Среди прочих обязанностей отдела информационной безопасности (который, как показывают наши исследования , существует лишь в очень небольшом числе организаций) относительно редко упоминают задачу выбора DLP-системы. Оно, в общем-то, и понятно: такой выбор делается, как и в случае с выбором супруга, в идеале раз и навсегда. Но в том-то и дело, что в идеале и в реальной жизни часто бывает по-разному. Как и в случае с браком, цена ошибки (выражаемая именно в денежном эквиваленте) может быть очень и очень высока, и поэтому нужно все очень тщательно взвесить, прежде чем начальство поставит свою закорючку на договоре с продавцом DLP-системы.
Ведь, фактически, именно DLP-система - это основной инструмент работы безопасника сегодня в подавляющем большинстве контор. И если этот инструмент будет работать из рук вон плохо, или даже если его безукоризненная работа не будет предоставлять безопаснику достаточного количества информации для того, чтобы тот имел возможность предотвращать утечки и выявлять инсайдеров - то есть, выполнять свои непосредственные обязанности, - то такая DLP-система будет помощником не столько для безопасника, сколько для инсайдера. Для отдела ИБ работа с ней будет сущим мучением.
Но как узнать, хороша ли система в конкретных условиях работы конкретного отдела ИБ? Сделать это по одним только буклетам производителей подобных систем очень и очень сложно, потому что все буклеты выглядят очень красиво и обещают чуть ли не рай на земле для безопасника: мол, включил систему, и сиди пей кофе, а инсайдеры сами выловятся и данные сами остановятся, а не утекут. Но в жизни, понятное дело, не всё так гладко, как на бумаге. Прежде чем выкладывать за DLP-систему кругленькую сумму, нужно её хорошенько потестировать.
И вот тут начинаются разные приключения. Потому что считанные производители DLP-систем предоставляют возможность бесплатно потестировать систему, поставив её на каком-то небольшом числе компьютеров на ограниченный срок. Почему? Потому что, уверяют они, DLP-система - это чрезвычайно сложный инструмент, который должен настраивать не безопасник, а только представитель производителя системы. Конечно, труд специалиста такой квалификации стоит дорого, и установка пробной версии системы тоже выливается в ощутимую для предприятия сумму. Но проблема даже не в этом. Вопрос в другом: а сможет ли безопасник нормально пользоваться системой, которую он априори даже не способен самостоятельно настроить? И что делать ему, если настройки нужно нууууу оооочень оперативно поменять? Вызывать в час ночи специалистов производителя на самолете?
Стоит задуматься. Вы бы купили черный ящик, который не сможете сами настроить, для работы на нем? Я бы так не делал...
Р.Идов,
эксперт по информационной безопасности
Выбор DLP-системы как сверхзадача отдела ИБ
