Журнал "Information Security/ Информационная безопасность" #3, 2020

• 33 DLP www.itsec.ru Функциональность "из коробки" и кастомизация В процессе эксплуатации DLP приходит понимание, что результативность работы системы сильно зависит от грамотной настройки автоматизации поисковых алго- ритмов. Как следствие, установив систему "из коробки", что-то обнаружить можно только при очень большом трудолюбии или совсем явном нарушении со стороны сотрудников. У безопасников сразу воз- никает масса дополнительной ручной работы по анализу данных. А значит, неминуемо встает вопрос доукомплекта- ции штата для работы с DLP-системой – нужны грамотные аналитики.. Мало кто в компании обладает виде- нием всего бизнес-ландшафта, каждый занимается лишь своим участком работ, поэтому потребуется сформировать общий перечень категорий информации. И это, как правило, становится само- стоятельным проектом по защите дан- ных, который не вызовет энтузиазма ни у кого в компании, кроме, может быть, вас. Это проявится в полной мере, когда потребуется прийти с неудобными вопро- сами в бизнес-подразделения, отнимая их внимание и время на зарабатывание денег для организации. ДарьяОрешкина: Подвох кроется в краткости определения DLP: можно подумать, что это рубильник для выключения утечек, но это не так. Система дает возможности отслеживания взаимодействия людей как внутри компании, так и с внешними контрагентами, и именно с помощью этой ценности можно попытаться обнаруживать или даже предотвращать утечки. DLP может автоматизировать задачи сбора и базового анализа информации, но покупатель должен хорошо представлять, что именно нужно автоматизировать и как использовать результаты. Максим Ксенофонтов: Зачастую DLP-система дей- ствительно покупается по принципу "чтобы не хуже, чем у дру- гих", особенно когда на это есть бюджет и возможность убедить руководство в необходимости таких затрат. Но есть и другой подход: когда специалисты по информационной без- опасности проводят технический и процессный аудит ИБ в компании, разрабатывают модель угроз и модель нарушителя, формируют адаптированный перечень мероприятий для защиты от выявленных угроз. И уже только тогда понимают, есть ли среди этих мероприятий установка DLP и какие модули необхо- димы. И цена в расчете на пользователя в таком случае полу- чается намного меньше, чем если покупать весь набор лицензий без предварительного анализа. Александр Клевцов: Такие вопросы снимаются за счет подготовки к внедрению. Вендор на этапе пилота проводит расчет вычислительных мощностей, объемов хранения, сроков, объемов трафика, количества контролируемых сотрудников, заранее снимает риск неправильного выбора железа. DLP не внедряется за один день, хотя некоторые пытаются. Галина Рябова: В 2019 г. мы проводили исследование основных причин разочарований заказчиков в DLP-системах. По итогам опроса одна половина заказчиков ответила, что современные системы защиты от утечек перегружены различ- ной функциональностью, а другая – что они, наоборот, имеют недостаточный функционал. Такая ситуация возникает потому, что на рынке нет единой концепции применения DLP-систем, какие задачи и как они должны решать. Сфера деятельности закрытая: применяя DLP для решения задач безопасности, заказчик, как правило, не делится своим опытом с вендором и отраслью, поэтому не вырабатываются best practices. В итоге заказчики не осознают в полной мере все возможности этих решений и используют лишь малую часть доступного функ- ционала. Владимир Ульянов: Действительно, выбор DLP-системы, особенно для компаний, где свыше тысячи рабочих мест, – процесс нетривиальный. Если смотреть только маркетинговые материалы разработчиков, скорее всего вам захочется купить все – так они хороши. В этом случае поможет независимая внешняя оценка. Анна Попова: Зачастую, принимая решение о покупке DLP-системы, мы не задумываемся о том, к чему нас это обя- зывает, какие мы должны выполнить требования при этом и как будет организована трудовая деятельность аналитиков и инженеров при работе с системой. Поэтому так важно при подборе DLP-системы, ее тестировании составлять чек-лист, по которому возможно будет сформировать грамотное и реаль- но работающее ТЗ на систему. Алексей Дрозд: Самый простой способ рассчитать нагрузку на ИТ-инфраструктуру – ставить на тест DLP в "мак- симальной комплектации" на как можно большем количестве машин. Поэтому на время пилота мы не ограничиваем число бесплатных лицензий. Если нужно контролировать больше, чем позволяет инфраструктура клиента, можно ввести распре- деленную систему обработки перехвата или развернуть КИБ в облаке. Дмитрий Кандыбович: Наше решение очень легко устанавливается, очень легко масштабируется под размеры рабочего парка, поэтому проблем с перегрузками у нас не воз- никает. Касательно вопроса работы с активами – на мой взгляд, при правильно организованном, логичном контроле за работой ответственных лиц эта проблема не проявляет себя. А если еще и имеются мощные средства анализа, то эта про- блема перестает быть актуальной в принципе. Главное – это правильный подход к проработке DLP-системы, начиная от общего принципа и заканчивая набором инструментов, пред- лагаемых системой. Комментарии экспертов Алексей Дрозд: DLP, которая дает 100%-ный результат "из коробки" – утопия. Даже с огромным набором предустанов- ленных правил контроля (у нас, например, таких больше 300) система требует донастройки под конкретную компанию. Чтобы упростить эту задачу для клиента, у нас работает отдел внед- рения. Анна Попова: Кастомизация работы DLP-системы, тюнинг ее политик и настроек – это, пожалуй, базовая вещь, без выделения ресурса на которую нет смысла в приобретении ПО. Александр Клевцов: Для крупных организаций DLP- системы по определению не могут быть коробочными, мы давно это говорим. Для упрощения жизни клиента у нас есть консалтинг, делающий внедрение безболезненным. Одновре- менно делаем упор на развитие технологий анализа: чем умнее технологии, тем меньше ручной работы. Максим Ксенофонтов: В целом это базовая задача для любого департамента ИБ: знать защищаемые информа- ционные активы, их свойства (категории, содержание и пр.), места хранения, владельцев и модель доступа к ним. И если Комментарии экспертов