Журнал "Information Security/ Информационная безопасность" #3, 2022

пании каналы, а также путем правильной проектировки внедрения. Кроме того, при ограниченности бюджета можно приобретать DLP в рассрочку – покупать подписку на год с дальнейшей пролон- гацией. В моменте это обойдется суще- ственно дешевле, чем сразу купить бес- срочную лицензию. Владимир Ульянов, Zecurion: С точки зрения потребителя есть толь- ко один правильный вариант – найти подходящую DLP, чтобы не перекраивать всю инфраструктуру. Zecurion предлагает пятнадцать вариантов внедрения, и часто нас спрашивают: зачем? Действительно, в одной компании достаточно одного- трех способов. Но эта вариативность дает возможность подстроиться под сеть любого заказчика с объемами свыше 100 тыс. рабочих мест и тысячами филиалов и предложить именно тот сце- нарий, который лучше всего подходит. Дмитрий Горлянский, Гарда Технологии: Снизить затраты можно в первую очередь организационными мерами: должны быть определены базовые объ- екты защиты, места их хранения, спо- собы передачи данных, права доступа, периметры их передачи и т.д. Это значи- тельно сократит наиболее болезненный и продолжительный этап жизненного цикла любой DLP – внедрение и перво- начальную настройку. Следует обратить внимание также на оптимизацию конт- ролируемых каналов и функциональных возможностей. Один из часто встре- чающихся примеров – необходимость шифрования файлов на внешних устройствах при запрещенном исполь- зовании этих самых внешних накопите- лей. Еще один пример оптимизации – использование контроля каналов, а не рабочих мест, например, для HTTP(s)- трафика. Александр Клевцов, InfoWatch: Чтобы снизить затраты, нужно, чтобы DLP-система корректно работала в любых импортозамещенных средах, то есть чтобы она изначально их под- держивала. Алексей Дрозд, СёрчИнформ: Затраты на внедрение можно снизить в любой инфраструктуре, купив DLP, которая в условиях дефицита железа эффективно использует мощности. Принципиальными критериями являются качество исходного кода и способность разработчиков оптимизировать продукт. По моему мнению, DLP-система, собран- ная из различных опенсорсных компо- нентов, по функциям и производитель- ности не может сравниться с проприе- тарным решением, разрабатывавшимся много лет. Еще одна возможность – развернуть DLP в облаке, если бизнес не готов тратиться на железо. Александр Клевцов, InfoWatch: Нужно, чтобы эксплуатация DLP-систе- мы требовала от сотрудников минимум специфических знаний. Сложные во внедрении DLP-системы, на полноцен- ную работу с которыми требуется целый штат ИБ, должны уйти в прошлое. Кад- ров в ИБ и так не хватает, чтобы исполь- зовать их для разбора рутины. Зрелая DLP позволяет сделать это средствами автоматизации: например, находить новые категории документов и создавать новые лингвистические модели для их защиты, помогать с актуализацией поли- тик безопасности и т.д. Алексей Кубарев, РТК-Солар: По сути, для эксплуатации DLP-систе- мы в организации нужны две роли: это ИТ-специалист, который сможет инже- нерно поддерживать систему и будет понимать, как она работает, и аналитик со специализацией в безопасности, который будет работать с системой и проводить расследования. Решение инженерных задач в принципе можно переложить на плечи вендора или интег- ратора, приобретя расширенную техни- ческую поддержку. А вот аналитика лучше иметь своего. Однако чем больше в компании сотрудников, тем больший штат аналитиков потребуется: ориенти- ровочно один специалист на пятьсот пользователей. Алексей Дрозд, СёрчИнформ: На каждые полторы тысячи пользова- телей необходим один аналитик, который должен понимать, как пользоваться системой, какие виды поиска есть и как настраивать политики. Если у аналитика возникают сложности в работе с систе- мой, то у нас есть специалисты отдела внедрения, которые помогут настроить ПО, а сотрудники учебного центра рас- скажут о тонкостях работы с "СёрчИн- форм КИБ". Дмитрий Горлянский, Гарда Технологии: Думаю, что оценить потребность в сотрудниках можно только опытным путем, то есть обратиться к опыту коллег. Если брать в качестве примера наших клиентов, то при правильно настроенных политиках выявления инцидентов один сотрудник ИБ вполне может контроли- ровать до одной тысячи сотрудников. Но эти цифры все равно могут сильно разниться в зависимости от того, какие инциденты будут считаться критичными, какие менее критичными. Если в компа- нии гайки закручены максимально плот- но, то и объем обрабатываемых инци- дентов вырастет во много раз, что, есте- ственно, потребует больших затрат чело- веческих ресурсов. Владимир Ульянов, Zecurion: Самая точная оценка – практическая. Даже с опытом работы у нескольких вендоров и сотен заказчиков я не могу заранее предсказать потребности на следующем проекте. В общем случае количество людей на DLP зависит от самой системы (на рынке есть очень ресурсоемкие конкуренты), используе- мых модулей и задач, которые органи- зация ставит перед DLP. Для Zecurion в порядке вещей, когда единственный офицер безопасности успешно контро- лирует свыше десяти тысяч рабочих мест и чувствует себя вполне комфортно. Но если требуется скрупулезный разбор всех событий и ежедневная отчетность для первых лиц, а процессы в самой компании не отлажены, людей придется добавлять. l Как оценить количество и специализацию сотрудников, необходимых для эффективной работы DLP-системы в организации? • 39 DLP, DCAP, DAG www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru