Журнал "Information Security/ Информационная безопасность" #3, 2018

24 • СПЕЦПРОЕКТ Партнер "Круглого стола" – Выбор DLP-системы, ее возможности и эффективность предотвращения утечек – на что вы как разработчик (интегратор) рекомендуете обратить внимание? Что считаете самым важным? Роман Ванерке – Мы как интеграторы рекомендуем сперва обратить внимание на границы проекта – дру- гими словами, выпол- нить классификацию информации ограничен- ного доступа, проранжировать ее по степени важности, определить, в каких бизнес-процессах и как эта информация обрабатывается и хранится, и т.д. Без предварительной работы бессмысленно подходить к выбору системы защиты. Если же исходить из того, что подоб- ная работа уже проведена и вы пони- маете, что и как нужно защищать, то и выбирать становится гораздо проще. Так, например, в этом случае вы знаете, по каким каналам, кому и в каком виде передается информация ограниченного доступа. Отсюда уже вытекают и требо- вания к DLP-системе: какие каналы должны контролироваться (Web, почта, съемные устройства, IM, печать, сетевые диски и т.д.), какие способы идентифи- кации конфиденциальных документов (ключевые слова, словари, цифровые отпечатки, машинное обучение и т.п.) необходимы. Говоря о предотвращении, хочется отметить, что редко кто решается перей- ти с режима мониторинга на режим бло- кировки, т.к. всегда есть риск ошибок второго рода (когда мы легитимную опе- рацию приняли за инцидент). Но если подойти к внедрению DLP-системы ком- плексно, выполнить обследование и понимать, что система требует ежеднев- ной работы с ней, то можно переходить в проактивный режим. С другой стороны, в последнее время наблюдается обрат- ная тенденция – отказ от режима блоки- ровки. Это обусловлено тем, что затраты на поддержание системы в проактивном режиме существенно выше возможных потерь и куда эффективнее будет повы- сить качество мониторинга. Сергей Вахонин – Первый вопрос, на который заказчику стоит ответить перед выбором DLP-системы: для какой цели приобретается DLP-решение, какую ключевую задачу оно должно выполнять? Говоря проще, надо решить, требуется ли предотвращать утечки данных (да, это ключевая задача для DLP-систем, но далеко не все пред- ставленные на российском рынке про- дукты действительно решают эту задачу техническими способами) или достаточ- но пассивного наблюдения за переме- щением информации наружу и рассле- дования инцидентов по фактам состо- явшихся утечек. Если требуется пред- отвращать утечки, то выбор DLP-систем будет весьма ограничен, а внимание стоит обратить на полноту и качество контроля над всеми каналами, интер- фейсами и периферийными устройства- ми компьютера, а также возможности контентной фильтрации в режиме реаль- ного времени. Особенно это касается контроля сетевых коммуникаций, каче- ство и полнота которого во многом опре- деляются способностью DLP-решения перехватывать, прозрачно дешифровы- вать и фильтровать контент сетевых коммуникаций, защищенных стандарт- ным SSL или проприетарным шифрова- нием. Функциональный арсенал DLP- системы, решающей задачу предотвра- щения утечки информации, должен включать в себя способность с равным успехом функционировать внутри кор- поративной сети и вне ее, возможность не допустить утечку данных ограничен- ного доступа при том, что предостав- ляется доступ для передачи для некон- фиденциальных данных (это реализуется за счет контентной фильтрации в режиме реального времени), и т.д. Критерии выбора: что включает в себя эффективная DLP-система огда перед человеком стоит выбор той или иной технологии, каким бы подкованным он в данном вопросе ни был, он обращается к отзывам и рекомендациям коллег, работаю- щих с похожими задачами. Чтобы облегчить вопрос выбора, редакция опросила про- изводителей, интеграторов и заказчиков DLP-систем: на что они рекомендуют обратить внимание, какие нюансы остаются вне поля их зрения и, конечно, о планах по разви- тию продуктов и ожиданиях конечных потребителей. Роман Ванерке, технический директор, АО “ДиалогНаука” Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”) Дмитрий Кандыбович, генеральный директор, StaffCop (ООО “Атом Безопасность”) Петр Ляпин, эксперт по информационной безопасности Алексей Парфентьев, ведущий аналитик, “СёрчИнформ” Алексей Плешков, эксперт по информационной безопасности Алексей Раевский, генеральный директор Zecurion Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова Анатолий Скородумов, заместитель директора, начальник отдела информационной безопасности (CISO), Банк “Санкт-Петербург” К www.searchinform.ru