НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Кому нужна DLP-система

Валерий Васильев
09.04.2015 11:58:47

Обнаружение и предотвращение утечек данных – задача, как утверждают многие ИБ-эксперты, актуальная. Особенно в пору кризиса, когда у недобросовестных конкурентов наряду с обиженными и чрезмерно "хозяйственными" сотрудниками, предвидящими свои увольнения или сокращения зарплат, появляются дополнительные стимулы украсть чужое. Кстати, актуальность этой задачи подчеркнул и недавно состоявшийся в Москве восьмой по счету Съезд директоров информационной безопасности (Russian CSO Summit), выделивший ее как одну из фокусных для обсуждения. Собственно, это обсуждение и стимулировало мой пост.

На рынке давно присутствуют специализированные средства защиты от утечек данных – системы DLP. Сегодня они, согласно экспертным оценкам, переживают пору расцвета спроса, и только нынешний кризис несколько смазывает победный марш DLP по стране. Они наращивают свой функционал, простирая его далеко за пределы классических поисков по шаблонам, меткам, спецсимволам, хэш-функциям… Управляющий партнер структуры Anti-Malware.ru Илья Шабанов в своем обзоре российского рынка DLP даже заявляет, что, мол, и называть современные системы DLP системами DLP уже некорректно, потому как в них реализованы функции, не имеющие прямого отношения к борьбе с утечками - обнаружение информации (eDiscovery), управление политиками безопасности, шифрование, контроль действий персонала и повышение его производительности, поддержка расследования компьютерных инцидентов и др.

Понятное дело, что путь развития систем DLP "вширь" на руку их разработчикам – любой вендор хочет, чтобы заказчика получили "все" из одних рук. Потому и интеграционные возможности их продуктов (даже с системами электронного документооборота!) оставляют желать лучшего.

Ну а заказчику такая обремененность функционалом нужна? В редких случаях да, нужна. В еще более редких случаях заказчикам даже не хватает возможностей одного DLP-продукта – известны примеры развертывания в одной корпоративной ИКТ-инфраструктуре аж трех разных DLP-систем.

Однако все это исключения. Реально защиту от утечек данных можно построить и без DLP-системы, используя уже имеющиеся ИБ-средства (счет на которые в среднестатистической компании сегодня идет на десятки), объединенного функционала которых во многих случаях может оказаться достаточно для борьбы с утечками. В противостоянии ИБ-угрозам (и утечкам в том числе) важнее консолидация данных, накапливаемых ИБ-средствами, их аналитическая обработка (то, что все чаще называют Cyber Threat Intelligence - интеллектуальной ИБ) и централизованное управление корпоративной ИБ. Для этого существуют иные, отличные от DLP-систем, продукты, такие как платформы SIEM.

Система DLP как таковая эффективна только в тех случаях, когда стоит задача защиты от утечек информации, которой ее владельцы сумели присвоить формальные признаки (например, грифы, печати, иные специальные метки), жестко определили каналы ее циркуляции (корпоративная электронная почта, СЭД, ERP и др.) и разграничили доступ к ней в соответствии с бизнес-ролями. Очевидно, что для этого владелец информации прежде всего должен определиться с тем, какая же информация является для него критически важной, в каких-бизнес-процессах она должна быть задействована, утечки по каким каналам надлежит контролировать.

Разумеется, есть разновидности данных, в борьбе с утечками которых системы DLP могут быть особенно эффективны, например, данные, составляющие государственную тайну, коммерческую тайну, персональные данные... Однако, и в случае защиты этих видов данных перед внедрением DLP-системы придется поработать над их надлежащей разметкой и разработкой правил их обработки.

Разработчикам же DLP-систем, наверное, стоит больше обращать внимание на реализацию модульного подхода к построению своих продуктов и поддержку гладкой интеграции с другими ИБ-системами, с тем чтобы заказчик имел возможность выбрать даже из DLP системы-монстра реально нужный ему функционал и не переплачивал за "нагрузку".

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии