"Практические аспекты внедрения системы защиты от утечек данных"

Интервью с Андреем Хмелининым, генеральным директором компании АСТ. 

- DLP: что это такое и кому это нужно?

- Андрей Хмелинин: Система защиты от утечек данных обеспечивает контроль над распространением конфиденциальной информации за пределы предприятия по доступным каналам передачи информации. DLP-решение предотвращает несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы организации и т.д.). Стоит также отметить, что функционал DLP направлен в первую очередь на защиту от случайных утечек, которые встречаются гораздо чаще, чем преднамеренные.

Внедрение DLP − сложная и трудоемкая задача, требующая комплексного подхода и соответствующего опыта. На первый взгляд, с этой задачей могут справиться и штатные специалисты службы информационной безопасности: действительно, установить ПО под силу любому системному администратору. Однако установка − это лишь верхушка айсберга, основная же работа в рамках внедрения – определение информации, которую необходимо защищать, формирование политик и регламентов, настройка системы под конкретные задачи информационной безопасности организации – требует и широких компетенций в различных вопросах информационной безопасности, и глубоких знаний продуктов.

Следует также учитывать, что система DLP нужна далеко не всем компаниям. Реальную пользу от использования системы получат только те компании, у которых есть действительно конфиденциальная информация, утечка или потеря которой приведет к прямым убыткам или вынужденным простоям.

Что касается отраслей, для которых актуальны DLP-решения, то это организации кредитнофинансового сектора, медицинские и фармацевтические, промышленно-производственные компании, разработчики в сфере высоких технологий и программного обеспечения, телекоммуникационные операторы.

 Что именно следует защищать?

- Андрей Хмелинин: Ответ на вопрос, какую информацию необходимо защищать, в большей степени зависит от самого клиента. Конечно, мы, как интеграторы, помогаем клиентам в категоризации информации по степени критичности для бизнеса и составлении соответствующих списков. Но, как правило, если клиент не может дать ответа на этот вопрос самостоятельно, то ему стоит повременить с внедрением DLP и попробовать использовать организационные меры. 

С нашей точки зрения, можно выделить следующие категории критичной для бизнеса информации:

• Корпоративная конфиденциальная информация – финансовая информация, информация о составе и структуре компании, внутренние политики и регламенты, клиентские базы и др.

• Административная информация, например персональные данные.

• Результаты интеллектуальной деятельности компании, «ноу-хау».

• Данные для доступа в Интернет и к ИТ-ресурсам, производственным активам и др.

Затем информации классифицируется по уровню критичности: высокий, средний, низкий. В зависимости от уровня в дальнейшем определяются политики реагирования и санкции за потерю и передачу информации. Отмечу очень важный момент: санкции должны быть предусмотрены обязательно!

- Как происходит внедрение DLP?

- Андрей Хмелинин: Реализацию DLP-решения в целом можно разделить на три последовательных этапа: подготовка, внедрение технических средств и сопровождение. По опыту нашей компании, 80 % успеха зависит от этапа подготовки. Поэтому расскажуо нем подробнее.

Как уже говорил, на этапе подготовки важно четко определить, какую информацию необходимо защитить. По нашей практике, не стоит пытаться защитить все – важно определить именно ту информацию, утечка которой действительно может негативно повлиять на деятельность компании. После категоризации и классификации информации по уровням и степени ее значимости к каждому классу определяются требования по хранению и распространению.

Зачастую компании вводят запрет на использование каких-то определенных способов передачи информации, пытаясь тем самым минимизировать количество каналов потенциальной утечки. Например, запрещают использовать ICQ или ограничивают передачу по FTP и т.д. Создается иллюзия безопасности, а не эффективное решение. Гораздо эффективнее позволить сотруднику пользоваться привычными и удобными для него способами передачи информации и при этом контролировать данный процесс.

На первой стадии внедрения мы рекомендуем устанавливать систему в режиме мониторинга (в целях накопления статистики по типам передаваемой информации и определения наиболее «популярных» каналов утечки информации) без блокировки нарушений. Функционирование системы в таком режиме помогает избежать вмешательства в ход нормальных бизнес-процессов. Интересное наблюдение: в ряде компаний только в ходе реализации DLP-решения были выявлены направления движения реальных информационных потоков, что зачастую вызывало серьезное удивление у руководства.

