Журнал "Information Security/ Информационная безопасность" #3, 2019

чие механизмов отказоустойчивости. И безусловно, для установки в своей организации следует серьезно рассмат- ривать системы, имеющие большое коли- чество реальных внедрений в России. – Существует мнение, что никакие DLP-системы не способны обеспечить эффективный контроль за всем многообразием всевозможных коммуникаций практически в условиях постоянно изменяющихся технологий. Так ли это? Роман Ванерке – Конечно, пока не при- думали устройства, сти- рающего память, как в "Людях в черном", ведь к о нфид е н ци а л ь н ую информацию всегда можно запомнить. Кроме того, ее можно переписать ручкой, сфотографировать/записать видео, запи- сать на диктофон и т.д. Поэтому ни одно решение не заявляет и не может заявить, что защищает на 100%. Эффективное качественное решение позволяет ана- лизировать основные, наиболее веро- ятные, каналы передачи данных – Web, почта, съемные устройства, печать, мес- сенджеры, в большинстве случаев этого более чем достаточно. Все остальные каналы рекомендуется блокировать как на уровне МЭ, так и на уровне АРМ. Сергей Вахонин – Такое мнение чаще всего опирается либо на печальный опыт, когда приобретенная DLP- система приводит к утечке информации, либо на недостаточные знания о возможностях полнофункцио- нальных DLP-систем. Утечки информа- ции при наличии установленной DLP- системы происходят чаще всего или потому, что выбранное DLP-решение устанавливалось "для вида" и имитации бурной деятельности службы ИБ, или оно неспособно предотвращать утечки в силу своей ограниченности по широте каналов либо из-за акцента на анализ архива событий и теневых копий (post- DLP). Безусловно, нет смысла спорить с тем, что в эпоху бурного развития коммуни- кационных технологий постоянно видоиз- меняются и растут возможности пользо- вателей, но, с другой стороны, отрицать как необходимость защиты от утечки данных, так и принципы построения ком- плексных систем, когда для решения задачи используются одновременно набор технических средств в сочетании организационными мерами, тоже некор- ректно. Существует простое правило: чем меньше в DLP-системе контроли- руемых каналов утечки данных, тем шире возможности злоумышленников. Попытки злоумышленников найти неконтролируе- мый канал для намеренного слива инфор- мации будут существенно ограничены при использовании полнофункциональ- ного DLP-решения, решающего все три основных задачи контроля: Data-in-Use, Data-in-Motion и Data-at-Rest. Разработ- чики же в свою очередь должны учиты- вать развитие коммуникационных систем и постоянно расширять спектр контроли- руемых каналов передачи данных. Грамотный подход к защите данных от утечки заключается в сочетании трех ключевых мер. Первая – нейтрализация наиболее опасных векторов угроз утечки информации, достижимая через реали- зацию сценария минимальных привиле- гий, когда пользователям доступны толь- ко те каналы передачи данных и устрой- ства хранения, которые действительно необходимы для работы, при этом дан- ные, передаваемые и сохраняемые через доступные каналы и устройства, инспек- тируются на предмет наличия информа- ции ограниченного доступа, передача которых недопустима и должна быть заблокирована. Вторая ключевая мера – мониторинг прочих потенциальных кана- лов утечки информации для снижения негативного влияния угроз. Наконец, третья – регулярный анализ данных, хранимых на рабочих станциях сотруд- ников. А если еще и посмотреть в сто- рону создания стерильных рабочих сред в средах виртуализации с использова- нием удаленного доступа, который ста- вится под защиту DLP-системы, то веро- ятность утечки конфиденциальной информации становится намного ниже. Дмитрий Кандыбович – End-Рoint-решения поз- воляют собирать очень много данных не только по движению информа- ции, но и по запуску про- грамм, меняют сертифи- кат на агенте, т.е. покры- вают полный функционал. Вы можете видеть, что человек делает, с какими документами работает, их передвиже- ние, копирование, удаление, на особо важные документы вы можете делать теневую копию на любое действие. Про- тив мобильных устройств пока нет реше- ния. Есть разнообразные технические средства, которые обещают защиту или как минимум понимание, кто фотогра- фировал и у какого пользователя был документ. Но они работают на особых условиях и на российском рынке массово не продаются. Зарубежные аналоги стоят достаточно дорого. Какую бы DLP- систему вы ни внедрили, с этим бороться достаточно сложно. Александр Ковалёв – Конечно, ни одно решение по ИБ не защи- тит на 100%, однако надежность работы пра- вильно настроенной DLP-системы крайне высока. К тому же есть много смежных кейсов, например мони- торинг активности подозрительной груп- пы сотрудников, профилактика утечек, архивирование информации о действиях сотрудников, контроль за привилегиро- ванными пользователями, выявление невидимых глазу аномалий и т.п., кото- рые трудно реализовать без DLP. Алексей Кубарев – Перед DLP-системами никогда не стояла зада- ча контроля всех ком- муникаций, речь всегда шла о коммуникациях в корпоративной среде. С этой точки зрения про- блемой становится перенос рабочих коммуникаций во внерабочую среду, где у работодателя нет не только техниче- ской, но и юридической возможности контролировать своих сотрудников. Что касается корпоративных комму- никаций, то я не вижу негативной тен- денции: даже оказавшиеся в какой-то момент вне контроля мессенджеры сего- дня вполне успешно контролируются DLP-функциональностью. Что, на мой взгляд, сегодня действительно важно – это возможность увидеть общую картину коммуникаций по различным каналам. Поэтому аналитические возможности DLP и возможности визуализации при- обретают все большее значение. Елена Нагорная – Все зависит от уровня зрелости компании в вопросах информацион- ной безопасности. В ряде организаций, с которыми мне приходится взаимо- действовать, закрыты USB-порты, отсутствует прямой доступ в сеть Интернет, запрещено использование программного обеспечения, не входящего в перечень разрешенного к использова- 30 • СПЕЦПРОЕКТ Партнер "Круглого стола" www.rt-solar.ru