Споры в среде безопасников случаются часто J. Но когда этот спор конструктивный, а не базарная перебранка, то как правило есть шанс, что из него родится что-то стоящее. В качестве темы для сегодняшнего спора я предлагаю DLP.
Технология DLPне так уж и нова, на моей памяти ее активное распространение началось около 5лет назад. Инициатором была компания Infowatch, а затем уже в Россию пришли крупные западные вендоры – Symantec (купив Vontu), Websense, McAfee. И с тех пор не утихают споры о том, надо или не надо внедрять систему DLP.
Аргументы «за»:
- возможность контролировать информацию, передаваемую по внешним каналам, а также на сменные носители или печатающие устройства;
- легко показать результаты работы службы ИБ руководству; вот, установили систему, нашли столько-то нарушителей, вот ТАКАЯ важная информация у нас уходит и прочее;
- в случае внедрения стандарта PCIDSSесть возможность контролировать наличие критичной информации только в области аудита;
- ну и еще ряд приятных мелочей вроде красивых графиков, центрального архива переписки с возможностью поиска и проч.
Аргументы «против»:
- неоправданно дорого;
- я знаю сотню способов обойти всю эту фильтрацию, так что все это фигня;
- проблемы юридической чистоты такого мониторингав свете наличия неотъемлемых конституционных прав на тайну личной переписки.
Мое мнение: против систем класса DLPработает их же название – системы контроля (защиты от) утечки информации. Название получается слишком многообещающим, да и сейлз-блок производителей периодически преподносит это решение как панацею от множества бед. Все это рождает неоднозначное отношение, т.к. заявленные ожидания от решения на деле не реализуются.
К тому же клиенты, купившие DLP, предполагают, что все что нужно – это установить систему (Next– Next) и все, мы защищены от утечки информации. На деле так, конечно же, не происходит, и у покупателей наступает разочарование, которым они начинают делиться с окружающими.
НО, если бы мне довелось в роли менеджера по информационной безопасности принимать решение о том, внедрять или не внедрять DLP, то я бы склонялся к тому, чтобы внедрять (конечно же ориентируясь на бизнес-потребности моей организации), но внедрять не просто DLP, а целый комплекс мер, в котором DLPбыло бы одним из ключевых решений, но далеко не единственным.
Давайте спорить, коллеги.
