Top.Mail.Ru
архив

Защита от "дурака" и инсайдера

26.09.201100:00


IT, DLP-системы, Hi-TechУтечка информации из компании может привести как к срыву контракта, уходу клиентов к конкуренту, так и к более серьезным проблемам, в том числе с правоохранительными и налоговыми органами. "Примеров таких достаточно, их легко найти в новостях. Решение о внедрении DLP может быть ответом на утечки конкретных документов, а также реакцией на публикации в прессе с упоминанием руководства. Есть примеры, когда крупные ритейл-компании теряли деньги на неудачных из-за утечки информации рекламных кампаниях", - подтверждает эксперт центра информационной безопасности компании "Инфосистемы Джет" Дмитрий Михеев. "По нашему опыту, самое слабое место - это персонал. Глобальное количество утечек информации связано либо с невнимательностью, неосведомленностью или ошибочными действиями сотрудников, либо же с их умышленными действиями", - отмечает технический директор компании "КАБЕСТ" группы "Астерос" Иван Бурдело. "Основной риск - это деятельность людей. Во-первых, общий уровень подготовки пользователей может быть достаточно низким, и это провоцирует всевозможные риски безопасности - от социальной инженерии до ненамеренного вредительства. Во-вторых, деятельность любого бизнеса требует обмена информацией, в том числе конфиденциальной, с внешним миром", - добавляет Дмитрий Михеев. Поэтому система "обороны" корпоративных ресурсов от утечек должна быть всеобъемлющей и не только включать в себя специализированные средства защиты, но и предусматривать комплекс организационных мероприятий, направленных на повышение осведомленности сотрудников в вопросах обеспечения информационной безопасности, информирование о правилах, принятых в компании, и степени персональной ответственности работника за их несоблюдение. "Если же говорить о DLP-решениях, то их архитектура должна предусматривать по возможности контроль всех потенциальных каналов утечки информации: от локальных портов компьютера до сетевых соединений. С этой целью в составе продукта должны применяться как шлюзовые решения по защите данных за пределами корпоративной сети, так и компоненты, по существу, отвечающие за управление доступом к периферийным устройствам и локальным портам компьютеров. В последнее время их также стали относить к классу DLP-систем", - рассказывает Иван Бурдело. При использовании данного подхода у заказчика формируется "замкнутая" система, позволяющая контролировать обращения к защищаемым информационным ресурсам как внутри доверенной среды корпоративной вычислительной сети, так и при передаче сведений по каналам связи вовне.

С акцентом на клиента
Главное требование к DLP-продуктам - функциональность. Она заключается не только в мониторинге и анализе данных для обнаружения и предотвращения утечек, но и в сборе доказательной базы - архива для последующего расследования инцидентов. "Как один из критериев функциональности рассматриваются масштабируемость решения, централизованность управления, полнота охвата потенциальных каналов утечки информации, используемые технологии перехвата и фильтрации информации", - поясняет Иван Бурдело. Другой критерий - простота внедрения. Заказчик хочет быть уверен, что решение будет инсталлировано в достаточно сжатые сроки и гармонично впишется в существующий комплекс систем информационной безопасности. Зачастую немаловажен и критерий скрытности работы системы. Это означает, что DPL-система внедряется так, чтобы сотрудники о ней не знали, включая IT-подразделение коммерческой структуры. Скрытность функционирования позволяет выявить дополнительные риски и утечки информации через доверенный персонал компании. "Но стоит помнить, что DLP-решения основаны на вероятностных методах защиты и обеспечить 100-процентную безопасность в принципе не могут. Всегда нужно анализировать конкретную специфику деятельности заказчика, понимать, что для него актуально. Чтобы система фиксировала факт утечки информации при минимально допустимом количестве ложных срабатываний, должны быть тщательным образом разработаны критерии оценки и выбраны соответствующие технологии DLP. Для каждого сектора бизнеса они могут быть свои", - добавляет Иван Бурдело. "Обычное желание (клиентов. - Прим. "Ко") - заплатить и забыть о проблеме. К сожалению, не все так просто, работа с контролем утечек требует внимания - как на этапе внедрения, так и после запуска", - подчеркивает Дмитрий Михеев. При этом политика в системе контроля утечек изменяется в процессе работы системы довольно часто, возникают новые задачи, меняются подходы.
С точки зрения пользователя, важна адаптация к местным реалиям - поддержка русского языка, российских финансовых и промышленных данных, русский интерфейс.

