30.09.2009

Внедряем DLP?

Внедрение таких систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер.

Безмалый В.Ф.
MVP Consumer Security

Сегодня модно говорить о необходимости внедрения DLP (Data Leak Prevention) систем.

Все верно. Внедрение таких систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно!

А ведь конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Если прямой ущерб мы с вами в состоянии выразить в деньгах, ведь он включает в себя прямые финансовые потери, затраты на расследование инцидента и устранение его последствий, санкции со стороны регулирующих органов и т.д., то оценить стоимость косвенного, включающего стоимость возможных потерь для бизнеса, снижение репутации компании, весьма и весьма сложно.
Еще сложнее тем организациям, которые используют в своем бизнесе интеллектуальную собственность. Для таких организаций утечка будет катастрофой в течение длительного времени.

На самом деле, вполне очевиден вопрос, а так ли уж велики риски от утечки?

Согласно ежегодному исследованию института CSI "Computer Crime and Security Survey 2008", приведенному по адресу http://infowatch.ru/threats_and_risks/risks_analysis/ почти половина (44%) компаний в течение года сталкиваются с негативными действиями инсайдеров и утечкой конфиденциальных данных. Помимо этого 42% компаний заявили о краже у них мобильных носитель, а 2% компаний в год фиксируют у себя случаи саботажа.

Иными словами, любая компания может столкнуться с действиями инсайдеров или потерей мобильных носителей с вероятностью 44% и 42% в год соответственно.

Согласно исследованию института Ponemon “The 2008 Annual Study: Cost of a Data Breach”, средний объем ущерба, связанный с хищением конфиденциальной информации в 2008 году, составил $6,6 миллиона (в 2007 году –$ 6,3 миллиона) для США, 1.4 миллиона фунтов стерлингов для UK и ?2.41 миллиона для Германии.


Рисунок 1 Средний объем ущерба из-за утечки информации (млн. USD)

Вместе с тем стоит отметить, что, несмотря на все это, внедрение DLP систем оказалось для бизнеса весьма и весьма сложной задачей. Почему?

Потому что в идеале классическая DLP-система с точки зрения бизнеса это просто черный ящик, на входе которого анализируемая информация, а на выходе – разрешенная к пересылке. Чтобы все это работало, вроде как нужно совсем не много – поставить данную систему на сетевой шлюз, сконфигурировать правила и радоваться. Однако все не так просто. Почему?
На самом деле, потому что совсем не просто создать правила фильтрации. Ведь на практике весьма сложно отличить информацию, легально покидающую вашу организацию от нелегальной. Более того, весьма часто, увы, организации не имеют даже формальных признаков того, какая информация может являться конфиденциальной.

Просто потому что весьма и весьма часто внедрение DLP-систем начинается с того, чем по идее должно заканчиваться.
Т.е. покупается DLP-система, ее разворачивают, внедряют и тут выясняется, что политики безопасности на предприятии нет, классификация информации отсутствует, сотрудники не подозревают, что можно пересылать, а что нет.

Увы, это не редкость. А как же все-таки нужно делать?

Первое с чего нужно начать – принять «Положение о конфиденциальной информации», в котором четко указать какая информация на предприятии является конфиденциальной (вариант – конфиденциально все, ввиду явного маразма не рассматривать).

Вместе с тем нельзя забывать о том, что обеспечение информационной безопасности это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи, являются неотъемлемой частью автоматизированной системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Принципиально важно понимать, что DLP-система не панацея. Ее внедрение всего лишь составная часть комплексной системы защиты информации. Увы, необходимо понимать, что быстрого, эффективного и дешевого решения проблемы защиты информации не существует в природе!

Кроме того, необходимо понимать, что для эффективного внедрения DLP-систем необходимо помнить о том, что персонал нужно обучать!

Сложность внедрения подобных систем будет заключаться именно в том, что подобные системы будут влиять на сами бизнес-процессы.

Каковы перспективы внедрения DLP-систем на Украине?

Перспектив развития DLP-технологий на Украине НЕТ!

Почему?

Да потому что на Украине до сих пор нет ни одного самостоятельного продукта с применением данных технологий (в крайнем случае, я о таких не подозреваю). Другое дело – ПРИМЕНЕНИЕ данной технологии.

Вот об этом я снова хотел бы поговорить.

