компании, а в комплекте поставки уже имеется несколько десятков шаблонов и настроенных отчетов по инцидентам и активности пользователей. Продукты Websense позволяют ограничить доступ к определенным сведениям для отдельных сотрудников или групп, защищают корпоративную документацию от внесения несанкционированных изменений. Остальные возможности включают принудительное шифрование электронной почты (через шлюз) и совместную работу с другими продуктами Websense (например, со шлюзом безопасности Websense Web Security Gateway). Поддерживается интеграция с Active Directory, Novell eDirectory и Lotus Domino. Совместно с Websense DSS используется ряд других приложений, расширяющих возможности комплекса DLP:

  • Data Endpoint - устанавливается на конечные ПК, где контролирует данные, передаваемые через USB и при печати, попытки сделать скриншоты экрана, сообщения IM и т. д.;
  • Data Monitor - осуществляет мониторинг каналов передачи, чтобы определить, кто, куда, как и что отправляет, и сопоставить с политиками и бизнес-процессами, снижая риски;
  • Data Protect - включает Data Monitor, автоматически блокирует утечку данных на основе политик;
  • Data Discover - программа для поиска и классификации конфиденциальных данных, которую можно использовать как в составе DSS, так и отдельно, не требует установки агентов.

Для управления всеми решениями Websense используется единая консоль Websense TRITON Console (Java и Apache Tomcat). Websense DSS очень просто установить. В архив уже входит MS SQL Server Express 2008 R2, но для больших сред лучше использовать полную версию. Первоначальная настройка политик производится при помощи простого мастера, создающего шаблоны с учетом страны и характера деятельности организации, в том числе имеются и региональные настройки для России.

Falcongaze SecureTower

  • Сайт проекта: falcongaze.ru .
  • Лицензия: проприетарная.
  • ОС сервер: Windows 2003/2008 (x86/x64).
  • ОС клиенты: Windows XP/Vista/7/2003/2008 (x86/x64).
  • Русификация: есть.

Относительно молодое решение, разрабатываемое российским OOO «Фальконгейз». Представляет собой программный продукт, использующий для поиска конфиденциальной информации технологии контентного, атрибутивного и статистического анализа (ключевые слова, регулярные выражения, отпечаток и т. д.). Обеспечивает контроль всех популярных каналов утечки данных, в том числе отслеживает зашифрованный трафик (HTTP/S, FTP/S, POP3/S, SMTP/S, IMAP, OSCAR, ММР, MSN, XMPP). Если в организации используется MS Exchange 2007/2010, то вся внутренняя и внешняя переписка также проверяется на соответствие политикам. Особо хочется выделить полную поддержку Skype, ведь SecureTower может перехватывать голосовой трафик, текстовые сообщения, файлы и отправляемые SMS. Не все DLP это умеют или обеспечивают в полном объеме (чаще установленный агент контролирует лишь текстовые сообщения). Перехват трафика может быть настроен выборочно: по IP-адресам или диапазонам, MAC-адресам, портам и протоколам, логинам, размеру файлов и т. д. Система распознает защищенные паролем документы MS Word/Excel, PDF и некоторые типы архивов. Когда пользователь отправляет документ или архив, защищенный паролем, она генерирует событие и предоставляет администратору полную информацию и копию файла. SecureTower контролирует данные, копируемые на внешние устройства, печать на локальных и сетевых принтерах. Чтобы избежать ошибки при определении отправителя, SecureTower, кроме общепринятой информации, полученной из домена, анализирует все контактные данные, IP-адрес и период его использования, логин в различных месседжерах и т. п. Далее система заводит персональные карточки, с помощью которых вся собранная информация привязывается к учетным записям (возможна интеграция с Active Directory).


Кроме того, SecureTower имеет функции, не специфичные для DLP, но весьма востребованные в большинстве организаций. Так, с ее помощью можно контролировать работу сотрудников - система периодически делает скрины экранов для последующего просмотра в хронологическом порядке, отслеживает внутренние и внешние контакты. При этом формируются наглядные интерактивные отчеты, позволяющие в динамике наблюдать за сетевыми событиями и активностью отдельных пользователей. На основе собранных данных очень легко выяснить, сколько времени сотрудник потратил на пустое общение, пренебрегая своими служебными обязанностями, и когда это имело место. Функционально SecureTower состоит из нескольких компонентов:

  • cервер перехвата трафика - захватывает сетевой трафик и передает его в базу данных для хранения (наиболее требовательный к ресурсам компонент);
  • сервер контроля рабочих станций - используется для развертывания агентов на рабочие станции, мониторинга их работы и сбора информации, перехваченной агентами (в том числе шифрованного трафика и данных о работе с внешними устройствами);
  • cервер обработки информации - выполняет обработку, индексацию и анализ данных, поиск, отправку уведомлений, формирование отчетов и пр.

