«Дозор-Джет», версия 5.0.1: заводим досье на инсайдеров
О внедренной системе DLP (Data Leak Prevention, предотвращение утечек информации) в бизнес-среде как-то не принято распространяться. Действительно, зачем сотрудникам знать, какие именно механизмы применяют для контроля их деловых коммуникаций. Однако, пожалуй, нет ни одной организации, которая бы не использовала тот или иной инструмент для сохранения конфиденциальности корпоративной информации и контроля ее утечек. По оценке независимого аналитического центра Anti-Malware.ru, на долю внедрений решения «Дозор-Джет» приходится четверть отечественного рынка Enterprise-уровня. В интервью CNews специалисты компании «Инфосистемы Джет» Игорь Ляпунов, директор Центра информационной безопасности, и Дмитрий Михеев, эксперт Центра информационной безопасности, рассказали об особенностях новой, пятой версии своего флагманского продукта.СNews: Сколько длится проект по внедрению DLP-решения «Дозор-Джет»?
Дмитрий Михеев: Это зависит от задач. Самый наш быстрый проект был реализован за 10 дней. Каков максимальный срок внедрения? Трудно сказать. Никто ведь в здравом уме не станет с нуля внедрять полномасштабную DLP-систему. А может ли она вообще быть внедрена за один заход и без деления на промежуточные этапы?
«Дозор-Джет» – продукт модульный. Как правило, в компании внедряются элементы системы постепенно, их последовательность определяется конкретными задачами. После установки какого-либо модуля разумно сделать перерыв на 4-6 месяцев, чтобы собрать статистику, проанализировать результаты, а они, поверьте, однозначно будут.
СNews: Каковы финансовые показатели успешности проекта?
Игорь Ляпунов: Вопрос окупаемости внедрения может быть сформулирован так: поймали или нет? Точные данные о количестве инцидентов – это, конечно, закрытая информация. Кто же будет откровенничать, сколько фактов утечек информации могло произойти в компании или сколько злоумышленников было обнаружено.
«Досье»версии «Дозор-Джет» 5.0.1: управление персональными данными
Апеллируя к нашему опыту, могу сказать, что в большинстве случаев проект по внедрению системы «Дозор-Джет» окупается за период, не превышающий один год. А дальше уже можно говорить о прямой выгоде, исчисляемой пресеченными попытками инсайдерских действий. Однажды во время моего визита в компанию, в которой установлен наш продукт, ее руководитель со стороны ИБ поделился: «Знаете, а ваш «Дозор-Джет» окупился за один инцидент!».
СNews: В чем заключается стратегия развития продукта «Дозор-Джет»?
Игорь Ляпунов: Мы четко определили для себя три акцента. Это повышение качества хранения информации, качества поиска данных и расширение возможностей аналитики.
Отчет по персонам и степени критичности инцидентов
Хранение разнородной информации – это то, что является нашим коньком все 13 лет, которые мы развиваем продукт. Сегодня мы уходим в распределенное хранение и усиленно развиваем всевозможные технологии поиска: эластичный поиск, поиск по тематике сообщений, поиск по нечетким критериям и др.
Наконец, наше внимание сконцентрировано на аналитике. Мы работаем не на технологию, а на людей, на специалистов в области безопасности, причем не только информационной, которым нужно решать свои насущные, ежедневные вопросы. Что такое технология «Досье», о которой мы уже говорили? Традиционно DLP-систему интересует взаимодействие «e-mail – e-mail», «ICQ UIN – ICQ UIN», хотя реальное общение происходит не между электронными адресами или номерами ICQ, Skype и пр., а между людьми, между Димой и Сережей, Иваном Петровичем и Иваном Васильевичем.
Настройка одного из компонентов политик «Дозор-Джет» 5.0.1
И вот в поле зрения офицера безопасности попадает один из них. Пока это только подозрения, но, чтобы их опровергнуть или подтвердить, нужно выяснить о данном человеке все: с кем общается, чем интересуется вне работы, какую информацию ищет в интернете, о чем пишет в своем блоге и т.д. В современном мире сложно «не наследить» в сети, и те данные, которые получены службой безопасности в результате анализа его деловых коммуникаций, обогащаются из внешних источников. И это уже тот пул задач, который относится даже не к DLP, а именно к оперативной работе – во имя защиты интересов бизнеса.