DLP-Эксперт: больше чем DLP
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

DLP-Эксперт: больше чем DLP

  • 120 views
Uploaded on

Радикально высказался в преддверии DLP Russia для журнала PC WEEK/RE № 22 за 2011 год. ...

Радикально высказался в преддверии DLP Russia для журнала PC WEEK/RE № 22 за 2011 год.

Source: http://ru.scribd.com/doc/228210347/DLP-Эксперт-больше-чем-DLP

More in: Law
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
120
On Slideshare
120
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 24| ИТ безопасность PC WEEK/RE 3 № 22 3 13 СЕНТЯБРЯ, 2011 pc week review ет эффективность и оптимальность при- менения в конкретных условиях”. По мнению заместителя генерального директора компании InfoWatch Рустэма Хайретдинова, хотя технологий и продук- тов защиты любой информации сегодня достаточно, следует еще учитывать, на- сколькобыстросертифицируютсяпотребо- ваниямЗоПДпродукты,ужеимеющиедру- гие государственные сертификаты, напри- мер по гостайне или отсутствию НДВ (расшифровать).Чтожекасаетсяценовых вопросов,то,посколькусампроцесссерти- фикации требует денег, сертифицирован- ныепродукты,возможно,считаетон,иста- нут дороже, но не настолько, чтобы гово- ритьобизмененииуровняихдоступности. Требование использовать специально сертифицированныепродуктыг-нХайрет- диновназвалсамымопаснымнедостатком ЗоПД: “Это ограничивает возможности операторов ПД и облегчает задачу взлома злоумышленникам. Принципиальным не- достатком закона, по его мнению, являет- ся также отсутствие ответственности опе- ратора ПД за раскрытие ПД — он отвеча- ет только за их ненадлежащую защиту. В результатезадачазащитыданныхподменя- ется задачей прохождения аттестации ИСПДн по требованиям ЗоПД, и аттесто- ванные системы считаются защищенны- ми.Разницатуттакаяже,какмеждузнани- ем математики и сдачей ЕГЭ: хорошая оценка вовсе не означает реальных зна- ний. Эта коллизия проявится достаточно быстро — как только из аттестованных систем начнут утекать данные и встанет вопрос: “Кто виноват?”” — заявил он. Летняя редакция ЗоПД — что же изменилось? Как считает г-н Левашов, в измененном в июле законе уточнены почти все опреде- ления. Так, ИСПДн в новой редакции оп- ределена как “совокупность содержащих- ся в базах данных персональных данных”, что по его мнению, имеет фундаменталь- ное значение, так как теперь любая ин- формационная система, содержащая ПД, является ИСПДн. В соответствии с этим новым определением придется корректи- ровать некоторые отраслевые стандарты безопасности ПД — те, в которых указы- вается, что содержащие ПД информаци- онные системы, установленные не в целях обработки ПД, не являются ИСПДн. Вне- сены важнейшие, на его взгляд, измене- ния в определение сроков хранения ПД, устраняющие один из главных недостат- ков предыдущей редакции, связанный с ограничением сроков хранения ПД. Кон- кретизированы и расширены возможно- сти обработки ПД, на которую не требует- ся согласие субъекта ПД. Значительно расширены возможности по форме пре- доставления субъектом ПД согласия на их обработку, по продолжению обработки ПД после отзыва субъектом согласия на это. Уточнены сроки повторных обраще- ний субъектов ПД к операторам ПД, что затрудняет злоупотребления этим. Госре- гуляторы (кроме Роскомнадзора) теперь имеют право проверять только государст- венных операторов ПД, правда, как ис- ключение — обоснованно (?) — могут прийти и к негосударственным. К фундаментальным изменением в ЗоПД г-н Левашов относит появление но- вой статьи, основу которой составляет те- зис о том, что оператор ПД самостоятель- но определяет состав и перечень мер, Защита... ПРОДОЛЖЕНИЕ СО С. 22 Е ще полгода назад бурное разви- тие сегмента DLP-решений большинство экспертов связы- вало с отложенным спросом периода посткризисного восстановления. Дру- гие склонялись к мнению о том, что рынок не имеет потенциала роста, а тема защиты информации в контек- сте DLP — модная “утка”. Измени- лись