Практически в любой компании есть информация, утечка которой может негативно сказаться на бизнесе и привести к финансовым или репутационным потерям. Защитить свою компанию поможет вовремя и правильно подобранная система защиты от утечек информации или DLP-система (data leak prevention или data loss prevention). Такие решения следят за движением важных для организации данных и реагируют на их нелегитимную передачу или копирование.

Чем отличаются современные DLP-системы и что необходимо учитывать при их выборе и выборе поставщика — советы экспертов

ICT.Moscow попросил участников ИТ-рынка и экспертов из компаний, занимающихся информационной безопасностью, помочь разобраться, как правильно сделать выбор такой системы. 

---

Каким компаниям это нужно 

Системы защиты от утечек информации чаще всего устанавливают банки, предприятия нефтяной отрасли, крупные ритейлеры, производственные компании. Однако сфера деятельности здесь не так важна, как количество сотрудников. Обычно компании начинают интересоваться DLP-системами, когда численность сотрудников превышает 50 человек.

Алексей Парфентьевруководитель отдела аналитики «СерчИнформ»

---

Когда это целесообразно 

DLP-системы стоит внедрять, когда информационная безопасность уже не может базироваться на доверии к сотрудникам (то есть, при росте бизнеса).

Константин Янсооснователь, технический директор платежного сервиса CloudPayments

---

Зачем нужна DLP-система

Сейчас защита конфиденциальной информации — это только одна из больших задач, которые система решает для бизнеса. Например, в пул задач DLP входят: защита интеллектуальной собственности и персональных данных, выполнение требований регулятора; выявление мошенничества с возможностью проведения ретроспективных расследований; выявление групп риска среди сотрудников и контроль настроений в коллективе, поведенческий анализ; оценка эффективности и продуктивности работника.

Алексей Парфентьевруководитель отдела аналитики «СерчИнформ»

---

Какие бывают DLP-системы

На высоком уровне можно выделить три типа DLP-методик: 1) аудит пользовательских действий; 2) разделение прав доступа; 3) аудит исходящего трафика на периметре защищенной системы. При этом все три методики отдельно неэффективны. Первая позволяет выявить факты чтения, копирования, записи этих данных. Вторая методика позволяет ограничить круг сотрудников, которым открыт доступ к тем или иным данным. Третья — ограничить передачу документов. Конечно, мало внедрить эту систему — важно наладить процедуры мониторинга и реагирования на инциденты, иначе просто деньги на ветер.

Константин Янсооснователь, технический директор платежного сервиса CloudPayments

---

Как работают DLP-системы

Обычно система работает на двух уровнях – для корпоративной сети в целом и для каждого отдельно взятого компьютера в частности. Работа на уровне сети позволяет контролировать все входящие и исходящие коммуникации (почта, мессенджеры, социальные сети, облачные хранилища и т.д.). Система подключается к корпоративному сетевому оборудованию, в нее загружаются политики безопасности. Если система обнаружит пересылку файла c коммерческой тайной, например, по электронной почте, она может уведомить об инциденте или даже самостоятельно принять решение заблокировать передачу. Работа на уровне отдельно компьютера позволяет мониторить несетевые каналы передачи, например, копирование на USB или распечатку на принтере, а также дает ценные данные для расследования инцидентов (скриншоты, аудио/видео запись на момент инцидента и т.д.). Также на уровне локального ПК возможен контроль защищенных средств связи, таких как end-to-end мессенджеры (Telegram, Whatsapp, Viber). Для максимальной эффективности нужно использовать обе схемы. 

Алексей Парфентьевруководитель отдела аналитики «СерчИнформ»

---

С чего начать

Не стоит начинать проект защиты с внедрения специализированных продуктов. В первую очередь, стоит провести анализ существующей информационной системы и определиться, используются ли надлежащим образом механизмы аутентификации, авторизации и нет ли рисков, которые требуют дополнить существующую систему технологиями F2A (двухфакторной аутентификации), шифрованием и другими более или менее «традиционными» технологиями. Только после этого шага имеет смысл рассматривать специализированные системы защиты данных.

