Журнал "Information Security/ Информационная безопасность" #3, 2018

Алексей Парфентьев – Большинство вендо- ров реализовали основ- ные возможности бло- кировки, но проблемы остались. DLP блоки- руют подозрительные письма, но не могут рас- познать человека из группы риска, не могут вовремя разоблачить сговор, не дают комплексного понимания причин и следствий. К нам приходят компании и рассказывают: "Вот есть у меня нару- шение из DLP по почте. Я вызываю человека и всегда слышу, мол, этого не делал, письмо вижу впервые. И мне нужно воссоздать нарушение по шагам, собрать доказательства". Поэтому возможности расследования предельно важны, без них СБ не сможет закрыть целый ряд задач. DLP не инстру- мент борьбы с техническими угрозами, как антивирус или файрвол, а средство защиты от человеческого фактора, где первостепенно важен контекст. Алексей Раевский – Действительно, в последнее время полу- чили распространение DLP-системы, которые имеют ограниченные возможности по пред- отвращению утечек. По отношению к ним даже использование термина DLP не очень корректно. Источ- ник этой тенденции, на мой взгляд, лежит на стороне заказчика, который часто опасается, что в случае некор- ректной работы DLP-системы будет нару- шено функционирование ИТ-служб. Например, заблокируется Интернет или не отправится важное письмо по элек- тронной почте. Причиной таких сбоев может быть как не очень высокое каче- ство некоторых DLP-систем, так и про- счеты администратора DLP-системы при настройке правил и политик. Мы тоже часто сталкивались с тем, что заказчик не торопится переключать DLP-систему в режим блокировки, ограничиваясь пассивным перехватом трафика и реагированием на утечки постфактум, после того как они уже произошли. Возможно, на начальном этапе внедрения системы, в первые несколько месяцев, когда правила и политики только настраиваются, это оправданно. Однако, приобретая DLP- систему, в которой возможности по бло- кировке слабы или отсутствуют пол- ностью, заказчик поступает крайне недальновидно. Так что сейчас нельзя делать акцент на чем-то одном, современное DLP- решение должно обеспечивать и блоки- ровку подозрительных операций, и раз- витые возможности по анализу инци- дентов. – Какие функциональные возможности DLP-системы являются для вас определяющими при выборе? На что рекомендуете обратить внимание тем, кто еще выбирает? Петр Ляпин – Основной задачей DLP-систем является реализация автоматизи- рованного контроля конечного множества информационных кана- лов (каналов утечки). Поэтому при выборе видится правиль- ным рассматривать в первую очередь возможности системы по контролю тех каналов связи, которые используются в организации. Причем так, чтобы охват был если не полным, то максимальным, с компенсационными мерами в непо- крытой части. Нюанс в том, что система (или система вкупе с компенсирующими мерами) должна покрывать все приме- нимые каналы утечки, "лоскутный" метод здесь неприменим. Последующие фак- торы, которые следует учесть, – это доступные способы интеграции DLP с целевыми системами (снизить нагрузку на них до минимума), наличие подходя- щих заказчику сценариев использова- ния, удобство интерфейсов и т.д. Алексей Плешков – Не самыми основны- ми, но востребованными функциями для DLP в настоящее время являются: интегрируе- мость/совместимость с продуктами и решения- ми по сбору и автоматическому анализу собранных/поступающих в DLP данных, а также возможность по желанию заказ- чика гибко/настраиваемо переключаться из режима избирательного сбора данных в режим сбора данных в полном объеме и вытекающая из этого возможность выполнения анализа и тестирования работоспособности новых правил для DLP на ранее собранных архивах данных (ретроанализ). Все остальные функции стали уже типовыми для большинства решений, представленных на отече- ственном рынке DLP. Константин Саматов – Если речь идет именно о системе класса DLP, то одной из важных характеристик должна выступать возможность блокировки исходящего за периметр организа- ции трафика. Тем, кто выбирает, реко- мендую четко определить класс системы, который им нужен. Я имею в виду то, что системы класса DLP часто путают с системами класса UAM (User Activity Monitoring), обеспечивающими монито- ринг активности пользователей, но не защиту от утечки информации вовне. Большинство существующих решений представляют собой комплексные систе- мы, сочетающие в себе возможности обеих систем, однако если речь идет о необходимости предотвращения утечек, то обязательной функциональной воз- можностью должна быть блокировка трафика. Анатолий Скородумов – Наиболее важными для нас в DLP-системе являются охват системой максимально возможно- го спектра каналов утеч- ки информации, возмож- ность ее гибкой настрой- ки в режиме предотвращения утечки дан- ных, развитые возможности поиска по сохраненному архиву информации и нали- чие набора настроенных правил "из короб- ки". При выборе DLP-системы важно четко понимать ее место в комплексной защите данных в вашей организации от утечки, четко определить цели ее внед- рения. В обязательном порядке стоит пропилотировать в организации то реше- ние, которое вы выбрали. 28 • СПЕЦПРОЕКТ Партнер "Круглого стола" www.searchinform.ru