Поделиться
Рынок средств борьбы с утечками данных: что принес 2009 год
Главным результатом 2009 года для рынка систем борьбы с утечками данных (DLP) стало сохранение спроса среди заказчиков на решения этого класса. В целом, можно утверждать, что хотя финансовые показатели большинства игроков не достигли запланированных значений, рынок DLP-решений в России состоялся: на нем появилась нормальная конкуренция нескольких решений, продолжился запуск реальных проектов.Практика внедрения
В 2009 окончательно сложилась практика исполнения проектов по внедрению DLP-систем, предполагающая обязательный "пилотный" запуск системы.
Цели проведения пилотных проектов по запуску DLP-систем
Насколько можно судить, практически все внедрения начинаются с этой стадии, которой предшествует, в свою очередь, также обязательное экспертное обсуждение бизнес-задач и утверждение концепции использования выбранного класса решений (Proof-of-concept).
Оценка эффективности внедрения DLP-систем с предварительным запуском "пилотного" проекта
Источник: LETA IT-company, 2010
В подавляющем большинстве "пилотных" внедрений DLP-систем интеграторы были готовы оказывать услуги бесплатно, ограничивая при этом свои затраты заранее оговоренным количеством дней работы консультантов и инженеров. При этом, если в рамках пилота предполагается проводить глубокое исследование возможностей системы, проверять ее работу под нагрузкой или готовить "боевой" стенд для показа высшему руководству, заказчики были готовы затратить от 20 до 30 тысяч долларов на проведение такого проекта.
Рынок и закон
Несмотря на очевидную применимость DLP-систем для задач борьбы с утечками персональных данных, сам по себе федеральный закон Российской Федерации N 152-ФЗ "О персональных данных" практически никак не повлиял на этот сегмент рынка. Это связано, в первую очередь, с тем, что в законодательстве не появилось явного требования использовать автоматизированные системы контроля утечек персональных данных вовне информационной системы, где они обрабатываются.
Неверно утверждать, что закон "О персональных данных" вовсе обходит эту тему. Так, в п.1 статьи 19 закон обязывает оператора для обеспечения безопасности персональных данных при их обработке принимать необходимые организационные и технические меры для защиты данной информации от неправомерного или случайного распространения, а также от иных неправомерных действий. При этом DLP-система по своему основному назначению в точности является средством защиты от неправомерного или случайного распространения данных.
Кроме того, постановление правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" также содержит требование, имеющее отношение к функционалу DLP-систем. Так, подпункт а) пункта 11 постановления требует, чтобы при обработке персональных данных в информационной системе быть обеспечено проведение мероприятий, направленных на предотвращение несанкционированного доступа к личной информации и (или) передачи ее лицам, не имеющим права доступа к ней. Таким образом, для обеспечения исполнения настоящего требования также подходит использование DLP.
Тем не менее, практика реализации проектов по построению систем защиты персональных данных, сложившаяся в 2009 году, не привела к включению DLP-систем в список решений, внедряемых в рамках таких проектов. Это связано с тем, что при реализации требований нормативно-правовой базы о защите персональных данных консультанты опирались на перечень мероприятий по защите от несанкционированного доступа и неправомерных действий, входящий в руководящие документы ФСТЭК России. Среди подсистем, внедрение которых рекомендуется в рамках упомянутых руководящих документов, подсистемы, обеспечивающие управление доступом, регистрацию и учет, целостность, контроль отсутствия недекларированных возможностей, антивирусную защиту, безопасное межсетевое взаимодействие, анализ защищенности и обнаружение вторжений.
Как видно, подсистема, выполняющая функцию автоматизированного контроля распространения информации за пределы информационной системы, в перечне отсутствует. Вследствие чего она воспринимается консультантами как необязательная.
На самом деле, ни для кого не секрет, что существующая методическая база, описанная в основном в руководящих документах ФСТЭК и ФСБ России, направлена на построение защиты от несанкционированного доступа к защищаемой информации. При этом, по сути, никак не регламентируются вопросы защиты от действий пользователя, имеющего авторизацию на доступ к информации, но использующего её не по назначению. В частности, передающего такую информацию третьим лицам, находящимся за пределами контролируемой информационной зоны.
Именно эту задачу – по борьбе с внутренними угрозами утечек информации руками авторизованных сотрудников – призваны решать DLP-системы. Без этого система защиты персональных данных не может функционировать должным образом. Хочется надеяться на то, что этот тезис будет принят специалистами регуляторов области защиты персональных данных, и в нормативно-правовую базу будут внесены соответствующие изменения.
Смена фокуса
Среди прочих результатов года можно отметить тенденцию сдвига в сегмент среднего бизнеса. Структура запущенных проектов и сформировавшееся продуктовое предложение говорит о том, что DLP-системы начали в 2009 году проникновение в сегмент среднего бизнеса. Речь идет о проектах, в рамках которых проводилась поставка решений для защиты нескольких сотен рабочих мест. В этой связи можно отметить следующие факты. Так, компания Symantec, DLP-решение которой ранее продвигалось исключительно в корпоративный сегмент, теперь доступно для защиты сетей от 100 пользователей. Помимо этого, для небольших заказчиков стали доступны простые в развертывании продукты от McAfee и Trend Micro. В свою очередь, компания InfoWatch разработала продукт Data Control, специально предназначенный для небольших компаний.
Поделиться
Короткая ссылка
