Спецпроекты

Безопасность Стратегия безопасности Техническая защита

Как правильно внедрить DLP-систему?

По мнению некоторых экспертов, концепция DLP оказалась практически невостребованной со стороны заказчиков, Оказалось, что попытки решить проблему утечек простым способом не дают результата, поскольку никак не учитывают специфику бизнеса компании-заказчика. Как же правильно подойти к этому вопросу?

Как следствие, сотрудники должны быть активно задействованы в процессы внедрения и использования DLP. Во-первых, в рамках предпроектного анализа необходим комплексный мониторинг ролей и ответственностей сотрудников, который позволяет понять – как именно должна работать DLP-система в той или иной функциональной группе организации. А, во-вторых, внедрение DLP может привести к изменению бизнес-процессов организации, а значит – ее сотрудники должны быть к этому готовы.

"DLP-систему действительно крайне трудно внедрить без взаимодействия с рядовыми сотрудниками компании, - добавляет руководитель аналитического центра Perimetrix Владимир Ульянов. – С этим фактом бесполезно бороться, его необходимо принять как данность. Практика показывает, что процессы обучения персонала не так сложны, как кажутся – как правило, на первом этапе проекта достаточно обучить всего лишь несколько сотрудников, которые будут передавать свой опыт остальным. При этом принципиально важно, чтобы сотрудники осознавали цель этой деятельности, и понимали, что сохранность информации влияет на благополучие компании и в конечном счете отражается на их зарплатах".

При этом необходимо иметь в виду, что в рамках внедрения DLP у некоторых сотрудников могут появиться новые функции. Как правило, эти функции реализуются посредством механизма владельцев информации, которые обеспечивают взаимосвязь DLP-системы и бизнеса, то есть позволяют понять, какие сведения необходимо защищать, и как лучше всего построить эту защиту.

Ищем компромиссы

С вопросом определения владельцев информации тесно связана другая задача классификации данных, без решения которой внедрение эффективного DLP невозможно. Даже в случае самых простых систем, работающих на основе механизмов контентной фильтрации, классификация данных необходима. Она позволяет получить информацию, необходимую для создания базы фильтрации, настройки политик, правил и инцидентов DLP. А в случае систем, использующих механизм меток, роль классификации данных возрастает многократно.

"Проблема заключается только в том, что классификацию данных довольно трудно провести вручную, - считает Фарит Музипов, заместитель начальника службы безопасности по информационной безопасности ICICI Банк Евразия. – Представьте, сколько документов, копий, черновиков и шаблонов хранится в сети достаточно крупной организации. В идеале, каждый из этих документов должен получить определенную и неотъемлемую метку. Практика показывает, что без использования автоматизированных средств классификации на базе формальных признаков и той же самой контентной фильтрации решить проблему разметки документов весьма проблематично".

Еще одна распространенная ошибка при внедрении DLP связана с игнорированием текущего состояния бизнес-процессов во время внедрения. Задачи, которые решает DLP-система, непосредственно связаны с бизнесом, а значит – ее функционирование влияет на бизнес-процессы компании. Конечно, полностью перестраивать бизнес-процессы под архитектуру выбранной системы неправильно, однако незначительно изменить их, скорее всего, потребуется. "Использование бизнес-ориентированного подхода позволяет не только избежать проблем в области непрерывности бизнеса, но и существенно понизить стоимость владения системы, - рассказывает Дмитрий Скомаровский, партнер консалтингового бюро "Практика безопасности". – В рамках внедрения, вы можете использовать "тяжелые" и дорогостоящие средства для защиты более критичных бизнес-процессов, простые и дешевые решения для бизнес-процессов средней критичности и организационные меры для всех остальных процессов. Тем самым, общая стоимость системы значительно уменьшится".

Отслеживаем работу системы

Конечно, все организационные и бизнес аспекты внедрения DLP-систем важны, однако успешный проект не может состояться без использования технологических решений. Внедрять DLP-систему лучше всего модульно или покомпонентно, причем начинать надо с наиболее незаметных мер для пользователей. "Модульный подход позволяет внедрять наиболее строгие методы контроля позже, по мере взросления имеющихся на рынке технологий, - продолжает Дмитрий Скомаровский. – В конечном счете, вы получаете комплексную систему защиты, которая учитывает особенности внутренних бизнес-процессов предприятия".

Еще раз подчеркнем, что точечные технологические попытки решить проблему утечек на практике не работают. Защита данных должна осуществляться на протяжении всего жизненного цикла информации: в местах ее хранения, в момент использования и движения. При этом нельзя ограничиваться только шлюзовыми решениями – для полного контроля над информацией необходим мониторинг действий пользователей в пределах рабочей станций.

Другое дело, что внедрять функционал систем по блокировке тех или иных перемещений необходимо осторожно, поскольку эти системы повлияют на функционирование критических бизнес-процессов организации. На первом этапе проекта лучше всего ограничиться мониторингом, и только после этого переходить к превентивным мерам.

Внедрив DLP-систему, за ней необходимо пристально следить, как за маленьким и непоседливым ребенком. DLP-системы не принадлежат к классу систем, про которые можно забыть после покупки. По мере использования системы придется постоянно совершенствовать политики, правила и настройки, не только чтобы поддерживать их актуальность, но и чтобы сделать их более аккуратными и эффективными.

В целом, анализ показывает, что DLP-системы нельзя внедрять таким же образом, как и большинство других продуктов на рынке безопасности. Во многом, именно это обстоятельство объясняет тот факт, что, несмотря на широкое освещение темы DLP, публичных проектов внедрения таких решений в России пока практически нет. Технологическая незрелость ряда представленных на рынке продуктов также имеет место быть, однако она является, скорее, следствием, а не причиной той же самой проблемы.

Производители DLP систем, а также их заказчики долгое время не понимали, что проблема утечек и инсайдеров значительно труднее других задач безопасности, таких как обнаружение вирусов, защита от вторжений или шифрование данных. Эта проблема трудно решается с помощью информационных систем во многом потому, что ее крайне тяжело формализовать и еще труднее - алгоритмизировать. Как следствие, процессы внедрения и настройки DLP-систем оказываются намного труднее, чем в случае смежных продуктов их других сегментов ИБ-рынка.

При этом успешно внедрить DLP-систему все-таки можно. Однако это получится только в том случае, если ее внедрение изначально идет "от бизнеса", а не "от технологий".

Данил Анисимов

Короткая ссылка