2. Миграция задач DLP
Изначально, главной задачей DLP-систем являлся анализ
передаваемой информации. Сегодня понятие Data Leak Prevention
уже не вмещает в себя все задачи, которые способны выполнять
современные решения, выросшие из DLP-рынка.
Современные DLP-системы, помимо основных, вмещают в себя
также функции обнаружения информации, шифрования, а также
контроля действий персонала и повышения его производительности.
Однако во всех тонкостях работы DLP-систем зачастую трудно
разобраться даже профессионалам этой отрасли, не говоря уже о
потенциальных клиентах.
www.searchinform.ru
3. Критерии хорошей DLP-системы:
1. Количество контролируемых каналов.
2. Контроль ноутбуков.
3. Архив всей перехваченной информации.
4. Расширенные аналитические возможности.
5. Идентификация сотрудника по доменному
имени и разграничение прав доступа к
информации.
6. Система отчетности.
7. Отдел внедрения и обучения клиентов, наличие
готовых политик для начала работы.
8. Цена и стоимость владения системой.
www.searchinform.ru
4. Каналы передачи информации, которые
должна контролировать современная
DLP-система
- Корпоративная электронная почта (входящая и исходящая)
- Web Mail (входящая и исходящая)
- «Облака»
- Viber, ICQ, Google talk, Mail.ru Agent и другие клиенты
- Чаты социальных сетей
- HTTP Post и FTP
- Skype (чаты, файлы, голос, конференции)
- Съемные носители
- Мобильные устройства
- Принтеры
- Мониторы
- Ноутбуки
- Содержимое компьютеров пользователей и файл-серверов
- Активность сотрудников на сайтах и в программах
- Действия в Active Directory
www.searchinform.ru
5. Контроль
ноутбуков
Сегодня все больше сотрудников
работают за ноутбуками и часто эта работа вне
офиса - в командировках, дома.
Контроль информации, отсылаемой
сотрудниками, находящимися за пределами
локальной сети компании, не менее важен, чем
контроль сотрудников офиса.
Современная DLP-система должна давать
службе безопасности полную картину того
что, человек делает находясь в командировке.
www.searchinform.ru
6. Полный архив всей перехваченной
информации позволяет:
- Эффективно проводить служебные расследования
произошедших инцидентов
- Проводить ретроспективный анализ деятельности
сотрудника или группы сотрудников
- Анализировать деятельность сотрудников попавших под
подозрение СБ
- Строить отчет по связям сотрудников внутри компании и
внешним миром
- Выявлять и анализировать аномалии (резкое повышение
активности по тому или иному каналу, резкое
повышение/снижение активности сотрудника или отдела)
Полноценная работы службы безопасности невозможна без
архива всей перехваченной информации!
www.searchinform.ru
7. Чем богаче инструментарий DLP-системы в области
контекстного анализа, тем меньше времени офицер
безопасности тратит на рутинную работу, и больше
фокусируется на расследовании инцидентов и работе
с «группой риска»
www.searchinform.ru
8. Идентификация
и разграничение прав
Идентификация пользователя по доменному
имени позволяет всей перехваченной
информации однозначно сопоставить
пользователя, от которого она была
отправлена.
В дальнейшем это существенно упрощает
проведение служебных расследований,
построение отчетов.
Также наличие сопоставленных доменных
имен перехваченной информации позволяет
разграничивать права доступа к перехваченной
информации.
Особенно это актуально для крупных
компаний, где за мониторинг различных
пользователей отвечают разные сотрудники
службы безопасности.
www.searchinform.ru
9. Система отчетности
www.searchinform.ru
Условно можно выделить три вида:
1. количественные отчеты;
2. отчеты по связям сотрудников;
3. отчеты по «софту и железу»;
Количественные отчеты позволяют:
-выявлять и анализировать аномальные
активности (резкое увеличение или скачки
количества передаваемой информации);
-анализировать эффективность работы
сотрудников, сравнивая показатели по
активности в программах, на сайтах и т.п.;
-выявлять основные тенденции в работе
сотрудников, сравнивая количество
сработок по настроенным алертам.
10. Система отчетности
Отчеты по связям сотрудников показывают связи
сотрудников внутри компании с внешним миром
по всем каналам и позволяют:
- эффективно проводить расследование и
выя-влять всех сотрудников, причастных к
прои-зошедшему инциденту;
- выявлять неформальных лидеров
коллектива и в дальнейшем более эффективно
управлять коллективом;
- видеть связи сотрудников с внешним миром
и, в частности, с уволенными сотрудниками.
www.searchinform.ru
11. Система отчетности
Отчеты по «софту и железу» помогают выявлять
подозрительную деятельность или недоработки со
стороны системных администраторов. В
частности:
- установку и снятие комплектующих (жест-
кие диски, оперативная память и т.п.);
- установкунеустановку или удаление
определенных программ (к примеру,
антивирусов);
www.searchinform.ru
12. Отдел внедрения
Если компания давно и всерьез занимается внедрением
DLP-систем она может и должна делиться с новыми и
существующими клиентами опытом других клиентов –
Best practice.
Отдел внедрения служит своеобразным буфером в
передаче информации от одной компании к другой и
помогает с первых же дней начать максимально
эффективно работать.
DLP-система не является самым простым инструментом,
однако компания должна предоставить сотрудника,
который сможет квалифицированно обучить работе с
системой, помочь с настройкой политик на самом старте,
поддерживать клиента в процессе всего времени
использования DLP.
www.searchinform.ru
13. Цена и стоимость владения
www.searchinform.ru
Из чего состоит стоимость
владения DLP:
1.Стоимость лицензий;
2.Стоимость внедрения;
3.Количество людей, обслуживающих и
работающих с системой;
4.Стоимость и скорость ТП;
5.Стоимость получения новых версий.
14. На что обращать внимание при
выборе DLP
Первостепенные критерии
• Поисковые возможности. Качество и скорость
• Аналитические возможности
• Полнота охвата контролируемых каналов
• Наличие архива перехваченной информации в компактном
www.searchinform.ru
виде
• Тестирование в «боевых условиях» на максимальном
количестве пользователей
• Конфиденциальность тестирования, внедрения и эксплуатации
• Модульность продукта
• Наличие сертификата ФСТЭК
• Качество и оперативность службы технической поддержки
• Наличие, качество и стоимость работы службы внедрения
• Наличие учебного центра
• Стоимость владения
15. На что обращать внимание при
выборе DLP
• Блокировка передаваемой информации
• Перехват в режиме реального времени
• Интерфейс
• Шифрование
• Преднастроенные «из коробки» поисковые критерии и
www.searchinform.ru
тематические словари
• Контроль личных мобильных устройств сотрудников
(BYOD)
Второстепенные критерии
16. Как убедить собственника в
необходимости DLP
1. DLP это недорого. Как правило, стоимость внедрения DLP
на одного сотрудника = стоимости затрат на чай, кофе и
новогодний корпоратив.
2. DLP это не траты, а возвратные инвестиции. DLP
экономит деньги на завышении цен при закупках,
минимизации репутационных рисков, на «сливе» баз
клиентов и партнеров и т.д.
3. «Не ждите с моря бюджета». Защита информации не
терпит отлагательств, как и замена сломанного дверного
замка.
4. Информация, хранящаяся на компьютере сегодня, всегда
дороже самого компьютера, поэтому траты на
информационную безопасность должны быть не меньше,
чем на физическую.
www.searchinform.ru