После определения классов критичной информации проводится инвентаризация, цель которой – найти все точки хранения важной информации, а также определить бизнес-процессы, в которых она участвует. Стоит отметить, что основным преимуществом использования DLP-системы является именно автоматизация процессов категоризации и инвентаризации информации. По результатам инвентаризации устраняются несоответствия требованиям, определенным для каждого класса. 

Следующий шаг – разработка политик и регламентов, которые должны описывать весь процесс работы системы, включая выработку способов реагирования на инциденты, определение санкций за нарушения, установление сроков хранения информации об инцидентах для ретроспективного анализа. Отдельно выделю такие важные моменты, как доведение до сотрудников информации о внедрении системы контроля и разработка инструкции по работе с важной информацией, а также внесение в трудовой договор пункта о согласии сотрудника с контролем его действий. 

- Вы сказали, что сотрудников необходимо оповестить о начале контроля. Как это отразится на эффективности системы?

- Андрей Хмелинин: По практике, многие компании устанавливают DLP тайно. Но, как известно, все тайное рано или поздно становится явным. Как следствие – когда сотрудники узнают о начале контроля, они воспринимают этот факт как недоверие работодателя. Да и к тому же вряд ли кому понравится, что все его действия будут контролировать без его согласия. В результате авторитет руководства падает, а недовольство сотрудников возрастает. 

Открытое внедрение DLP, наоборот, повышает авторитет руководства и компании в целом, позволяет повысить уровень аккуратности сотрудников при работе с важной информацией, дает компании конкурентные преимущества.

- Какие факторы следует учитывать при выборе системы DLP?

- Андрей Хмелинин: При выборе решения необходимо учитывать ряд моментов, например: какие каналы утечек необходимо контролировать, как решение встраивается в вашу инфраструктуру, с какими из корпоративных систем необходима интеграция, какая информация об инциденте доступна в системе, как реализован функционал отчетности, какие способы определения информации предоставляет система. Также необходимо обратить внимание на наличие в системе отраслевых словарей и шаблонов политик. Осуществляется ли поддержка русского языка. 

Выбирать DLP по описаниям и листовкам нельзя – нужно обязательно пробовать! Успешное внедрение DLP начинается с пилотного проекта. Если интегратор не может или не хочет проводить пилот, а вам нужна эффективная система защиты – меняйте интегратора. Одна и та же система может быть эффективной в рамках одной компании и неэффективной – в рамках другой.

- С какими сложностями приходилось сталкиваться в процессе внедрения?

- Андрей Хмелинин: Процесс внедрения могут осложнить следующие факторы:

 • сложная архитектура сети, территориальная распределенность;

 • необходимость мягкого внедрения в существующую информационную инфраструктуру;

 • потребность в значительном количестве политик;

 • большие объемы и множество типов защищаемой информации;

 • необходимость тонкой настройки лингвистических и других инструментов анализа информации.

Однако это технические вопросы, с решением которых наши специалисты давно научились справляться. На наш взгляд, тяжелее преодолевать мифы, возникающие вокруг решений DLP. Назову наиболее «популярные».

Прежде всего, это представление о высокой цене DLP-систем. Не буду скрывать, решение действительно не из дешевых. Однако грамотно продуманное внедрение и модульность применяемых нами систем позволяют решать сложную задачу защиты конфиденциальной информации компании в соответствии с бизнес-требованиями и в рамках приемлемых бюджетов.

 Другой миф о том, что DLP – это коробочное решение, которое легко внедрить. 

Это далеко не так. Как уже говорил, внедрение DLP трудоемкий и комплексный процесс, результат которого зависит от опыта интегратора и зрелости компании-заказчика в области обеспечения информационной безопасности. 

Мы прекрасно понимаем, что компаниям важно получить быстрый и удовлетворительный результат от создания DLP-системы. Мы, как ответственный за этот результат интегратор, выработали методику эффективного внедрения DLP, пошаговое следование которой позволяет нашим клиентам получить высокопроизводительную и эффективную систему.