Как выбрать DLP-систему: семь правильных вопросов

Как выбрать DLP-систему: семь правильных вопросов

В Сети можно найти массу советов о том, как подобрать подходящую систему защиты от утечки информации. Регулярно появляются рейтинги и сравнительные характеристики решений от ведущих производителей. Параметров ранжирования систем, пожалуй, еще больше. Мы не будем повторяться и попробуем систематизировать вопросы, которые нужно задать себе, чтобы выбрать идеальное решение.

Итак, на что стоит опираться при выборе DLP-системы?

Вопрос 1. Какие задачи будет выполнять DLP-система?

Этот вопрос следует задать себе, когда нет четкого понимания, для чего DLP-система нужна вашей компании. Когда вы уже осознали, что защита от утечки информации необходима, а ясности в том, какие именно задачи должна решать эта система, еще нет. Здесь рассчитывать на помощь квалифицированных специалистов, конечно, можно, но все их содействие будет выражаться в постановке правильных вопросов к вам же. Соответственно, выбирая DLP-систему, вы значительно упростите себе задачу, если заранее определитесь, требуется ли вам выявление нелояльных сотрудников и потенциальных каналов коммуникации, необходим ли архив всех бизнес-коммуникаций предприятия, приведена ли система внутреннего контроля в соответствие с требованиями  регуляторов. Только уяснив приоритетность стоящих перед вами задач, можно приступать к выбору наиболее подходящего программного решения.

Вопрос 2. Какую информацию будет защищать DLP-система?

С одной стороны, вроде бы понятно — любая DLP­-система защищает информацию конфиденциального характера. Вот только, к сожалению, далеко не каждая компания имеет четко структурированный перечень этой самой информации. И если персональные данные, например, должны защищаться по умолчанию (то есть по закону 152-ФЗ), то с определением информации, составляющей коммерческую тайну, часто возникают сложности. Коммерческая тайна — это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Состав информации, отнесенной к коммерческой тайне, каждая компания определяет сама. Она может включать в себя различные составляющие:

  • финансовую (бюджетные планы, расширенные финансовые показатели, сведения о ценовой политике компании, о переговорах и совершенных сделках с клиентами);
  • маркетинговую (условия работы с ключевыми клиентами, разработки акций и новых видов услуг, бюджетные планы, данные маркетингового анализа компаний-клиентов);
  • технологическую и процедурную (технологические учетные данные и корпоративные стандарты, сведения об используемых информационных системах, сети и оборудовании, шаблоны внутреннего документооборота);
  • корпоративную (списки сотрудников с занимаемыми должностями, сведения личного характера, внутренние регламенты работы HR-отдела).

Практически в каждом решении существуют предустановленные политики безопасности. Однако шаблонные политики далеко не всегда соответствуют профилю компании. Часто бывают ситуации, когда нужные политики настраиваются уже после выявления факта утечки информации.

Другая крайность — когда специалист настраивает политики по слишком широким правилам. В такой ситуации ему ежедневно придется вручную разбирать огромное количество ложных срабатываний, что существенно повышает риск пропустить действительно важный инцидент.

Если вы не уверены, что можете сразу определиться со структурой и перечнем защищаемых данных, выбирайте систему с возможностью хранения архива всех бизнес-коммуникаций и проверяйте работоспособность новых политик на реальном трафике компании.

Вопрос 3. Какие каналы коммуникаций контролирует DLP­-система?

Тоже очень важный вопрос при выборе оптимального решения для защиты от утечки информации. Количество каналов коммуникаций в современном обществе постоянно растет, и полноценная DLP-система должна осуществлять не только контроль внешних устройств, принтеров и электронной почты. Она также должна следить за интернет-трафиком: мессенджерами, веб-почтой, социальными сетями, блогами, форумами, файлообменниками, FTP, сервисами отправки SMS/MMS и т. д. Кроме того, стоит обратить внимание на веб-сервисы и поддерживаемые протоколы, в частности HTTPS, через который работает множество современных веб-сайтов. Отдельным плюсом будет являться и контроль VoIP-телефонии.