В качестве СУБД может быть использован MS SQL Server, Oracle, SQLite и PostgreSQL. Система легко масштабируется, при необходимости в сеть можно добавить новый сервер, отвечающий за перехват или обработку данных. Процесс развертывания очень прост, для управления, создания правил и анализа используется консоль администратора Falcongaze SecureTower Admin Console и консоль безопасности Falcongaze SecureTower Client. В установленной системе активно несколько общих правил, позволяющих выявить отправку ряда данных (номеров кредиток, ИНН), посещение соцсетей, отправку резюме для поиска новой работы и др.

Возможности OpenDLP


За плату предлагается Enterprise-версия, имеющая расширенные средства анализа, улучшенный интерфейс, карантин, функцию архивирования и обеспечиваемая поддержкой.

Заключение

Нужно помнить, что DLP - это прежде всего инструмент, позволяющий значительно снизить риски, наличие которого уже само по себе дисциплинирует сотрудников. Ожидать, что внедрение такой системы гарантированно защитит от утечек, возникающих в результате умышленных действий, тоже не стоит. Если инсайдер захочет передать или вынести ценную информацию, он наверняка найдет способ для этого, поэтому следует также использовать все традиционные методы защиты.

Эффективность средств защиты информации прямо пропорциональна зрелости связанных с ними процессов ИБ и их интеграции в бизнес-процессы компании. Особенно это заметно на примере DLP.

Павел Волчков
Ведущий консультант по информационной безопасности
Центра информационной безопасности компании “Инфосистемы Джет"

У любой коробочной DLP есть предустановленные словари и правила. И в большинстве случаев они не направлены на защиту от утечек.

Часто приходится наблюдать ситуацию, когда полнофункциональная система DLP используется в компании лишь эпизодически или для решения локальных задач. При этом поддержка ее является обязательной и финансово обременяет бюджет ИТ- или ИБ-подразделения. Как же заставить систему работать эффективнее? Давайте найдем решение этого вопроса, рассматривая при этом только организационную составляющую, не касаясь технической.

Основная причина возникновения проблем с DLP – завышенные ожидания. Многие ИБ-специалисты считают, что выстраивать процессы вокруг DLP нужно уже после внедрения. Наш опыт свидетельствует, что это не так. Для эффективного функционирования DLP должна выстраиваться вокруг уже существующих процессов ИБ, а не наоборот. Иными словами, чтобы эффективно использовать систему, организация должна иметь хотя бы начальный уровень зрелости ИБ и "дорасти" до системы.

В чем же заключаются главные риски, сопутствующие процессу внедрения DLP?

В первую очередь это то, что в системе DLP будут реализованы только шаблонные, не отражающие специфику бизнес-процессов правила. Согласно сервисному подходу, бизнес-подразделения компании являются "клиентами" служб ИБ. А те оказывают им различные сервисы, например защиту от утечек. Увы, слабым местом многих ИБ-служб в России является незнание своего бизнеса. И ситуация с DLP усугубляется тем, что понимание бизнеса должно быть не просто на уровне бизнес-процессов и потоков данных, а глубже – на уровне конкретных информационных активов.

Другой риск – система DLP "by design" покроет не все актуальные каналы утечки информации. Живой пример – установка безагентского DLP и отсутствие контроля съемных носителей. Подобная система может выявить сотрудника, отправившего себе на личную почту документы, чтобы поработать дома; или тех, кто бездельничает на рабочем месте, но, скорее всего, не сможет предотвратить или отследить злонамеренный слив информации.

Реализованные политики порождают большое количество ложных срабатываний, и их невозможно обработать за разумное время – есть и такая сложность. Часто подобная ситуация возникает при изначальной попытке реализации кастомных правил. Например, хотим отслеживать документы по грифу "Для служебного пользования", а получаем вал событий, содержащих безобидные фразы "машина для служебного пользования", "прошу выдать мне для служебного пользования" и т.д. Обработать все их служба ИБ не может, приходится отказываться от некоторых правил.

