Что бы там ни говорили, но у большинства компаний работа службы (или отдела - как его ни назови, суть всё та же) информационной безопасности построена на расследовании уже произошедших инцидентов. В то же время, вряд ли кто-то будет спорить с тем, что это не совсем, скажем прямо, правильный подход к этому делу, и что безопасник должен уделять профилактике инцидентов столько же, если не больше, времени, чем их расследованию.
Если расследовать инциденты без DLP-системы ещё худо-бедно можно (поднимать логи серверов и делать прочую работу, которая выводит из себя не только безопасника, но и помогающего ему сисадмина), то с профилактикой без DLP вообще полный абзац. Потому что основа профилактики - это работа с подозрительными работниками, которые потенциально могут стать виновниками утечек информации. Но чтобы подозревать, нужны какие-то данные, которые расскажут о поведении работника в Сети, да и на рабочем месте, в принципе, тоже. Где взять такие данные, как не с помощью DLP-системы?
Впрочем, DLP-системы тоже бывают разными, и не все они, скажем прямо, одинаково полезны. Потому что если DLP-система не может анализировать связи между адресатами и строить графы, то безопаснику достаточно сложно определить, кто из сотрудников общался с тем, кто общался с конкурентами. А если DLP-система не умеет отслеживать появление конфиденциальных документов на рабочих станциях сотрудников, то безопаснику сложно узнать, что-то кто-то уже приготовился "слить" базу поставщиков деталей, которую заблаговременно скопировал себе на винчестер...
Это я всё к чему? К тому, что хорошая DLP-система - та, которая заточена на работу на опережение. А та система, которая на первое место ставит свои возможности по ведению архива инцидентов - она, как бы вам сказать... Всё-таки, отдел информационной безопасности при живом бизнесе - это что-то вроде иммунной системы, и когда она может разбираться со всеми только постфактум, болезнь не заставит себя ждать.
Р. Идов,
ведущий аналитик компании SearchInform
