Выбор системы защиты от внутренних угроз

Николай Зенин,
руководитель направления защиты коммерческих тайн LETA IT-company

DLP - Data Loss Prevention ("предотвращение потери данных" -по версии Gartner, SANS Institute, Symantec, McAfee, RSA Security) или Data Leak(age) Prevention ("предотвращение утечки данных" -по версии Forrester, Vericept) - наиболее распространенные трактовки названия систем защиты от внутренних угроз, которые "прижились" к ним два года назад. Нам приходится использовать термин DLP, хотя он совершенно не отражает сути рассматриваемых систем; они ведь не могут в прямом смысле предотвратить все утечки информации! Коммерческая целесообразность систем DLP заключается в значительном снижении рисков нежелательного перемещения (распространения) конфиденциальной информации и в частичном снижении рисков преднамеренной кражи конфиденциальных сведений.

С ростом объемов информации, обрабатываемой в электронном виде, растет и количество зафиксированных случаев утечек конфиденциальной информации и соответственно популярность DLP-систем. В России наконец-то появился представительный выбор самых современных средств мониторинга и блокировки нежелательных перемещений информации.

В данной статье будут рассмотрены факторы, влияющие на выбор конечного варианта той DLP-системы, которая может быть описана в техническом задании на внедрение. Идеи данной статьи будут также интересны для формирования определенных требований на будущее представителям тех компаний, которые еще не рассматривают вопрос построения системы защиты от утечек. Согласно прогнозам аналитиков компании Gartner, уже к 2009 г. DLP-системы станут типизированными решениями для западных заказчиков, а затраты на развертывание таких систем сократятся. Со временем перечисленные тенденции должны распространиться и на Россию.

Типичные проблемы

Конечно, успешно внедренные и эксплуатируемые DLP-системы в реальных российских компаниях уже помогают обнаруживать каналы утечки информации, находить нарушителей, выявлять и корректировать небезопасные бизнес-процессы, получать подтверждения в соответствии со стандартами безопасности, видеть статистику по уменьшению количества инцидентов, получать доверие новых клиентов и старых партнеров и, в конце концов, спать спокойно владельцам бизнеса. Но прежде чем обсуждать конкретные требования к системе, рассмотрим несколько типичных затруднений, возникающих в ходе выполнения проектов внедрения DLP-систем на российских предприятиях.

Компания А. Отсутствие CSO (Chief Security Officer -управляющий по информационной безопасности). Когда начался проект внедрения DLP, ответственным заказчиком данной системы являлся департамент ИТ. Требования к системе, выдвинутые департаментом ИТ, не всегда совпадали с реальными потребностями в защите информации, так как сами специалисты не заинтересованы в снижении вероятности утечки. В результате пришлось несколько раз менять требования к конечной системе в угоду различных ее пользователей. Выполнение проекта было затянуто на лишние шесть месяцев. Согласно рекомендациям лучшей практики по обеспечению информационной безопасности, в любой компании должен быть выделенный офицер информационной безопасности (ИБ), а в крупной компании - отдел ИБ, независимый от департамента ИТ.

Компания В. Внедрение DLP в небольшой компании. Одна из небольших компаний (всего 200 пользователей), выполнившая у себя внедрение DLP-системы, оказалась не готовой выполнять регулярное сопровождение системы безопасности (своевременную актуализацию политик безопасности после увольнения/трудоустройства новых сотрудников, обновление словаря характерных для защищаемой информации терминов, просмотр и реагирование на инциденты безопасности). В результате внедренная DLP-система быстро изжила себя, а компания вернулась к прежнему методу контроля утечек. В небольшой организации, если нет таких ярко выраженных требований по централизованному администрированию, традиционные меры (организационные мероприятия, архивирование почты, перекрытие отдельных Web-сайтов, контроль доступа к сменным носителям) могут дать эффект, сравнимый с внедрением DLP-системы.

Компания С. Решение о внедрении системы DLP было принято по причине переоценки риска. Проект был выполнен в сжатые сроки тиражированием наработок другой компании, но без учета собственной специфики. В результате развитие внедренной DLP-системы потребовало вносить штатные и организационные изменения, которые затронули отлаженные бизнес-процессы. Причина - нечеткая постановка требований. Основой для принятия решения о внедрении DLP-системы должна быть оценка рисков и глубокое осознание преимуществ внедренной системы (по сравнению с ее отсутствием). Даже примитивное взвешивание объема и структуры ежегодных убытков компании, связанных с происходящими утечками, помогло бы сформировать достаточное четкое представление о том, каков профиль нарушителей, какие каналы утечки необходимо проконтролировать, какие типы данных следует защищать в первую очередь. По данным IDC, около 75% западных компаний уже используют DLP-системы. Среди многих из них тоже распространена нечеткая постановка требований: решение о внедрении принято поспешно для целей соответствия стандартам безопасности.