Еще один риск – DLP не используется для решения вопросов ИБ. У любой коробочной DLP есть предустановленные словари и правила. И в большинстве случаев они не направлены на защиту от утечек. Они могут найти сотрудников, нецензурно выражающихся в корпоративной почте, обсуждающих начальство или отправляющих кому-то резюме. Но все это имеет отношение к вопросам корпоративной этики, а не к защите информации ограниченного доступа.

И последний риск внедрения – то, что выстраивание процесса вокруг DLP, а не наоборот, может негативно сказаться на самом процессе и привести к тому, что организационные меры полностью подстроятся под доступный функционал внедряемой системы. На практике это выльется в достаточно распространенную ситуацию: "Зачем нам регламентировать правила работы со съемными носителями, если мы технически не сможем контролировать выполнение этого регламента".

Что же делать, если DLP в компании уже есть, а процессная составляющая отсутствует?

Решение есть. И оно в методологически верной реализации процессного подхода, учитывающего специфику DLP как средства защиты.

Если речь идет об организации процессного подхода, то наиболее подходящей моделью является классическая модель PDCA (Plan-Do-Check-Act):

  • определяем цели системы, то, какую информацию будем защищать и как (планируем);
  • реализуем политики DLP (делаем);
  • эксплуатируем систему, анализируем полученное количество событий и реальных инцидентов, процент ошибок, результат тестов, технические показатели (проверяем);
  • изменяем политики с учетом результатов анализа (корректируем);
  • проводим новый цикл планирования, учитывая изменившиеся цели; актуализируем информацию, применяем новые подходы (планируем) и т.д.

Все просто? Но есть нюансы.

Планировать

Первые сложности на этом этапе могут возникнуть при попытке ответить на вопрос, а зачем нам DLP. Система может "все и сразу". Но стоит все же приоритизировать задачи.

Чтобы определить, а что же все-таки нужно от DLP, достаточно ответить на ряд вопросов:

  • кто основные пользователи DLP и кто только планирует ей пользоваться;
  • что ждут основные пользователи от применения DLP в ближайшие 1–3 года;
  • что ждет само руководство компании, хочет ли оно получать регулярную статистику и в каком виде;
  • есть ли нетиповые внешние требования к компании относительно процесса защиты от утечек информации (например, требования материнских компаний)?

Приоритеты расставлены. И следующая проблема: перейти от абстрактных понятий вроде "информация ограниченного доступа" или "информация о топах" к конкретным информационным активам, то есть опуститься на уровень конкретных документов, передаваемых между конкретными людьми. Как это сделать? С помощью классического анализа бизнес-процессов, в основе которого лежат инвентаризация и категоризация информационных активов. Это важная и сложная задача, представляющая собой отдельный проект по ИБ.

Тема, созвучная с процессом контроля утечек, – выстраивание режима коммерческой тайны. Этот режим существенно облегчает проведение анализа бизнес-процессов и инвентаризации информации. Применительно к настройке DLP он помогает преобразовать абстрактное понятие "информация ограниченного доступа" в набор вполне конкретных и осязаемых документов. Работая с ними, можно выделять их типовые признаки: формат сообщения, гриф, формат учетного номера, иные особенности оформления, типовые фразы/преамбулы/титульные листы, стандартизированные формы документов и т.д. Также можно осуществлять более "гранулированный" контроль сотрудников за счет их поименного или подолжностного допуска к коммерческой тайне.

Делать

Очень важной составляющей качественной работы DLP является тонкая настройка политик или создание нестандартных правил в системе. Она базируется на трех подходах контроля информации ограниченного доступа:

  • по ее конкретным выявленным признакам;
  • с помощью признаков типовых документов, одинаковых у всех компаний отрасли;
  • с помощью правил, косвенно позволяющих выявлять инциденты ИБ/аномальное поведение сотрудников.

Реализация второго подхода происходит за счет постоянного накопления информации об уникальных правилах DLP и создания баз контентной фильтрации. Целесообразно привлечь к этому процессу вендора или компанию-исполнителя проекта внедрения DLP – у них уже имеются большие базы контентной фильтрации (типовые акты, формы, шаблоны регулярных отчетов, наборы ключевых слов и т.д.) по отраслям. Отдельно стоит выделить реализацию набора правил, косвенно позволяющих выявить аномальное поведение сотрудников, например классические отправки шифрованных архивов, пересылку информации на временные почтовые ящики, передачу сообщений большого объема и т.д.

