Журнал "Information Security/ Информационная безопасность" #3, 2021

Одному нашему клиенту было важно блокировать пересылку файлов по мета- данным, другие случаи пересылки его не интересо- вали. Перед покупкой нашей DLP-системы ("СёрчИнформ КИБ") компания тестировала несколько других, и выясни- лось, что они с задачей не справляются, хотя в брошю- рах напротив этого типа блокировки стояла галочка. Ситуации, когда в извест- ном решении не хватает именно базовых, "DLP- шных" функций, большая редкость, а для нас они вообще скорее исключение. – Несмотря на то что DLP – это высо- кофункциональные реше- ния, возможностей ПО заказчику бывает недо- статочно. Почему так про- исходит? – В этом нет парадокса, тре- бования к классу DLP-решений уже сложились, но это база. Дальше вендоры развивают свои продукты в зависимости от понимания, куда идет рынок, а также под влиянием пожела- ний конкретных заказчиков, которые могут высказывать специфические требования. Если это важные функции, которые окажутся востребован- ными и другими заказчиками, вендоры включают их в план разработки. У нас в DLP так появилась интеграция со СКУД, BI-системами, таск-менеджер, элементы фразового поиска, обработка аудиоречи и мно- гое-многое другое. Но так развиваются не все продукты, поэтому и функцио- нал у них может быть беднее. Ограничение функциональности также может быть связано с тем, что в DLP применяются сторонние разработки. Иногда это целые движки, модули, платформы или даже White Labeling чужого продукта под видом своего. В результате вен- дор ограничен возможностями чужого программного продукта и его планами развития. Это частая проблема, которая встречается и в иностранных, и в ряде отечественных DLP- систем. Мы в свое время приняли решение работать на собствен- ном поисковом движке, его используем не только в DLP, но и в других продуктах. Все остальные элементы наших систем тоже самописные. Если клиенту потребуются доработки, исправление ошибок или тех- ническая поддержка, он гаран- тированно их получит. – DLP-системы обычно покупают надолго, если не навсегда. Как понять во время покупки, доста- точен ли функционал? – Часто разочарование воз- никает из-за того, что заказчик пренебрегает полноценным тестированием, ориентируясь на маркетинговые описания и составленные кем-то другим сравнительные таблицы. Я их понимаю: очень часто принять решение нужно быстро, а тести- рование отнимает значительное время. Тем не менее время, затраченное на тестирование, впоследствии оборачивается экономией во время эксплуата- ции. Поэтому я рекомендую составлять свою сравнительную таблицу: последовательно ста- вить на тест несколько DLP- систем и смотреть, как они отработают по наиболее кри- тичным для вас задачам. – Часто сталкиваетесь с тем, что заказчикам недо- статочно функционала вашего КИБа? – Такое бывает, но нечасто. Чаще мы сталкиваемся с тем, что клиент только думает, что функционала недостаточно. А потом выясняется, что для решения его задачи можно при- менять комбинацию существую- щих функций ПО, но заказчик об этом не догадывается. Да он и не обязан. Лучшими практи- ками должен делиться сам раз- работчик. Но у многих вендоров это просто не предусмотрено, и все сопровождение ограничи- вается техподдержкой. У нас, кроме техподдержки, есть отдел внедрения. Специалисты под- ключаются к работе вместе с инженерами с первых дней тестов, учат работе с DLP, рас- сказывают о нюансах, помогают сделать настройки, чтобы "подо- гнать" систему под конкретные задачи, а потом сопровождают клиента во время эксплуатации. Поэтому ситуации, когда в известном решении не хватает именно базовых, "DLP-шных" функций, большая редкость, а для нас они вообще скорее исключение. Заказчики чаще всего обращаются с просьбами об интерфейсных доработках. Помню клиента, которому мы реализовали за несколько лет более 150 подобных доработок. Готовность вендора к такой работе – важный показатель уровня продукта, ведь и кли- ентские пожелания во многом формируют Road Map. Бывает еще так, что не хва- тает функционала смежных решений. Например, при том, что любая продвинутая DLP выполняет функции e-discovery, для полноценного аудита и защиты данных в покое нужна другая система – DCAP. Нам тут проще, чем другим вендо- рам, потому что в нашей линей- ке пять продуктов, которые бес- шовно интегрируются друг с другом. Это DLP, SIEM, DCAP, DAM и ProfileCenter. – Один из главных вопросов – требователь- ность сложных программ к "железу". В случае с DLP-системами это неизбежное зло? 20 • СПЕЦПРОЕКТ Как выбрать DLP и не разочароваться? LP-системы давно переросли свое первоначальное назначение (предотвращение утечек) и используются для решения гораздо более широкого круга задач информационной, экономической и кадровой безопасности. Заказчикам бывает сложно сориентироваться в том, какую именно систему необходимо купить, например система может оказаться избыточной по функционалу, но действительно нужные опции там могут быть не реализованы. Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”, рассказывает, как избежать разочарования в процессе покупки DLP. D Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”