Круговая оборона
Методически в контроле утечек выделяются три основных типа данных: данные в движении, данные в использовании, данные в хранении. Эти типы определяют основные каналы контроля. Данные в движении - это контроль сетевых взаимодействий, данные в использовании - контроль приложений и действий пользователя, данные в хранении - контроль файловых архивов, баз данных и систем документооборота. "В идеальном мире система должна контролировать все эти данные и каналы, но практика обычно вносит те или иные ограничения - по времени, по затратам и возможностям интеграции. Как правило, мы рекомендуем перед внедрением выделять наиболее приоритетные точки контроля как с позиции количества и опасности возможных инцидентов, так и с позиции цены внедрения и обслуживания. В дальнейшем можно развивать систему, расширяя каналы контроля", - отмечает Дмитрий Михеев. При этом в контроле утечек "технический" компонент - не самый приоритетный, хотя и важный. "В основе контроля утечек лежит взаимодействие владельцев информации и службы безопасности, а система должна экономить им время. Чем больше времени система экономит на этапе использования, тем более она удобна", - рассказывает Дмитрий Михеев. Этап внедрения может быть очень сложным, но это происходит не обязательно из-за качества решения - может быть идеально внедрена техническая часть, а встраивание в бизнес-процессы и регламенты не удалось, в результате система в организации не приносит достаточных результатов. Чтобы добиться хороших результатов на этапе внедрения, требуется помощь в проработке организационных моментов, и здесь окажется полезным опыт интегратора на любом этапе - от предварительного консультирования и аудита до поддержки.

Иван Бурдело, технический директор компании "КАБЕСТ" группы "Астерос":
"Своим заказчикам "КАБЕСТ" предлагает широкую продуктовую линейку DLP-решений. Среди них InfoWatch Traffic Monitor, Websense Data Security Suite, Symantec Data Loss Prevention, Zgate и Zlock от компаний SecurIT, McAfee Host DLP и др. Каждое из указанных решений обладает своим набором функциональных возможностей и технологий, которые используются для поиска, классификации и предотвращения утечки конфиденциальной информации.
Данные продукты по-разному позиционируются на рынке технологий безопасности. Подавляющее число DLP-систем зарубежных разработчиков в большей степени ориентировано на крупный бизнес. Они рассчитаны на работу со значительными массивами информации, повышенным трафиком, высоким риском инсайдерских утечек и, как правило, интегрируют в себе несколько технологий перехвата и распознавания информации. Для корпораций главным требованием являются отказоустойчивость, функциональность, масштабируемость решения, возможность внедрения в территориально-распределенную IT-инфраструктуру. В SMB-секторе главным критерием остается стоимость внедрения при минимально необходимом функционале DLP. Для среднего и малого бизнеса приоритетнее купить готовое "коробочное" решение и быстро внедрить его в информационную систему без существенных затрат".

Андрей Моисеев, генеральный директор ЗАО "Ресурс Сервис":
"Специалисты нашей компании разрабатывают стратегии и успешно внедряют решения по обеспечению информационной безопасности. Мы предлагаем комплексные решения по защите бизнеса от актуальных информационных угроз и защите корпоративной информации на базе продуктов мировых лидеров по разработке программных продуктов. Мы имеем, в частности, богатый опыт в реализации проектов на базе продукта Symantec Data Loss Prevention, который позволяет распознавать и защищать конфиденциальную информацию на корпоративных сетевых ресурсах, проводить отслеживание информационных потоков в локальной сети, предотвращать утечки информации, а также контролировать обработку, хранение и передачу конфиденциальной информации на персональных компьютерах пользователей. Данное решение, кстати, оптимально интегрируется с решениями Symantec в части управления IT, а это, в свою очередь, обеспечивает комплексную безопасность и управляемость IT-инфраструктуры".

Кирилл Викторов, заместитель директора по развитию бизнеса компании "Инфосистемы Джет":
"При подготовке и реализации проектов по контролю за утечками от поставщика решения требуется высокая компетенция в области инфраструктурных решений (почтовые системы, системы контроля доступа, прокси-серверы, системы хранения данных). Кроме того, необходимо глубокое знание особенностей присутствующих на российском рынке продуктов. В числе устанавливаемых и поддерживаемых нами DLP-систем "Дозор-Джет", Symantec DLP, RSA DLP и др. При разработке решений нужно в первую очередь исходить из запросов заказчиков, состояния инфраструктуры их сетей и других параметров, учитывающихся при проектировании. Для качественного внедрения будет оправданной помощь консультантов, которые помогут подобрать решения, адаптировать типовые политики, проанализировать формы и шаблоны документов, использующихся в компании".