Перспективы применения DLP на Украине весьма туманны. На то есть масса причин. Давайте рассмотрим их по порядку.
Что такое DLP? Защита от внутренних утечек. Но для того чтобы защищать вначале желательно понять ЧТО защищать, верно? Каким образом мы с вами определим, что перед нами утечка, а не санкционированное действие?

А вот тут мы с вами должны подумать и хорошенько подумать!

Для того чтобы внедрять DLP нужно вначале классифицировать обрабатываемую на предприятии информацию по степени ее конфиденциальности. А теперь вопрос. Во многих ли организациях проведена эта работа?

Учтите, данная работа должна проводиться постоянно. Ведь появляются все новые и новые документы. Если вы к этому не готовы, эта работа не сделана, внедрение DLP не возможно!

Но это одна часть проблемы, большая, но все же часть!

Есть и вторая. Вторая часть – это законность подобных мероприятий. Никто не станет отрицать, что в нашей стране Конституция гарантирует тайну переписки. Причем тип переписки (частная, служебная, личная) не оговорен. Что отсюда следует?

А следует то, что фирма, просматривающая, пусть даже с помощью DLP, письма своих сотрудников, нарушает Конституцию Украины. Для грамотного юриста выиграть подобное дело - плевый вопрос. Это вторая сторона. Однако данный вопрос (применение DLP) весьма многогранен.

Необходимо подчеркнуть, что настройка DLP-систем далеко не тривиальный вопрос. А значит это потребует наличие грамотных специалистов как в области ИТ, так и в области документооборота.

А обучение пользователей определению грифа вновь создаваемого документа?

Я не хочу сказать что DLP – плохо! Я хочу сказать, что это огромный объем работы, доступный далеко не каждому!

Кроме того, хотелось бы подчеркнуть, что это не более чем одна их технологий безопасности, а отнюдь не панацея!

Однако что делать, если вы все же решили внедрять DLP-систему?

На самом деле вам придется сделать следующее:

  1. Провести аудит бизнес-процессов и документооборота
  2. Определить какая информация обрабатывается на фирме
  3. Определить степень конфиденциальности обрабатываемой информации
  4. Внедрить систему электронного документооборота
  5. В системе однозначно описать права сотрудников (что само по себе не тривиальная задача)
  6. Затем обучение сотрудников по проблемам конфиденциальности обрабатываемой информации и проставляемым грифам
  7. Внедрение требований информационной безопасности в должностные инструкции
  8. Создание признаков конфиденциальной информации (правил для DLP)
  9. Внедрение DLP-системы

Естественно это достаточно грубая схема и в каждом случае вам придется делать по своему, однако, как мне кажется, без этого разговор о DLP просто неуместен.
Если говорить о перспективах подобных систем, то они, безусловно, есть! Однако уж очень туманны!
Вероятно, поэтому внедрение подобных систем пока не стало массовым. Надеюсь, только пока.