Обращайте внимание на качество заявленного в DLP-системе сервиса. Например, запись телефонного диалога не может быть использована в служебном расследовании, поскольку это нарушит право собеседника вашего сотрудника на тайну коммуникаций. Однако если входящий и исходящий канал записываются в отдельные слоты, это уже может быть полезным инструментом для расследований и доказательства в суде.

Вопрос 4. Можно ли использовать DLP-­систему в расследовании инцидентов?

Может быть, не первостепенный по значимости, но не менее важный вопрос — это возможность расследования инцидентов с помощью DLP-системы. Мало только обнаруживать и блокировать утечку информации, очень часто требуется проводить служебные расследования по инциденту. Если для вас эта функциональность актуальна, обращайте внимание на аналитические возможности DLP-­системы. Важно оценить не только удобство преднастроенных отчетов, но и алгоритмы выявления инцидентов в системе. Наиболее продвинутые решения дают возможность выявления аномалий по косвенным признакам. Например, смена профиля интересов сотрудника при ежедневном пользовании интернетом или аномально низкое количество контактов за день —такие признаки могут стать предпосылкой перехода коллеги в группу риска. Выявите проблему на ранней стадии — возможно, небольшое внимание со стороны руководства поможет человеку остаться благонадежным сотрудником.

Поскольку для расследования может понадобиться не только анализ уже обнаруженных конфиденциальных данных, но и ретроспективный анализ легитимной активности какого-либо пользователя или группы лиц, полезным будет наличие хранилища всех коммуникаций. Многие DLP-системы сегодня по-прежнему не только не позволяют произвольно архивировать перехватываемые данные, но и не хранят даже необходимые объемы информации.

Преднастроенные визуальные отчеты существенно повысят эффективность расследований. Например, построение графика распространения документа от легитимных пользователей к нелегитимным позволит выявить сеть злоумышленников. Выполнение этой работы вручную требует нескольких недель, а автоматизированная выгрузка из DLP-системы — нескольких секунд.

Вопрос 5. На какой размер сети и объем трафика рассчитана DLP­­-система?

Масштабируемость — еще один важный параметр при выборе DLP-системы. Сетевой обмен данными в компании со временем только растет — становится больше сотрудников, больше компьютеров, больше электронного документооборота.

Даже если на данный момент выбранная DLP-система справляется с хранением и обработкой трафика вашей компании, это не значит, что она будет так же хорошо справляться завтра.

Факторы, влияющие на производительность DLP-системы:

  • система хранения;
  • мощность аппаратной части DLP-системы;
  • эффективность алгоритмов обработки трафика.

Обратите внимание, что лежит в основе хранилища данных DLP-системы. Это могут быть различные SQL-базы либо решения на основе NoSQL. Базы данных NoSQL предпочтительнее, они позволяют не только хранить очень большие объемы информации, но и осуществлять по ним быстрый поиск, что вы высоко оцените при первом расследовании инцидента. И, конечно, при выборе системы DLP стоит узнать, есть ли у вендора коммерческие внедрения  в высоконагруженную инфраструктуру. Опыт внедрений многое скажет и о возможностях самой системы, и о квалификации специалистов, внедряющих ее.

Вопрос 6. Сложна ли DLP­-система в управлении?

Любой технически сложный продукт при грамотном подходе к разработке может стать удобным для пользователя. Если вам приходится тратить значительное время не только на обучение работе с DLP-системой, но и на ежедневное чтение инструкций, значит, она недостаточно комфортна в использовании. Интуитивно понятный интерфейс, ориентация на пользователя, возможность построения любых графиков и отчетов в режиме реального времени — признаки качественного продукта.

Вопрос 7. Какую еще пользу компании принесет DLP-система?

Защита конфиденциальных данных — прямая, но не единственная функция DLP-систем. HR-специалистам современные DLP-системы помогут контролировать рабочее время сотрудников. Нецелевое использование интернет-трафика, установка и запуск ненужных приложений, просмотр видео за рабочим столом — все это легко выявляется в удобном виде.

Дополнительным преимуществом для высшего руководства станет возможность обеспечить соответствие инфраструктуры компании требованиям законодательства — контролировать доступ к персональным данным, банковской тайне. Выявление неформальных лидеров мнений по отчетам о связях сотрудников поможет повысить управляемость компании. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru