Журнал "Information Security/ Информационная безопасность" #3, 2020

Когда покупаешь DLP-решение, чувствуешь свою важность Обычно DLP-система позиционируется как решение для защиты от утечек дан- ных и противодействия инсайдерам. DLP – недешевое удовольствие. Такое решение при расчете на количество охва- ченных системой пользователей в диа- пазоне 1500–2000 человек в докризисные времена могло стоить 10–12 млн руб. Поэтому, когда руководство согласовы- вает бюджет на DLP, безопасник чув- ствует себя весьма значимым лицом в компании, участвующим в принятии важных решений. На профильных конференциях неред- ки высказывания о том, что половина затрат на обеспечение информационной безопасности неэффективна. DLP-реше- ния, как мне кажется, являются подхо- дящей иллюстрацией. Проблемы экс- плуатации DLP-систем кроются не столь- ко в технических аспектах работы, сколь- ко в непонимании на начальном этапе эксплуатации сложности внедрения при- меняемых технологий и, как следствие, в завышенных ожиданиях пользователей таких систем. У меня отношение к DLP такое же, как к офисным пакетам: боль- шинство потребителей использует толь- ко, условно говоря, 10% возможностей подобного ПО. Что характерно, базовые вещи в DLP- системе, такие как контроль почты, конт- роль съемных носителей, поиск по ключевым словам, регулярные выраже- ния, а также нелюбимые всеми DLP- агенты работают нормально. Но детали применения DLP обычно меняют картину до неузнаваемости. Тонкости, о которых знают только профессионалы Даже если вы приобрели решение, вобравшее, как вам кажется, в себя все лучшее, что на данный момент пред- ставлено на рынке, не факт, что оно идеально впишется в вашу ИТ-инфра- структуру: l если система собирает всю возможную информацию, то она будет требователь- ной к вычислительным ресурсам; l если система с высокой точностью определяет факт утечки, то она требует детального описания ваших активов и правил контроля за ними; l если система может прерывать высо- корисковые процессы, то она и сама соз- дает дополнительные риски для бизнеса. После развертывания системы в пол- ном объеме вдруг всплывают вопросы недостатка вычислительных ресурсов, места для хранения архивов, недоста- точной скорости передачи данных по сети. Как следствие, чем больше анали- тиков подключаются напрямую к серверу обработки данных, тем медленнее рабо- тает система, перегружаясь событиями. 32 • СПЕЦПРОЕКТ ИИ как предсказатель утечек данных ичный опыт использования какой-либо технологии всегда имеет большее значение, чем любой маркетинг. Опыт работы с DLP-решениями (Data Leak Prevention) влияет на знание деталей применения, а осмысление этого опыта подталкивает иногда к довольно острым умозаключениям. Прогресс цивилизации заключается в увеличении количества важных действий, которые мы выполняем не думая. Альфред Норт Уайтхед Л Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru Участники: Максим Ксенофонтов, ведущий инженер Департамента информационной безопасности АМТ-ГРУП Дмитрий Кандыбович, генеральный директор StaffCop (ООО “Атом Безопасность”) Анна Попова, руководитель блока DLP, Infosecurity a Softline company Галина Рябова, руководитель направления Solar Dozor компании “Ростелеком-Солар” Алексей Дрозд, начальник отдела информационной безопасности “СёрчИнформ” Александр Клевцов, руководитель направления InfoWatch Traffic Monitor Андрей Арефьев, директор по инновационным проектам ГК InfoWatch Мария Воронова, директор по консалтингу ГК InfoWatch Дарья Орешкина, директор по развитию бизнеса, Web Control Владимир Ульянов, руководитель аналитического центра Zecurion