Эффективность таких простых правил нельзя недооценивать: с их помощью с большей вероятностью можно обнаружить намеренный слив информации.

Контролировать

DLP – это лишь часть системы защиты от утечек наряду с процессами и персоналом, эффективность которой зависит от каждого ее элемента, создавая эффект синергии. Интеграция DLP в существующие процессы обеспечения ИБ ценна тем, что позволяет на практике оценить реализованные в DLP политики.

Независимо от того, какое DLP-решение и в какой конфигурации используется, на первом этапе планирования целесообразно озаботиться также пониманием того, какие каналы утечки наиболее реальны. По тем каналам, которые не покрываются DLP, необходимо в дальнейшем запланировать не менее тщательную работу с использованием других технических и организационных мер. Но помнить, что настройка DLP – это не самоцель, а инструмент контроля каналов утечки, причем один из многих.

DLP связана со следующими ИБ-процессами:

  • внутренние коммуникации между службой ИБ и руководством;
  • управление рисками ИБ;
  • управление доступом к информационным ресурсам;
  • регистрация и мониторинг событий ИБ;
  • управление инцидентами ИБ;
  • повышение осведомленности сотрудников;
  • моделирование угроз и нарушителей.

Анализируя эффективность перечисленных процессов, можно сделать вывод об эффективности самой DLP и наметить пути дальнейшей модернизации политик. Особое внимание надо уделить борьбе с ложными срабатываниями. Избежать их поможет скрупулезный анализ подробностей детектированных инцидентов и конкретных условий срабатывания.

На данном этапе также можно получить подтверждение того, что для сопровождения системы недостаточно ранее выделенных человеческих ресурсов, что важно для дальнейшего развития DLP. Администрирование DLP и разбор возникающих инцидентов являются ресурсоемкими процессами, особенно если DLP установлено в разрыв. Прогнозировать необходимое количество ИБ-персонала невозможно, все индивидуально и зависит от числа реализованных правил. Наш опыт говорит, что необходим как минимум один специалист, главной обязанностью которого будет сопровождение системы и связанных с ней процессов.

Корректировать

Имея всю информацию о функционировании системы, можно реализовать мероприятия по корректировке имеющихся правил, разработке новых, внесению изменений ОРД по процессам ИБ, выделению дополнительных человеческих ресурсов и технической модернизации системы. Такие мероприятия целесообразно включить в ежегодный план ИБ-мероприятий.

Отдельный вопрос – каким по продолжительности должен быть цикл PDCA. Единого рецепта здесь нет, все зависит от сложившихся в компании практик обеспечения ИБ. Мы считаем, что первоначальный этап контроля должен проходить в течение двух кварталов, чтобы гарантированно покрыть собой активности, возникающие в рамках бизнес-процессов компании раз в квартал, например подготовку квартальной отчетности.

Введение

«Помощь должна совершаться не против воли того, кому помогают» (Георг Вильгельм Фридрих Гегель)

В отличие от начальных этапов развития , сегодня уже можно говорить об активном формировании пользовательского спроса на продукты класса DLP. Немало компаний успели познакомиться с системами предотвращения утечек информации, понимают механизм их работы и сформулировали требования к таким системам. Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, сравнивает модернизацию DLP-системы с покупкой автомобиля - если к первой машине требования невысоки («лишь бы ездила»), то ко второй будущий собственник предъявляет точные требования, основанные на опыте использования предыдущего автомобиля. Впрочем, компания, принявшая решение о внедрении, не обязательно должна иметь опыт эксплуатации продукта того же класса. Для определения требований этой компании может помочь опыт партнера или конкурента.

Можно ли говорить о всеобщей готовности компаний, решивших внедрять DLP-систему, к этому процессу? И что понимать под готовностью? Как показывает практика, в большинстве случаев заказчик представляет себе технические возможности продуктов данного класса, но не до конца понимает необходимый объем работ, благодаря которому в консоли управления DLP-системой начнет появляться действительно важная информация. А появляться она начнет, если подходить к процессу внедрения DLP-решения как к одному из методов реализации наиболее актуального в наши дни подхода к обеспечению информационной безопасности - Data-centric security, или комплексного подхода, ориентированного на защиту информационных активов. В рамках подхода Data-centric security данные, представляющие информационные активы, разделяются на три категории:

  • Data at Rest - данные в режиме хранения; статично хранятся на отчуждаемых носителях, компьютерах, мобильных устройствах пользователей и т. д.;
  • Data in Motion - данные в режиме движения: финансовые транзакции, передача аутентификационных данных и т. д.;
  • Data in Use - данные, непосредственно используемые пользователями в рамках бизнес-процессов.