ли отношение и подходы компа- ний к защите данных? Насколько се- годня проблема утечек осознана биз- несом и решается ли она эффектив- но? И стоит ли ожидать существен- ных перемен в законодательстве? На вопросы отвечают ведущие специа- листы по информационной безопас- ности, участники Совета “DLP Экс- перт” и докладчики конференции DLP Russia 2011. Денис Безкоровай- ный, эксперт Ассо- циации профессио- налов в области информационной безопасности RISSPA: Многие организа- ции рассматривают защиту данных ис- ключительно как техническую задачу, хотя лишь техническими мерами про- блема утечки данных, как правило, не решается. Большую часть рисков утечки можно снизить, если правиль- но выстроить организационные меры защиты, оптимизировать бизнес-про- цессы обработки конфиденциальных данных и наладить процедуры кон- троля. Многие компании уделяют этим за- дачам недостаточно внимания, а за- щиту данных отдают на откуп техни- ческим средствам защиты от утечек (системам DLP), пытаясь наложить их на существующие процессы и инфра- структуру. Для эффективной защиты данных важно, чтобы в организации работала не просто служба ИБ с ог- раниченными полномочиями, а функ- ционировала полноценная система управления ИБ с активным вовлече- нием менеджеров компании, которые прислушиваются к мнению ИБ-руко- водителей. Только зрелые организации прово- дят классификацию информационных ресурсов и данных, определяют их владельцев и имеют отлаженные про- цедуры реагирования на инциденты. Без этого защита данных, внедрение и использование систем DLP будут затруднены. Тема обеспечения конфиденциаль- ности данных все чаще обсуждается на разных уровнях во многом благо- даря публичным случаям утечек и усилению законодательства. Поэтому можно предположить, что в сознании ИБ-руководителей и владельцев биз- неса эти проблемы займут важное место, так как для повышения эф- фективности борьбы с утечками у большинства российских компаний есть еще множество неиспользован- ных методов. Наталья Каспер- ская, генеральный директор InfoWatch: Если всего не- сколько лет назад приходилось объяс- нять, что такое DLP, то сегодня ситуация в корне изменилась: аббревиатура стала настолько популярна, а вокруг темы так много шумихи, что зачастую ра- зобраться в ней человеку, не близко- му к ИБ-сообществу, бывает крайне сложно. Отсюда и почва для спекуля- ций в контексте “DLP за один день”, и особое отношение заказчиков к дан- ному виду решений — компании до сих пор предпочитают тратить ИТ- бюджеты на что-то более ощутимое, например антивирусную защиту. По сути, российский рынок DLP ограни- чен парой сотен организаций и он практически весь распределен, по- этому ожидать взрывного роста не стоит. Вместе с тем мы видим большой потенциал в расширении направле- ний применения DLP-технологий (управление рисками, структурирова- ние информационных потоков орга- низации и много другое), особенно при наличии хорошей технологиче- ской базы в портфеле разработчика. DLP сегодня — уже не только защита от утечек, и ИБ-сообществу еще только предстоит обсудить, насколько широк сегодня функциональный спектр подобных решений и какое влияние они могут оказать на успеш- ное развитие бизнеса. Кирилл Керцен- баум, специалист по продажам решений по безопасности, IBM в России и СНГ: За годы развития DLP-рынка в России ответ остается неиз- менным: проблема осознана, но в раз- ной степени. Характерной особенно- стью нашего рынка является не очень глубокая степень интеграции служб ИБ в бизнес: где-то службы информационной безопасности под- меняются службами экономической безопасности и ИТ. Здесь возникает конфликт интересов: ИТ-службы не всегда заинтересованы в технологиях информационной безопасности, кото- рые требуют изменений в системе ИТ. В службах ИБ эта потребность осознана, в бизнесе — не очень. Кро- ме того, если на Западе есть законо- дательные требования по внедрению DLP, то Россия до сих пор остается без подобной