Компания D отважилась на самостоятельное внедрение системы DLP - силами собственных специалистов. Главный специалист по внедрению редкой системы резко подскочил в цене и не смог удержаться от соблазна воспользоваться лучшим предложением по работе. А документацией на внедренную своими силами систему не смог воспользоваться его преемник. Бизнес-процессы постоянно изменяются, а DLP-систему не привели в соответствие с ними, в результате она быстро потеряла свою актуальность. Основная беда, которая сгубила многие такие проекты, - кадровый вопрос.

Компания Е провела оценку рисков, внедрила наиболее подходящую под ее нужды систему DLP и подошла к очередной вехе в развитии - к переводу системы из режима отслеживания в режим предотвращения (блокирования утечек). И тут оказывается, что главный офицер безопасности боится даже понять, каким образом внедренная система повлияет на существующие бизнес-процессы. В результате проходят годы, компания продолжает отчислять разработчику определенную сумму за сопровождение системы, но используется только 30-50% ее возможностей. Недооценка возможностей решения все еще является типичным случаем при внедрении DLP-систем. Сейчас разработчики приветствуют внедрение решений модуль за модулем для полноценного использования заказчиками вложенных инвестиций.

Подход к выбору решения

За последние несколько лет на рынке информационной безопасности произошло несколько крупных слияний и поглощений перспективных технологических компаний другими игроками рынка. Ведущие компании информационной безопасности (Websense, Symantec, Trend Micro, McAfee, Check Point, RSA Security) в течение 2006-2008 гг. приобрели по 1-3 передовых компаний, специализировавшихся на предотвращении утечек. При этом компании Websense, McAfee и Symantec не только интегрировали приобретенные решения в свою линейку продуктов, но и вывели к 2008 г. свои решения на российский рынок. Решения компаний Websense (бывшее PortAuthority) и Symantec (бывшее Vontu) удерживают абсолютные лидерские позиции среди DLP-peшений по рейтингам аналитиков Gartner за 2006-2008 гг. Компании Trend Micro и RSA Security объявили о доступности своих решений DLP еще в 2007 г., но пока не начали оказывать консультационную поддержку по ним в России. Компанию Reconnex, совершившую значительный рывок в развитии своих сетевых DLP-технологий, приобрела компания McAfee и планирует со временем интегрировать в свою линейку продуктов. Остается несколько мировых компаний, которые являются признанными лидерами рынка DLP (как по функциональным возможностям решений, так и по объемам продаж), которые тем не менее не представлены и даже не планируют в ближайший, 2009 г. выходить на российский рынок: Verdasys, Vericept, Orchestria, Workshare, Code Green Networks.

Итого на данный момент в России уже доступно несколько признанных аналитиками Forrester DLP-решений: Websense DSS, Symantec DLP, In-foWatch Traffic Monitor, Trend Micro LeakProof, RSA DLP Suite. Кроме того, заслуживают внимания развивающиеся решения отечественной разработки: Perimetrix SafeSpace, SecurIT Zgate.

Как рекомендует ведущий аналитик (работавший в компании Gartner) Рич Могул, с целью выбора системы защиты от утечек конфиденциальной информации следует детально оценить два-три наиболее подходящих решения. Для выбора оцениваемых решений представлена сравнительная таблица характеристик апробированных и рекомендованных к рассмотрению систем DLP.

Практика показывает, что полноценное внедрение системы противодействия утечкам информации на базе одного из DLP-продуктов возможно только при активном участии специализированного системного интегратора. Если компания планирует заняться вопросами защиты ее конфиденциальных данных, то первое, с чего следует начать, - обратиться к консультанту. Это может быть ИТ-компания, обладающая солидным опытом внедрения систем противодействия утечкам информации. Совместно им предстоит пройти три начальных этапа:

• обсудить с группой экспертов консультанта текущую ситуацию и цель внедрения DLP-системы в компании;
• принять участие в "живой" демонстрации предлагаемых к внедрению DLP-систем и в рамках показа вместе с экспертами выбрать одну из них для пилотного развертывания;
• согласовать с консультантом параметры пилотного запуска системы, зафиксировать ожидания от его реализации и провести развертывание.

Данные стадии могут быть завершены в срок от двух до трех месяцев, после чего можно приступать к основному проекту по внедрению системы противодействия утечкам информации.