Решения класса DLP позволяют контролировать и защищать данные всех перечисленных категорий. Однако следует помнить, что успех такой серьезной операции как внедрение DLP напрямую зависит от понимания ценности защищаемых данных. Здесь мы вплотную подходим к описанию важнейшего этапа внедрения DLP-системы - подготовке.

Этап 1. Подготовка к внедрению

Обследование

Компания NSS Labs в своей статье «За 12 шагов - к успешному внедрению DLP » делится парой тезисов, с которыми сложно не согласиться:

  • успешное внедрение DLP-системы - комплексное мероприятие, в рамках которого развертывание продукта - этап необходимый, но не достаточный;
  • классификация документов и определение матрицы доступа - основа для политик безопасности DLP-систем.

Кто должен выполнять работы по обследованию? Как правило, за это отвечает компания, которая внедряет DLP-систему (исполнитель). Однако не все так просто. Если компания-заказчик не готова на запрос исполнителя предоставить, к примеру, описание процессов взаимодействия с защищаемой информацией, то необходимо понять, в чьей зоне ответственности будет находиться разработка этого документа.

У идеального заказчика, принявшего решение о внедрении DLP-системы, введен режим коммерческой тайны, подготовлен перечень информации ограниченного доступа, имеется описание бизнес-процессов, в рамках которых происходит обработка, хранение и передача такой информации. Другими словами, заказчик ясно понимает правила, по которым событие считается утечкой конфиденциальной информации, а также исключения их этих правил. В таком случае исполнителю остается лишь перенести правила в политики безопасности.

У реального заказчика может быть не определено ничего. В таком случае он должен осознавать важность своего участия в обследовании, ведь чем ответственнее заказчик подходит к этому процессу, тем реальнее описание бизнес-процессов компании, критерии отнесения сведений к категории защищаемых и т. д. В случае слабой вовлеченности заказчик полагается на видение безопасности своих бизнес-процессов глазами исполнителя, а это не всегда соответствует требованиям к защите данных.

Обычно работы в рамках обследования включают в себя следующие мероприятия:

  • изучение организационно-распорядительных документов, относящихся к обеспечению безопасности и классификации информации;
  • изучение перечня информационных ресурсов, схем сети, схем потоков данных и т. п., относящихся к формализации информационного взаимодействия;
  • согласование признаков отнесения информации к информации ограниченного доступа;
  • формализация перечня информации ограниченного доступа;
  • обследование и описание процессов передачи, обработки и хранения информации ограниченного доступа в рамках бизнес-процессов.

По итогам перечисленных мероприятий разрабатываются документы, на основе которых впоследствии будут создаваться политики безопасности DLP-системы. К таким документам могут относиться:

  • «Перечень информации ограниченного доступа»;
  • «Схема потоков данных информации ограниченного доступа»;
  • «Описание технологических процессов взаимодействия с информацией ограниченного доступа»;
  • «Основные сценарии утечки конфиденциальной информации».

Имея понимание того, в рамках каких бизнес-процессов происходит работа с критичными данными, из каких действий с этими данными состоят вышеупомянутые процессы, не составляет труда определить необходимые механизмы работы DLP-системы и, соответственно, требования к ней. Опционально в рамках данного этапа могут быть разработаны эскизы политик безопасности в терминах конкретного продукта. Подробнее о выборе продукта будем говорить далее.

Юридическое сопровождение

Одними из важных вопросов, с которыми столкнется руководство компании, принявшее решение об использовании продукта класса DLP, - это вопросы юридического характера. К примеру:

  • «Будет ли использование этой системы трактоваться как слежка за сотрудниками?»
  • «Как будем защищаться от конфликтов, вызванных работой этой системы?»

Добавьте сюда не совсем очевидные вопросы, вроде «Как контролировать администратора DLP-системы, имеющего доступ ко всему архиву перехваченной информации?».

  • компания имеет право защищать свою коммерческую тайну, вводя для этой цели режим коммерческой тайны, определяющий перечень информации ограниченного доступа, правила работы с ней и т. д.;
  • средства обработки информации, переданные сотруднику для выполнения своих должностных обязанностей, а также созданные с их помощью информационные ресурсы, являются собственностью компании;
  • компания не является оператором связи и не обеспечивает тайну связи при передаче по своим корпоративным каналам.