законодательной базы. Все это затрудняет проникновение DLP глубже на российский рынок. Основным драйвером таких проек- тов в России могут и должны высту- пить именно государство и отрасле- вые сообщества, предъявляя более жесткие требования к ИБ, защите корпоративных данных и пр. Хорошей традицией стало обсужде- ние в рамках конференции общих во- просов по ИБ — о тенденциях на рын- ке. Важно смотреть дальше, шире, в общее поле области информационной безопасности, поскольку все продук- ты ИБ находятся в интегрированном индустриальном пространстве. Дмитрий Костров, директор по проек- там ОАО “Мобиль- ные ТелеСистемы”: Общеизвестно, что информация в на- стоящее время явля- ется самым мощным активом современно- го предприятия, пре- тендующего на лидирующую роль в своей отрасли. Именно поэтому за- метны два тренда — развертывание на собственных корпоративных сис- темах подсистем защиты от утечек и пунктов контроля (DLP-решения), а также переподчинение департамен- тов информационной безопасности непосредственно CIO или даже вла- дельцу бизнеса. Если говорить о законотворчестве, я бы отметил, что существующие за- коны и подзаконные акты не только не помогают, но и вносят сумятицу в головы акционеров. Если выполнять все “по-написанному”, можно разо- риться, и все равно даже 80% защи- ты не добьешься. Интересным видится создание доб- ровольной системы сертификации средств защиты и бизнес-процессов обработки конфиденциальной инфор- мации, например в рамках отрасле- вых СРО. Рынок ИБ состоит (грубо) из двух частей — заказчики и исполнители. С одной стороны, исполнителям вы- годно ужесточение закона/подзакон- ных актов и неразбериха с некоторы- ми их определениями, с другой — ис- полнитель при грамотном ТЗ может не выполнить возложенные на него работы полностью. Поэтому сами операторы ПД должны объединенны- ми усилиями, с помощью Минсвязи, разработать и согласовать с ФСБ и ФСТЭК технические регламенты по обеспечению защиты ПД и не только. Валерий Боронин, руководитель лабо- ратории защиты информации от внутренних угроз “Лаборатории Кас- перского”: Проблема осозна- на недостаточно. Безусловно, за по- следние годы ситуация с точки зре- ния информированности улучши- лась — чему способствовали как сдвиги в области законодательства, так и громкие инциденты и многолет- ние усилия ИБ-специалистов. Недос- таточно, потому что не видно широ- кого понимания и освещения того факта, что сейчас в ИБ мы платим за борьбу со следствием, а не за ис- правление проблем. Производителям средств защиты невыгодно об этом говорить, а законодательство и регу- ляторы хотя и двигаются в верном направлении, но недостаточно эф- фективно. Дело в том, что у тех, кто реально может и должен улучшать ситуацию, — сейчас нет экономиче- ских стимулов для этого. Если говорить о защите персональ- ных данных (ПД), то реальных про- блем тут даже две: во-первых, ПД легко украсть, во-вторых — будучи украденными, они имеют высокую ценность. Нужно думать не только о том, как не дать украсть и на кого по- весить ответственность за утечки, но и о том, как сделать невыгодным ис- пользование украденного. Например, индустрия кредитных карт давно пришла к пониманию то- го, что основные усилия следует при- лагать при аутентификации транзак- ций. Это не избавит от проблем безо- пасности нашей персональной ин- формации, но серьёзно снизит уг- розу. На DLP Russia 2011 можно было бы подискутировать на тему, как сде- лать сторону, которая может снизить риск, ответственной за этот самый риск. Это означает, что в первую оче- редь производители ПО должны не- сти финансовую ответственность за некачественный или дырявый софт. Разумеется, речь идет не о 100%-ной ответственности — здесь множество участников: степень ответственности каждого будет определять суд. СПЕЦПРОЕКТ “DLP-Эксперт”: больше чем DLPДОКЛАДЧИКИ IV МЕЖДУНАРОДНОЙ КОНФЕРЕНЦИИ DLP RUSSIA 2011 ОТВЕЧАЮТ НА ВОПРОСЫ О РЫНКЕ, ЗАКОНОДАТЕЛЬСТВЕ И СВОИХ ОЖИДАНИЯХ