DLP-системи - це таке, огляд, ринок

інцидентів

DLP-системи вибороли певне місце на ринку засобів захисту інформації від витоків. Однак суперечки про їхню ефективність не замовкають. Причина — не лише у завищених очікуваннях, сформованих вендорами, а й у тому, що кожна складна система потребує адекватного налаштування.

Пропонуємо ряд маркерів, які допоможуть вичавити максимум із будь-якої системи DLP.

DLP-системи: що це таке

Отже, у вашій компанії пройшло використання DLP-системи. Які кроки потрібно зробити, щоб система запрацювала ефективно?

1. Коректно налаштувати правила безпеки

Припустимо, що в системі, що обслуговує 100 комп'ютерів, створено правило «Фіксувати всі листування зі словом «договір»», яке спровокує величезну кількість інцидентів, в якому може загубитися справжній витік.

Крім того, не кожна компанія може дозволити собі утримувати штат співробітників, які відстежують інциденти.

Підвищити коефіцієнт корисності правил допоможе інструментарій зі створення ефективних правил та відстеження результатів їхньої роботи. Кожна DLP-система має функціонал, який дозволяє це зробити.

Загалом методологія передбачає аналіз накопиченої бази інцидентів та створення різних комбінацій правил, які в ідеалі призводять до появи 5–6 справді невідкладних інцидентів на день.

2. Актуалізувати правила безпеки з певною періодичністю

Різке зниження чи збільшення кількості інцидентів — показник того, що потрібне коригування правил. Причини можуть бути в тому, що правило втратило актуальність (користувачі перестали звертатися до певних файлів) або співробітники засвоїли правило і більше не роблять дій, забороненихсистемою (DLP - навчальна система). Проте практика показує, що й одне правило засвоєно, то сусідньому місці потенційні ризики витоку зросли.

Також слід звернути увагу на сезонність у роботі підприємства. Протягом року ключові параметри, пов'язані зі специфікою роботи компанії, можуть змінюватись. Наприклад, для оптового постачальника малої техніки навесні будуть актуальними велосипеди, а восени — снігокати.

3. Продумати алгоритм реагування на інциденти

Існує кілька підходів до реагування на інциденти. При тестуванні та обкатуванні DLP-систем найчастіше людей не сповіщають про зміни. За учасниками інцидентів лише спостерігають. При накопиченні критичної маси із нею спілкується представник відділу безпеки чи відділу кадрів. Надалі часто роботу з користувачами віддають на відкуп представникам відділу безпеки. Виникають міні-конфлікти, у колективі накопичується негатив. Він може виплеснутися у навмисному шкідництві співробітників стосовно компанії. Важливо дотримуватись балансу між вимогою дисципліни та підтримкою здорової атмосфери в колективі.

4. Перевірити роботу режиму блокування

Існує два режими реагування на інцидент у системі - фіксація та блокування. Якщо кожен факт надсилання листа або прикріплення вкладеного файлу на флешку блокується, це створює проблеми для користувача. Часто співробітники атакують системного адміністратора проханнями розблокувати частину функцій, керівництво також може бути незадоволеним такими налаштуваннями. У результаті система DLP та компанія отримують негатив, система дискредитується та демаскується.

Рекомендуємо режим блокування підключати лише до правил, які у 100 % випадків є справжніми витоками. При умовно-хибних спрацьовуваннях рекомендується підключатирежим фіксації інцидентів

5. Перевірити, чи введено режим комерційної таємниці

Режим комерційної таємниці дає можливість зробити певну інформацію конфіденційною, а також зобов'язує будь-яку особу, яка знає про це, нести повну юридичну відповідальність за її розголошення. У разі серйозного витоку інформації при чинному на підприємстві режимі комерційної таємниці з порушника можна стягнути суму фактичної та моральної шкоди через суд відповідно до 98-ФЗ «Про комерційну таємницю».

Сподіваємося, що ці поради допоможуть знизити кількість ненавмисних витоків у компаніях, адже саме з ними покликані успішно боротися системи DLP. Однак не варто забувати про комплексну систему інформаційної безпеки та про те, що навмисні витоку інформації вимагають окремої пильної уваги. Існують сучасні рішення, які дозволяють доповнити функціонал систем DLP та значно знизити ризик навмисних витоків. Наприклад, один із розробників пропонує цікаву технологію - при підозріло частому зверненні до конфіденційних файлів автоматично вмикається веб-камера і починає вести запис. Саме ця система дозволила зафіксувати, як невдаха викрадач активно робив знімки екрану за допомогою мобільної фотокамери.

Захист даних від витоку

Олег Нечеухін, експерт із захисту інформаційних систем, «Контур.Безпека»