Создание грамотной стратегии использования DLP-системы в правовом контексте - вновь совместная задача для заказчика и исполнителя. Результатом этой работы должны стать шаги по организации режима коммерческой тайны или соответствующие дополнения к нему. В рамках данных работ исполнитель изучает организационно-распорядительные документы клиента, трудовые договоры, дополнительные соглашения и прочие кадровые документы, относящиеся к определению условий труда и обязательств работников, а также внутренние процедуры контроля заказчика. И по результатам анализа формирует рекомендации по внесению изменений в нормативную базу заказчика. В число документов, разрабатываемых исполнителем на данном этапе, могут войти:

  • дополнительные соглашения к трудовым договорам;
  • дополнения к правилам трудового распорядка;
  • политика допустимого использования средств обработки информации;
  • иные документы, регламентирующие работу с информацией ограниченного доступа.

Отдельно хочется напомнить про актуальность контроля эксплуатирующего персонала DLP-системы, имеющего неограниченный доступ к архиву перехваченной информации. Видится разумной попытка пресечь возможное использование этой информации в личных целях путем подписания соответствующих соглашений. И, немного забегая вперед, отметим: заказчику рекомендуется уже на данном этапе подумать над методом формирования архива перехваченной информации - сохранять все события или только события, нарушившие политику безопасности. В отличие от западных игроков отечественные DLP-системы пошли по пути сохранения всего трафика.

Здесь мы вплотную подходим к следующему этапу - выбору конкретного продукта.

Этап 2. Выбор продукта

Этот этап довольно условно расположен вторым номером, так как в ряде случаев продукт уже определен явно до начала внедрения, или этапу подготовки предшествует пилотный проект одного или нескольких решений. Таким образом, выбор конкретного продукта - этап, в зависимости от обстоятельств идущий либо первым, либо вторым, либо параллельно подготовке.

По завершению (или в процессе) этапа подготовки как у заказчика, так и у исполнителя уже имеется представление о том, как абстрактная DLP-система будет использоваться для контроля над утечками информации. Остается определить, какой именно продукт будет соответствовать требованиям оптимально. Говоря о требованиях, не стоит забывать о тех из них, которые напрямую не определяют процесс перехвата и анализа информации. К таковым относятся:

  • Сложность развертывания и поддержки. Если в решении используется, к примеру, система управления базами данных Oracle, обладает ли заказчик специалистом, способным провести резервное копирование базы данных? Не стоит ли посмотреть в сторону решения, где эта процедура выполняется за три клика мыши, скажем, в планировщике заданий ОС Windows, где при установке создается соответствующее задание?
  • Воздействие на инфраструктуру. Как сильно установленный агент будет влиять на работу компьютера пользователя или канал передачи данных? Возможна ли установка компонентов системы в среде виртуализации?
  • Организация процессов работы эксплуатирующего персонала. Заказчик на данном этапе должен понять, что из себя будет представлять работа аналитика, ответственного за безопасность, или системного администратора, отвечающего за поддержку работоспособности решения.

Очевидным является требование к системе обладать механизмами сбора и анализа информации, удовлетворяющими потребностям заказчика в контроле бизнес-процессов, определенных на этапе обследования.

Нельзя забывать и о бюджете заказчика, который в том числе является весомым требованием. Помимо продуктов класса Enterprise, DLP-системы также представлены т. н. «легкими DLP» и Channel DLP, подразумевающими как ряд функциональных ограничений по сравнению со «старшим братом», так и вовсе направленные на контроль одного конкретного канала передачи данных. К примеру, в условиях ограниченного бюджета для заказчика может быть оптимально докупить DLP-функционал к существующему прокси-серверу и использовать только агентское решение стороннего продукта.

Данный этап характеризуется большой ответственностью исполнителя, задачей которого является предложить заказчику максимально подходящее решение. При этом возможная пассивность последнего сыграет с ним злую шутку на этапе эксплуатации и поддержки системы.

Выбор конкретного продукта сложно представить без понимания архитектуры решения, реализованного средствами этого продукта, поэтому можно утверждать, что на данном этапе уже берут свое начало работы по проектированию.