или введите имя

CAPTCHA
Страницы: 1  2  3  
30-09-2009 17:39:11
Какой такой украины, сайт российский вроде?
0 |
30-09-2009 19:01:02
А что, в россии не читают и не регистрируются на сайтах, которые находяться вне россии???
0 |
05-10-2009 09:46:56
Нда - про Украину непонятно. Тогда уж заголовок измените на: Внедряем DLP на Украине?
0 |
02-10-2009 12:08:59
В первой части статьи было указано, что автор работает в Мироновке, это Киевская область. final - зачем тратишь время на чтение сайтов такой тематики, иди играй в тетрис.
0 |
30-09-2009 17:49:33
Перспективы туманны - странно. Плюс хотя бы в том, что не придется интернет ограничивать, почту читать, флешки запрещать и мобильные устройства. Категоризация конфиденциальной информации - это не так сложно как кажется. Создать первоначальный перечень, затем каждый руководитель пришлет перечень своих конфиденциальных документов/папок, и все. Внедрить систему электронного оборота - а это еще зачем? Бумажный документ никто DLP защищать не собирается, но это не значит что от него надо избавляться...
0 |
30-09-2009 19:04:47
Категоризация конфиденциальной информации - это не так сложно как кажется. Создать первоначальный перечень, затем каждый руководитель пришлет перечень своих конфиденциальных документов/папок, и все.это кажется, что не сложно, нужно ещё категорировать содержание, например, если документ содержит в своём теле какуе то фразу, то применить то или иное правило (политику), на самом деле DLP - это серъёзный кусок работы!!!
0 |
01-10-2009 04:24:30
Внедрить систему электронного оборота - а это еще зачем? Бумажный документ никто DLP защищать не собирается, но это не значит что от него надо избавляться... Если от бумажного документооборота не избавляться, DLP не нужен в принципе. Кто тебе помешает вынести бумажный документ за пределы предприятия? Для защиты от этого необходимо ещё и КПП ставить чтобы сотрудники какую бумажку конфиденциальную не вынесли. Опять же если внедрили DLP, такой КПП всё равно не помешает, вдруг кто распечатает закрытую инфу и вынести попробует.
0 |
01-10-2009 09:19:26
Полностью от бумажного документооборота избавиться не выйдет, так как компания не может быть изолированна, а другие организации (в том числе и государственные) пока не спешат избавляться от бумаги. "Опять же если внедрили DLP, такой КПП всё равно не помешает, вдруг кто распечатает закрытую инфу и вынести попробует." - все зависит от каналов, контролируемых DLP решением, на данный момент есть решения контролирующие в том числе и печать.
0 |
01-10-2009 17:10:15
например, одно из таких решений - CSA (Cisco Security Agent), там столько настроек, что если один человек создаст N-ое количество правил (политик), то не каждый специалист в них разберётся.
0 |
08-10-2009 11:34:59
Правильно пишете. Это правильно начинать с анализа рисков. И вы увидели еще одну дополнительную угрозу. Даже КПП+DLP защищает только от части угроз. Забудете про другие угрозы - сами виноваты. Так что занимаясь защитой информации (надо знать от чего) нужно проанализировать все риски и понять какие средства защиты применить. Комплексный подход и многоэшелонированная защита - боги безопасности.
0 |
04-10-2009 12:18:36
вот почему DLP покупают не просто как продукт, а еще и с услугами по развертыванию решения.
0 |
05-10-2009 16:25:44
Общаясь с представителями вендоров производящих DLP-решения (такими как Websense, Symantec, Kaspersky), всегда слышу фразу, что DLP-решения предназначены для защиты от СЛУЧАЙНЫХ утечек. И в кулуарных беседах откровенно говорят, что при целенаправленной инсайдерской атаке информацию можно практически беспрепятственно увести из компании. По этому на данный момент DLP - это хороший маркетинговых ход, для разжигания интереса к рынку и продуктам, которые только-только формируются... И смысла внедрять DLP-решения на данный момент нет никакого... P.S. Всё вышесказанное IMHO, и не претендует на истину....
0 |
05-10-2009 16:36:20
Соглашусь с предыдущим комментатором - решения ДЛП и вправду сегодня не приобретает никто. Увы, продать-то хотелось бы.
0 |
08-10-2009 11:12:53
DLP приобретают. Никто бы из вендоров не делал таких сложных продуктов, если бы это никому не было нужно.
0 |
08-10-2009 11:39:27
мир вообще не идеален... любой бизнесмен понимает что он берет на себя риск. если он хочет его снизить - он использует что ему предлагают умные люди. не хочет - значит готов эти риски принять.
0 |
08-10-2009 18:04:23
Да, только нужно озвучиавать какие реально риски закроет продукт. Например, ни одно DLP-решение, на данный момент, не защитит от инсайдерской атаки... А многие интеграторы продают этот продукт именно как защиту от инсайдеров. Следовательно, приобретая продукт, бизнесс думает, что закрывает одни риски риски, а получается, что закрывают намного меньше...
0 |
10-10-2009 22:56:44
С топикпастером не согласен ни с одним абзацем, IMHO Сегодня не модно говорить о DLP-системах и их внедрении. Сегодня их нужно внедрять и использовать. От утчечек компания может не просто потерять лицо, а долю рынка. DLP-системы позволяют соотв. подразделениям безопасности контролировать в первую очередь процессы взаимодействия субъектов информационных отношений, где воздействия не нежелательные, а установившиеся (как правило, временем). Внедрение DLP-систем для бизнеса не может быть сложной задачей, т.к. еслибы она (задача) была таковой, то бизнеса у компании скорее всего не стало.
0 |
Страницы: 1  2  3