Как правильно выбрать DLP-систему?

В "Компьютерных вестях" уже неоднократно поднималась тема защиты от утечек информации. Сегодня поговорим о том, что нужно учесть при выборе системы защиты, которую планирует внедрять у себя организация.

Пример сайта WikiLeaks, который продолжает выкладывать еще недавно находившуюся под грифом строгой секретности информацию, наверняка показал многим организациям, насколько серьезные последствия может иметь утечка информации. В результате подобных инцидентов лишаются работы руководители очень высоких рангов, и, как показывает практика, речь может идти даже о крупных дипломатических скандалах. Конечно, далеко не в каждой организации есть документы международной важности, способные заинтересовать WikiLeaks, но даже обычные бизнес-планы и финансовые отчеты, попавшие к конкурентам или к журналистам, могут стоить компании весьма серьезной суммы или даже вовсе привести её к банкротству.

К счастью, для того, чтобы избежать утечек информации и, соответственно, всех вытекающих из них последствий, можно применять специализированное программное обеспечение, носящее название DLP-систем (от английского Data Leak Prevention, предотвращение утечек данных). В "КВ" №31'2009 рассказывается о том, что такое DLP-система, однако вряд ли будет лишним напомнить здесь еще раз, как работают продукты подобного класса.

Суть их работы состоит в создании защищенного информационного периметра, для которого производится перехват и мониторинг всего исходящего трафика, а часто еще и входящего. Под трафиком подразумевается здесь не только интернет-трафик, а, в идеале, также и документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д. Существуют DLP-системы с активной защитой, которые могут самостоятельно блокировать информацию, которая распознается ими как конфиденциальная; есть и DLP-системы с пассивной защитой, которые не блокируют передачу данных, а только предупреждают сотрудников службы информационной безопасности о случившемся инциденте. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками. Выбор между системой с активным и пассивным контролем нужно делать исходя из специфики работы организации, но большинство организаций сегодня предпочитают системы первого типа.

Каким требованиям должна соответствовать приобретаемая DLP-система? Во-первых, она должна работать с максимально возможным количеством каналов потенциальной утечки данных. Эксперты отмечают, что хотя бы один не отслеживаемый DLP-системой канал, который дает возможность сотруднику несанкционированно передать защищенную информацию за пределы организации, снижает эффективность работы DLP-системы в несколько раз.

Во-вторых, DLP-система должна обладать мощным поисково-аналитическим модулем, который даст ей возможность обнаруживать конфиденциальную информацию в перехваченных данных. Фактически, поисковый модуль - это "мозг" DLP-системы, и поэтому чем мощнее он будет, тем более качественную защиту вы получите с использованием данной системы. Нужно сказать, что ряд DLP-систем имеют настолько мощный модуль поиска, что позволяют обнаруживать в трафике даже те документы, которые были существенно изменены отправителями (например, "разбавлены" кусками постороннего текста). Это, само собой, однозначный плюс, с точки зрения обеспечения безопасности. В силу того, что в отечественных организациях львиная доля документов - русскоязычные, имеет смысл остановить своё внимание на DLP-системах российского производства, потому что поисковые алгоритмы западных систем не всегда хорошо работают с русским текстом - некоторые из них не имеют даже поддержки банального поиска с учетом морфологии текста.

Еще один важный параметр - ведение архива перехваченной системами информации. Он может понадобиться для проведения расследований утечек в будущем, а также служить доказательной базой в том случае, если виновный в утечке информации работник подаст в суд на уволившего его работодателя. Само собой, DLP-система должна уметь разграничивать доступ пользователей как к перехваченной информации, так и к собственным настройкам, и давать возможность руководству контролировать работающих с самой системой "безопасников".

Помимо этого, безусловно, необходимо учитывать стоимость внедрения и обслуживания DLP-систем. Если система удовлетворяет всем перечисленным выше требованиям, но при этом требует двадцать человек обслуживающего персонала, то вряд ли её можно считать подходящей для компании с пятьюдесятью сотрудниками. Для компаний, имеющих филиалы, будет удобно, если система сможет охватить и их, работая с филиалами удалённо.

Конечно, список требований, предъявляемых организациями к современным DLP-системам, на самом деле гораздо шире, однако это самые основные требования, которым должна удовлетворять каждая DLP-система без какого-либо исключения. Нужно помнить также, что скупой платит дважды, и в итоге утечка информации, вернее, убытки от неё, могут с лихвой перекрыть те деньги, которые вы сэкономите на покупке DLP-системы.

Вадим СТАНКЕВИЧ

Версия для печатиВерсия для печати

Номер: 

49 за 2010 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Инкогнито
cтатьиа ниачом
Аватар пользователя Инкогнито
Но, как всегда, хорошо проплачена "Софтинформом", он же НПТ, он же "Либра софт"...
Аватар пользователя Инкогнито
Да, упомянутый продукт уже лучше не использовать :) Если кто-то действительно интересуется, то стоит посмотреть зарубежные Symantec DLP и Websense DSS либо российские SECURIT DLP и Infowatch Traffic Monitor Enterprise.
Аватар пользователя Чепчерица
Видел я симантек с вебсенсом. Подозреваю, что инкогнито проплачен секюритом и инфовочами.