Этап 3. Проектирование и установка

Проектирование

Как правило, ключевые моменты в архитектуре решения к этому этапу уже определены. Работы по проектированию определяются как процесс детализации и расширения этих ключевых моментов до такой степени, при которой получившееся проектное решение полностью готово к реализации. Ключ к хорошему проектному решению - это детальное обследование инфраструктуры заказчика и макетирование решения «у себя дома». Эти мероприятия минимизируют риск технических сложностей на этапе установки. Очень желательно, чтобы заказчик это понимал и активно содействовал процессу.

Вид, в котором проектное решение будет представлено, обсуждается сторонами. В большинстве случаев это ­согласованный набор технических документов, описывающих окончательное проектное решение. На данном этапе также устанавливаются требования к эксплуатационной документации. В случае если официальных руководств производителя выбранной DLP-системы недостаточно, исполнитель готовит недостающий комплект. Примерами таких документов могут выступать как перевод официального руководства с иностранного языка, так и более экзотические документы вроде «Описания жизненного цикла программного обеспечения».

На этапе проектирования важно реализовать возможности для изменения системы в будущем, например, при потенциальном масштабировании или переходе с режима мониторинга на режим блокировки. Требования к оборудованию, программному обеспечению или даже к построению технологических процессов работы продукта должны быть заложены исполнителем исходя из такой необходимости.

Итак, исполнитель подготовил проектное решение, заказчик его согласовал, следующий этап - установка и первоначальная настройка DLP-системы.

Установка

Работы по установке DLP-системы тоже требуют тесного взаимодействия заказчика и исполнителя. Поскольку продукты такого класса решений связаны с рядом смежных систем (почтовыми, прокси-серверами, сетевым оборудованием), то сложно представить процесс установки без вовлечения специалистов заказчика.

Обычно установка продукта начинается с инсталляции серверных компонентов и настройки связи между ними и смежными системами. Однако бывают и исключения. Скажем, при сжатых сроках внедрения и значительном количестве устанавливаемых агентов процесс установки последних может быть инициирован еще до завершения работ по проектированию. Такой пример нестандартного решения еще раз напоминает про необходимость ведения диалога между сторонами на всех этапах внедрения.

Важный вопрос в рамках работ по установке, одновременно приближающий нас к работам по настройке - это вопрос сохранения в тайне от сотрудников заказчика факта внедрения продукта. Если степень вовлеченности пользователей в работу DLP-системы еще не определена, то самое время об этом подумать.

Этап 4. Настройка

К сожалению, в рамках этого этапа не будет описан универсальный алгоритм, следуя которому любой желающий получает грамотно настроенную DLP-систему. Хотя почему нет? Ведь если подумать, этот алгоритм состоит всего из одного легко формулируемого пункта - «Непрерывно настраивать систему и изменять политики безопасности на протяжении всего периода эксплуатации».

Как мы видим, речь идет не о длительной настройке, а о непрерывной - это ключевой момент, который необходимо понять заказчику. Выполненный «на отлично» этап подготовки будет являться незаменимым подспорьем на этапе настройки, и исполнитель непременно поможет в начале пути (а может и не только в начале, все определяется договоренностями). Но основная работа в рамках текущего этапа ложится на плечи заказчика (здесь не берем во внимание сервисную модель услуг, в рамках которой исполнитель может взять на себя значительную часть от этих работ).

Изменение бизнес-процессов, инфраструктуры, прием на работу сотрудников, делегирование обязанностей внутри существующих отделов, выпуск новых документов вроде приказов руководства, должностных инструкций - все эти события влекут за собой необходимость изменения политик безопасности. Вооружившись цифровыми отпечатками, словарями, а иной раз и технологиями машинного обучения, ответственный персонал должен успевать за всеми значимыми для DLP-системы изменениями в компании и нивелировать их возможные отрицательные последствия, чтобы избежать утечку информации. Причем под отрицательными последствиями здесь понимаются не только новые каналы для утечки, но и возможный рост ложноположительных срабатываний.

Если говорить об обязанностях сторон в рамках внедрения, то, заключая договор, они пытаются согласовать количественные и качественные характеристики работ по настройке DLP-системы, которые исполнитель обязуется выполнить. Как правило, речь идет о наполнении базы специальных терминов, написании регулярных выражений и создании на основе данных технологий политик защиты данных. Работы по настройке обычно сопровождаются консультациями персонала. В интересах обеих сторон сделать этот процесс максимально продуктивным, устраняя неспособность сотрудников самостоятельно работать с системой.

