Журнал "Директор по безопасности" Апрель 2020 | Page 18
ЕСТЬ РЕШЕНИЕ
ГИД
для топ-менеджера:
зачем организации
DLP
АНАСТАСИЯ ГОЛЕВА,
руководитель направления информационной
безопасности АО «РАСЧЕТНЫЕ РЕШЕНИЯ»
Системы обнаружения утечек в отече-
ственных компаниях прижились давно и
настолько гармонично, что обнаружить
отсутствие системы такого класса в компа-
нии уровня среднего или крупного бизнеса
в России достаточно сложно. Однако, не
так давно, на одной из конференций было
высказано мнение представителя одной
из зарубежных компаний о том, что DLP –
средство слежения, использовать которое
по отношению к собственным сотрудникам
крайне нелояльно и недружественно со сто-
роны работодателя.
Б
езусловно, такое мнение имеет
право на жизнь, однако в дан-
ном, исключительно интересном
вопросе следует разобраться более де-
тально. Итак, что же такое DLP?
DLP (Data Leek Prevention) – систе-
ма обнаружения утечек информации,
то есть средство, осуществляющее
защиту критичной для организации
информации, отслеживание еe пере-
мещений внутри корпоративной сети
компании, а также во внешнюю среду.
Это отслеживание осуществляется на
основании определенных признаков,
некоторые из которых:
Ключевые слова и выражения
(словосочетания, посредством кото-
рых лингвистический поиск DLP-систе-
мы осуществляет фильтрацию трафи-
ка и выделение искомой информации
с последующим формированием от-
чета о движении информации, кото-
рое потенциально может быть квали-
фицировано как инцидент – утечка);
Графические объекты, в том чис-
ле, печати организации, а также дру-
гая защищаемая графическая инфор-
мация.
Что делает DLP? Осуществляет по-
иск и фильтрацию ключевой инфор-
мации на основании заданных адми-
нистратором системы (сотрудником
подразделения, ответственного за
обеспечение информационной
безопасности). Среди многочислен-
ных информационных потоков наи-
более распространенные:
сервисы электронной почты (мо-
гут быть корпоративными – принад-
лежащими компании и управляемые
либо сотрудниками компании, либо
внешними сотрудниками на основа-
нии договора, и общедоступными –
такие, как mail, google, yandex и т. п.);
работа с внешними носителями
информации (подразумеваются ап-
паратные носители информации – в
настоящее время выходящие из ак-
тивного использования CD/DVD-ди-
ски, а также широко используемые
USB-носители, всевозможные карты
памяти, иные накопители информа-
ции, в том числе, входящие в состав
мобильных гаджетов, подключаемых
к персональным компьютерам на ра-
бочем месте, что также можно регу-
лировать при помощи DLP-системы);
интернет-ресурсы (любые сайты
в сети интернет, на которые могут за-
ходить и размещать определенную
информацию сотрудники вашей ком-
пании). Интернет-ресурсы могут по-
зволять загружать файлы, и утечки
данных часто происходят при наличии
самой распространенной ошибки –
загрузки «не того» рабочего файла
на внешний интернет-ресурс.
Расследование инцидентов
В рамках работы DLP собирается
огромный массив информации, ко-
торый, разумеется, во многом обра-
батывается автоматически, при по-
мощи политик. В случае корректной
настройки политик, которые, к слову,
рекомендуется регулярно пересма-
тривать на предмет их эффективно-
сти, риск некорректных срабатыва-
ний сводится к минимуму. Однако
несмотря на максимальную кор-
ректность настройки, событий DLP
накапливает массу, и выделение того
самого, нужного события из пусть
даже нескольких десятков срабатыва-
ний – задача, требующая значитель-
ных ресурсов. Работа с DLP должна
проводиться на регулярной основе,
поэтому важно определить, какие
СОБЫТИЯ информационной безопас-
ности в Вашей компании являются
ИНЦИДЕНТАМИ, а какие – нет. После
этого, в организационном плане сле-
дует определить, утвердить и дове-
сти до сотрудников процедуру рабо-
ты с инцидентами информационной
безопасности. Существует мнение,
что вопросы работы с инцидентами
должны быть исключительно в поле
зрения подразделения, ответствен-
ного за обеспечение безопасности,
однако при комплексном подходе к
обеспечению безопасности, в про-
цесс инцидент-менеджмента долж-
ны быть вовлечены все сотрудники
организации в части, касающейся их
деятельности. Таким образом, быть
в курсе процессов управления инци-
дентами и знать, к кому обращаться
по вопросам их обработки, должны
все сотрудники компании.
Перед тем, как принимать реше-
ние о выборе DLP-средства, стоит
провести сравнительный пилотный
проект и сравнить два или три сред-
ства по функциональности исходя из
целей и задач вашей организации.
Кроме того, стоит определить пере-
чень критичной для бизнеса вашей
компании информации (перечень
конфиденциальной информации) –
именно тех данных, утечка которых
способна отрицательно повлиять на
бизнес-процессы.
Относительно вопроса корректно-
сти «слежки» за сотрудниками, в
части мониторинга перемещения
информации посредством корпора-
тивных информационных систем и
корпоративных же средств обработ-
ки информации (персональные ком-
пьютеры и мобильные устройства),
использование DLP не является чем-
то некорректным и недопустимым.
Сотрудникам необходимо довести
подход к обработке информации, ба-
зирующийся на принципах «на работе
обрабатывается корпоративная ин-
формация». Таким образом, в случае,
когда сотрудник обрабатывает лич-
ные данные на корпоративном обо-
рудовании, он, фактически не только
самостоятельно предоставляет вам
доступ к ним, но и нецелевым обра-
зом использует ресурсы компании.
Афишировать ли использование
DLP? На этот вопрос, как обычно,
есть два основных мнения, одно из
которых «да», а другое «нет». Каждая
организация отвечает на это вопрос
по-своему, однако следует помнить,
что при официальном использова-
нии DLP, данные, полученные при по-
мощи указанной системы можно ис-
пользовать в качестве доказательств
в суде, если такая необходимость бу-
дет иметь место. В случае же
неофициального использования
можно говорить лишь о возможности
проведения внутренних расследова-
ний и разборов инцидентов инфор-
мационной безопасности.