Как сделать ИБ доступным?Выбор DLP-систем в условиях ограниченного бюджета

DLP-системы по своему предназначению должны контролировать технические средства коммуникации на предмет утечек. Согласно современному подходу, набирающему популярность в России, DLP-система является частью информационной системы, которая решает административные, охранные, управленческие и другие задачи. Так что абстрактная статистика утечек, которая только пугает, но не решает проблемы, сейчас подкрепляется контролем за рабочим временем сотрудников, распределением задач, другими административными, управленческими, техническими и охранными функциями. И если раньше компании тратили много денег и времени, не очень понимая, что получат в результате, то сейчас эффективность инвестиций выходит на первый план, наряду с решением бизнес-задач.

Внедрение информационной системы

Основные компоненты – информационная платформа, лицензии, труд разработчиков, дополнительное ПО, стоимость владения, техническая поддержка. Сейчас у руководителей нет охоты слепо доверять крупным брендам, хочется делать осознанный выбор. И сегодняшний рынок предоставляет такие возможности.

Не секрет, что коммерческие ОС предъявляют жесткие требования к оборудованию. Если сравнить смету оборудования для коммерческой ОС и системы Open Source, разница может составлять 20–25%.

Следует учитывать и клиент-серверную архитектуру. Традиционный подход (толстый клиент) состоит в том, чтобы всех внутренних пользователей объединить в локальную сеть, наделить их широким функционалом, при этом сервер в основном хранит информацию и мониторит рабочие станции. Это создает технические и финансовые сложности, например, в условиях филиальной структуры.

Альтернатива такому подходу – SaaS-технологии, дающие доступ к серверу из любой точки Интернета. При такой архитектуре пользователь получает доступ к функциям со своего клиентского устройства через Web-консоль, имеется возможность проводить анализ и работать с информацией, но большая часть задач по обработке информации выполняется на сервере. Это более современный подход, позволяющий экономить на оборудовании.

Кому доверить внедрение

Поставщики информационных систем располагают большими возможностями, чем любой отдельно взятый специалист. Кроме того, они знают свою систему и понимают ее особенности.

С другой стороны, любая подрядная организация будет стремиться сделать систему более дорогую, сложную и зависимую от поставщика. Для того чтобы минимизировать негативные последствия этого, необходимо, чтобы в команде внедрения был сотрудник клиента, а в случае большого проекта – два или три сотрудника, разбирающиеся в технических вопросах, знающие и разделяющие цели компании и не дающие "навесить лишнего".

Отправляться в полностью "автономное плавание" с такой системой не рекомендуется, потому что, какой бы ни был грамотный сотрудник, разработчик знает свою систему лучше. Поэтому следует поинтересоваться, что будет, когда закончится год бесплатных обновлений, и не экономить на технической поддержке в долгосрочной перспективе.

Что касается непосредственно работы с утечками информации, здесь также имеется два подхода. Традиционный – это блокировка контента в случае неправомочных действий с документами. Этот способ тормозит бизнес-процессы, чреват ложными срабатываниями и, самое главное, не решает задачи: не дает руководителю инструменты наказания или доказательную базу для возмещения убытков.

Гораздо эффективнее мониторинг ситуации, который позволяет собрать максимум информации, оценить наличие злого умысла в действиях сотрудников, а также не даст злоумышленнику возможности изменить тактику. Но для того чтобы использовать плюсы такого подхода, в организации должны быть соблюдены все процедуры, обеспечивающие режим коммерческой тайны и защиту персональных данных.

Одно из важных требований к информационной системе – она должна иметь потенциал роста. Появятся новые продукты, которыми захочется дополнить имеющуюся систему без кардинальных переделок. Уже сейчас нужно, чтобы система безопасности интегрировалась с такими системами, как, например, SIEM-решения, "ГосСОПКА" и пр. С поставщиком нужно обсудить и этот вопрос.

Современные требования к системам информационной безопасности – обработка больших массивов информации, интеграция со сторонними системами. Такая система должна иметь все преимущества коробочного решения (простота и быстрота внедрения, разумная цена), но иметь возможность доработки под заказчика. Если решение основано на современном стеке технологий, то заказчик получает гибкий и легко интегрируемый продукт, который доступен как для малых и средних, так и для крупных компаний.