В ходе настройки необходимо держать в голове вопрос: «Хочет ли заказчик использовать DLP-систему как инструмент обучения пользователей работе с конфиденциальной информацией или как инструмент слежки?». Западные компании широко используют первый вариант. Его идея заключается не только в осведомленности пользователей о наличии DLP-системы, но и в вовлечении в организацию безопасности данных рядовых сотрудников. Как следствие - изменение их поведения в сторону большей ответственности. Чем больше организация, тем объективно более востребован для нее такой подход: численность собственного отдела ИБ ограничена, а DLP-системы могут требовать значительных трудозатрат на первых порах эксплуатации. Внутренний краудсорсинг может оказать ощутимую поддержку в таком трудоемком деле. Принцип геймификации добрался и до такой области применения, как эксплуатация DLP-систем. В рамках игровой парадигмы компания отказывается от так называемого «шлепка по рукам» - стандартного всплывающего окна с угрозами, оформленного в красных тонах, призванного вызвать максимальный стресс у пользователя. В случае непреднамеренного нарушения политики безопасности пользователь увидит описание причины блокирования его действия и сноску о том, как избежать нарушения в будущем. Другая важная часть геймификации - явная положительная мотивация. Присвоение пользователям значков отличия за соблюдение норм обеспечения безопасности данных, публикация красивых графических отчетов DLP-систем о тех, чье взаимодействие с данными является наиболее правильным, и т. п.

При кажущейся простоте подхода такой механизм помогает ввести и закрепить в рабочем обиходе сотрудников само понятие «защита от утечки данных», сделать защиту данных не чуждым пользователю понятием, а неотъемлемой и естественной (при этом не скучной) частью рабочего процесса. Второй вариант подразумевает максимальную скрытость присутствия продукта в информационной среде. Формулировку ответа на этот вопрос рекомендуется оформить как этап № 0.

Выводы

Внедрение DLP часто осложняется объективными факторами: различие в функционале, отсутствие единственно верного варианта внедрения и единого сценария использования. Даже само принятие решения о внедрении защиты от утечки данных может откладываться заказчиком из-за мифов, связанных с DLP-системами («на поддержание DLP уйдет весь ресурс ИБ», «внедрять DLP нужно не менее полутора лет или не внедрять вообще» и т. п.), а также из-за того, что для эффективного внедрения необходима вовлеченность представителей бизнеса и пр.

В таком случае, опираясь на опыт, исполнитель должен предложить сценарии, которые покажут ценность решения как представителям технического блока заказчика, так и представителям бизнеса. DLP способны показать быстрый и объективный результат, который поможет клиенту определиться с выбором.

Для организаций, которые ответственно подходят к безопасности собственных данных и данных своих клиентов, DLP - однозначно необходимое решение.

Вам также может быть интересно
Преобразование файла FB2 в документ Microsoft Word
Доверительный платеж 0
Преобразование файла FB2 в документ Microsoft Word
Doc (word) в Fb2 конвертер Высококачественная, бесплатная программа, в которой можно...
Подготовка к процедуре перепрошивки
Доверительный платеж 0
Подготовка к процедуре перепрошивки
Ведет активную поддержку клиентов, с переменным успехом выпуская апдейты и обновления для своих...
Быстрый обзор смартфона Samsung Galaxy S6 Edge Память, оперативная память, производительность
Доверительный платеж 0
Быстрый обзор смартфона Samsung Galaxy S6 Edge Память, оперативная память, производительность
Модификация флагмана от Samsung образца 2015 года, оснащённая уникальным изогнутым дисплеем,...
Выбор и подключение антенны для интернета на дачу Самодельная внутренняя антенна 3g модема в ноутбук
Услуги 0
Выбор и подключение антенны для интернета на дачу Самодельная внутренняя антенна 3g модема в ноутбук
3G модем является хорошим решением для доступа в интернет за пределами города, где нет локальных...
Грамоты шаблоны пустые скачать
Доверительный платеж 0
Грамоты шаблоны пустые скачать
Красивые варианты торжественных документов Вот и настал тот знаменательный день, когда определены...
Значение двоичного кода – почему компьютеры работают с единицами и нулями Сообщение бинарным кодом
Услуги 0
Значение двоичного кода – почему компьютеры работают с единицами и нулями Сообщение бинарным кодом
Поскольку является наиболее простой и соответствует требованиям: Чем меньше значений существует в...