Михаил Кондрашинтехнический директор Trend Micro в России и СНГ

---

На что обратить внимание при выборе DLP-системы

Современные системы DLP позволяют решить самые разные задачи, но они не всесильны и не позволяют обеспечить защиту во всех возможных сценариях утечек данных. Поэтому успех проекта существенно зависит от формулировки задачи. Чем конкретнее будет сформулирована задача, тем проще будет подобрать круг подходящих решений и выбрать наилучшее. При этом стоит принять во внимание глобальную статистку известных утечек, согласно которой, большая часть является результатом удаленного взлома и непреднамеренного разглашения.

Михаил Кондрашинтехнический директор Trend Micro в России и СНГ

Выбор конкретной системы напрямую зависит от поставленных задач. К примеру, большинство отечественных DLP ориентированы в первую очередь на расследование произошедших инцидентов, в то время как зарубежные решения направлены на предотвращение самой утечки. Или, например, если говорить о размере организации, то с простыми задачами по контролю внутренних угроз справится хорошая система среднего класса, а в большой распределенной инфраструктуре не обойтись без решений от лидеров рынка. Стоит помнить, что чудес не бывает, и DLP, как и любое техническое решение, имеет ряд ограничений. Поэтому к защите от внутренних угроз всегда стоит подходить комплексно.

Дмитрий Ключниковруководитель направления DLP Центра информационной безопасности компании «Инфосистемы Джет»

В первую очередь, надо определиться с требованиями: какие каналы необходимо контролировать и по какому принципу блокировать передачу конфиденциальных данных. Предпочтительнее выбирать систему с модульной структурой, которая позволяет масштабировать решение или отключать ненужный на текущий момент функционал.

Олег Бойкоруководитель групп методологии и проектирования ИБ «М.Видео»

Основные критерии выбора такие: 1) Количество контролируемых каналов. Ведущие DLP-системы умеют контролировать все известные каналы передачи информации от корпоративной и веб-почты до мессенджеров, шифрующих сообщения. 2) Надежность и скорость работы DLP. Важно разворачивать тестирование на максимально большом парке машин. 3) Аналитические возможности. DLP-система должна уметь не просто собирать информацию, но и помогать анализировать массив полученных данных. 4) Цена и стоимость владения системой. 5) Экспертиза, опыт и надежность вендора. 

Алексей Парфентьевруководитель отдела аналитики «СерчИнформ»

---

Как выбрать поставщика DLP-системы

Поставщик услуг должен обладать обширным опытом в реализации проектов по защите от внутренних угроз в различных сферах, чтобы подобрать решение конкретно вашей задачи, правильно проанализировав ваши потребности.

Дмитрий Ключниковруководитель направления DLP Центра информационной безопасности компании «Инфосистемы Джет»

Поставщик должен быть готов дорабатывать свое решение под нужды заказчика. Далее необходимо убедиться в наличии у поставщика квалифицированного персонала. К примеру, для качественной работы лингвистического метода выявления конфиденциальных данных требуется работа лингвиста, который проведет анализ используемых в компании документов с учетом ее специфики и сферы деятельности. Также важно наличие у исполнителя проекта бизнес-аналитика, который проведет оценку процессов компании и используемых в этих процессах документов и данных, что позволит сформировать работающие политики контроля.

Олег Бойкоруководитель групп методологии и проектирования ИБ «М.Видео»

У поставщика должен быть опыт внедрения в крупных компаниях, а само решение должно быть сертифицировано. При этом DLP-система должна быть масштабируемой, обладать продвинутыми технологиями контентного анализа и обеспечивать низкий уровень ложных срабатываний. Одновременно с внедрением необходимо ввести регламент и правила обращения информации для сотрудников и провести обучение. Об остальном позаботятся установленные на рабочих станциях агенты, изучающие информационные потоки, и аналитические инструменты DLP-системы.

Константин Левинвице-президент ГК InfoWatch

---

С некоторыми DLP-системами из Москвы можно ознакомиться в подборке на ICT.Moscow