14 Сентября, 2013

Вовлечение всей компании в контроль утечек информации

Игорь Агурьянов
Во всех DLP-системах (за весьма редким исключением) имеется модуль контроля трафика по цифровым отпечаткам. Штука хороша тем, что количество ложных срабатываний довольно низкое. Самая сложная часть, как оказалось, собрать внутри компании те документы, которые никуда не должны уходить, ну или уходить на перечень строго определенных адресов.

Наша же трагедия в том, что наиболее интересная конкурентам информация (за которую они готовы платить... и платят) это информация о клиентах, которая содержится во множестве документов, сопровождающих сделку, которые могут уходить на совершенно "спонтанные адреса" этих самых клиентов, а еще поставщиков, иногда других контрагентов. В общем, куда может уходить информация по конкретному клиенту может точно знать только один человек - менеджер, который этого клиента ведет. В его же интересах, чтобы эта информация (что вероятно, вместе с клиентом) не ушла к конкурентам.

Отсюда вытекает решение - дать возможность снимать цифровые отпечатки с документов по своим клиентам самим менеджерам. "Ну это не сложно реализовать" - скажут вендоры DLP, показав возможность снимать отпечатки по расписанию из конкретных сетевых папок. Забудем пока, что нужно для этих документов выставить 100% совпадение (т.к. документы построены по типовым шаблонам - если меньше вполне вероятны срабатывания на документы других менеджеров), а не все DLP-шки умеют для разных групп документов это умеют. Забудем также, что такими действиями мы создаем дополнительное хранилище конфиденциальной информации, которое нам же придется потом защищать.


Проблема здесь несколько в другом. Т.к. менеджер знает, куда могут уходить документы, то придется либо вынуждать его каждый раз прописывать для документов (групп документов) разрешенные адреса - а это уже займет больше времени, чем просто закинуть копии в папку "на рабочем столе". Либо уведомлять менеджера каждый раз - и он увидит: "Ага, это я отправил, все ок!", или "Какого делает мой коллега?!"

Второй вариант плох тем, что сотрудник, увидев нечестную игру своего коллеги может воплотить в жизнь желание настучать канделябром последнему по голове. Или, что хуже, ребята получат возможность договориться и вместе встать на темную сторону. Поэтому все-таки придется выбирать первый вариант. Хотя в 90% случаев отправлять документы из своей папки легитимно будет только тот, кто их туда разместил, поэтому если его e-mail поместить в исключения, а про отправки другими способами оповещать специалиста по контролю утечек, то может что-то и получится.
или введите имя

CAPTCHA
16 Сентября, 2013
Вовлечь пользователей в процесс обеспечения ИБ компании можно путем обязательной классификации документов, которые они создают\редактируют. Это даст более точное понимание самими пользователями ценности информации (нужно обязательно выбрать классификацию при сохранении), персональную ответственность (метаданные в документе явно определяют того, кто назначил классификатор) и DLP гораздо проще контролировать документы по данным метатэгам. Но при этом есть большой пласт работы самих сотрудников ИБ, который заключается в том, что необходимо разработать эти классификаторы, определить критерии того или иного класса информации, обучить пользователей их пониманию (наверное самое сложное). Дальше только профит т.к. привязал политики работы DLP к данным классам и смотри в инциденты. Процесс становится частично автоматизированным: Пользователи классифицируют, DLP контролирует.
0 |
  • Поделиться
  • Ссылка
16 Сентября, 2013
Категорирование информации - важная задача, которой сейчас уделяется много времени в нашей компании. И правила маркировки документов уже разработаны и, даже, потихоньку, сотрудники начинают их использовать - даже без какой-либо titus-classification или подобной программы - в ручную добавляют метки в документ. Т.е. негодяй может их удалить перед отправкой (кое-кто уже белым шрифтом на белом фоне дополнительно маркирует документы )- но проблема больше в другом - большая часть информации ограниченного доступа в компании содержится в документах связанных со сделкой с клиентом и, соответственно, если ее грифовать DLP будет выдавать сотни срабатываний в день на легитимные отправки.
0 |
17 Сентября, 2013
кое-кто уже белым шрифтом на белом фоне дополнительно маркирует документы Идея хорошая, но вот отсутствие обязательности этого действия приведет к тому, что выполняться это будет единицами. Большинство сотрудников это это делать не будут т.к. пользователь всегда идет по пути наименьшего сопротивления. DLP будет выдавать сотни срабатываний в день на легитимные отправки.это смотря как настроить связку классификация-политики DLP
0 |