Журнал "Information Security/ Информационная безопасность" #3, 2020

34 • СПЕЦПРОЕКТ ранее такая "инвентаризация" не была сделана, то действи- тельно приходится сначала проводить базовое обследование для определения защищаемых активов. Дмитрий Кандыбович: Использование системы ложится на офицеров ИБ, без этого никак, любая система может только предупреждать и ограничивать в простейших операциях. Проводить расследование – обязанность человека. Галина Рябова: Одной из задач, которые мы ставили при разработке DLP, была автоматизация рутинных сценариев работы офицера безопасности. В этой части DLP-системы не должны требовать заметной кастомизации. Гораздо важнее наличие методик решения стандартных задач. Что действи- тельно требует настроек – это политика фильтрации, потому что в каждой компании свои информационные активы, которые нужно защищать, и форматы их представления, а ложнополо- жительные срабатывания, подобно спаму, съедают время без- опасников. Дарья Орешкина: Ключевой вопрос при внедрении DLP – заинтересован ли бизнес в контроле коммуникаций. Если да, то необходимый импульс можно будет сформировать и передать по иерархической цепочке управлений и департаментов. Любого сотрудника, даже самого ответственного и дружелюбного, нужно мотивировать на выполнение той или иной задачи. Владимир Ульянов: По нашему многолетнему опыту, даже сами сотрудники бизнес-подразделений не всегда знают точно, где какая информация хранится. Поэтому большую помощь окажут инструменты класса Discovery, которые входят в состав Enterprise DLP. Эти программы в автоматизированном режиме сканируют корпоративные ресурсы, классифицируют данные и находят все места хранения конфиденциальной информации. Выбрали DLP с охватом всех возможных каналов утечки? В поисках ответа потребуется опреде- лить реальные каналы утечки информа- ции, обычно это является частью аудита информационной безопасности в ком- пании. Если обнаруженные потенциаль- но опасные каналы не решаются DLP- комплексом, приходится подключать дополнительные технические меры защиты. Возможно, DLP поможет пред- отвратить утечку, но система не может заменить все современные инструменты защиты данных. Производители часто заявляют, что настроили простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов. Но в реальности помощь вендора понадобится как в начале рабо- ты, так и в процессе последующей экс- плуатации системы; по моему опыту, частота таких подключений – примерно раз в квартал. За каждый дополнитель- ный запрос с вашей стороны произво- дитель, скорее всего, выставит солидный счет на доработку. Правовые основания для поиска злодеев Любая организация, установив DLP- систему, начинает всматриваться в свои ряды в поисках злодеев. Негодяи, как правило, находятся. Чтобы с ними "рас- правиться", требуется тщательная под- готовка правовой стороны применения DLP-систем в организации. Необходимо публично определить границы личного и производственного, зафиксировать это в документах и ознакомить сотрудников. А для этого задача предотвращения утечек информации должна быть зафик- сирована вашей организацией по резуль- татам оценки рисков. Должно быть также принято решение о проведении дея- тельности по предотвращению утечек информации конфиденциального харак- тера (о требованиях и рекомендациях по предотвращению утечек информации в кредитных организациях можно узнать из нормативных документов: ГОСТ Р 57580.1–2017; РС БР ИББС-2.9–2016). Максим Ксенофонтов: DLP может не покрывать все возможные каналы утечки информации, например ПЭМИН, лазерную разведку или DNS Exfiltration. Соответственно, для тех угроз, которые не закрываются DLP, необходимо реализо- вывать другие мероприятия для защиты информации. Владимир Ульянов: Именно здесь и выявляются рас- хождения между заявлениями разработчика и реальной экс- плуатацией. Хороший вариант – попробовать DLP на пилотном проекте. Это позволит оценить реальные возможности системы и удобство ее использования, а не только красочность марке- тинговых брошюр или талант менеджера по продажам. Дарья Орешкина: Доработка и донастройка требуют определенных ресурсов. Но раз люди начинают использовать новые технологии и решения, значит они удобнее прежних и дают дополнительные преимущества. Безопасность ни в коем случае не должна препятствовать развитию. Галина Рябова: Да, DLP-система требует квалифициро- ванного внедрения и технического сопровождения. Но как у хорошего сисадмина мало работы, так у хорошо внедренной DLP-системы мало проблем. Поэтому, конечно, имеет смысл обращаться к вендору, ведь у него самая глубокая экспертиза по своему продукту. Анна Попова: На практике это часто работает так: ты завел тикет в службу техподдержки вендора и ждешь. Иногда долго. Затем начинается процесс "борьбы" с вендором за выяснение обстоятельств сбоя или ошибки системы, который может ничем не закончиться. АлексейДрозд: Часто дело не в недостатке функционала DLP, а в том, что у клиента до нужных функций "не доходят руки". Чтобы таких ситуаций не возникало, мы бесплатно обучаем работе с системой. Мы остаемся на связи с заказчи- ками, потому что живой фидбэк – основа для развития продукта и релиза новых. Андрей Арефьев: Со временем задачи эволюционируют. На начальном этапе ИБ хочет знать, что происходит, и закрыть очевидные проблемы. По мере роста зрелости процессов защиты информации возникают новые задачи, это нормально. Платить за доработки придется, если система незрелая. Дмитрий Кандыбович: Поэтому наше решение не является только DLP-системой, а включает в себя множе- ственный функционал, стоящий на трех основных китах – мониторинге, аналитике и блокировке. Мы делаем хорошо свою работу, поэтому неважно, как свою работу делает клиент, наше решение сработает в любом случае. Комментарии экспертов