Как правильно выбрать DLP-систему?

В "Компьютерных вестях" уже неоднократно поднималась тема защиты от утечек информации. Сегодня поговорим о том, что нужно учесть при выборе системы защиты, которую планирует внедрять у себя организация.

Пример сайта WikiLeaks, который продолжает выкладывать еще недавно находившуюся под грифом строгой секретности информацию, наверняка показал многим организациям, насколько серьезные последствия может иметь утечка информации. В результате подобных инцидентов лишаются работы руководители очень высоких рангов, и, как показывает практика, речь может идти даже о крупных дипломатических скандалах. Конечно, далеко не в каждой организации есть документы международной важности, способные заинтересовать WikiLeaks, но даже обычные бизнес-планы и финансовые отчеты, попавшие к конкурентам или к журналистам, могут стоить компании весьма серьезной суммы или даже вовсе привести её к банкротству.

К счастью, для того, чтобы избежать утечек информации и, соответственно, всех вытекающих из них последствий, можно применять специализированное программное обеспечение, носящее название DLP-систем (от английского Data Leak Prevention, предотвращение утечек данных). В "КВ" №31'2009 рассказывается о том, что такое DLP-система, однако вряд ли будет лишним напомнить здесь еще раз, как работают продукты подобного класса.

Суть их работы состоит в создании защищенного информационного периметра, для которого производится перехват и мониторинг всего исходящего трафика, а часто еще и входящего. Под трафиком подразумевается здесь не только интернет-трафик, а, в идеале, также и документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д. Существуют DLP-системы с активной защитой, которые могут самостоятельно блокировать информацию, которая распознается ими как конфиденциальная; есть и DLP-системы с пассивной защитой, которые не блокируют передачу данных, а только предупреждают сотрудников службы информационной безопасности о случившемся инциденте. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками. Выбор между системой с активным и пассивным контролем нужно делать исходя из специфики работы организации, но большинство организаций сегодня предпочитают системы первого типа.

Каким требованиям должна соответствовать приобретаемая DLP-система? Во-первых, она должна работать с максимально возможным количеством каналов потенциальной утечки данных. Эксперты отмечают, что хотя бы один не отслеживаемый DLP-системой канал, который дает возможность сотруднику несанкционированно передать защищенную информацию за пределы организации, снижает эффективность работы DLP-системы в несколько раз.

Во-вторых, DLP-система должна обладать мощным поисково-аналитическим модулем, который даст ей возможность обнаруживать конфиденциальную информацию в перехваченных данных. Фактически, поисковый модуль - это "мозг" DLP-системы, и поэтому чем мощнее он будет, тем более качественную защиту вы получите с использованием данной системы. Нужно сказать, что ряд DLP-систем имеют настолько мощный модуль поиска, что позволяют обнаруживать в трафике даже те документы, которые были существенно изменены отправителями (например, "разбавлены" кусками постороннего текста). Это, само собой, однозначный плюс, с точки зрения обеспечения безопасности. В силу того, что в отечественных организациях львиная доля документов - русскоязычные, имеет смысл остановить своё внимание на DLP-системах российского производства, потому что поисковые алгоритмы западных систем не всегда хорошо работают с русским текстом - некоторые из них не имеют даже поддержки банального поиска с учетом морфологии текста.

Еще один важный параметр - ведение архива перехваченной системами информации. Он может понадобиться для проведения расследований утечек в будущем, а также служить доказательной базой в том случае, если виновный в утечке информации работник подаст в суд на уволившего его работодателя. Само собой, DLP-система должна уметь разграничивать доступ пользователей как к перехваченной информации, так и к собственным настройкам, и давать возможность руководству контролировать работающих с самой системой "безопасников".

Помимо этого, безусловно, необходимо учитывать стоимость внедрения и обслуживания DLP-систем. Если система удовлетворяет всем перечисленным выше требованиям, но при этом требует двадцать человек обслуживающего персонала, то вряд ли её можно считать подходящей для компании с пятьюдесятью сотрудниками. Для компаний, имеющих филиалы, будет удобно, если система сможет охватить и их, работая с филиалами удалённо.

Конечно, список требований, предъявляемых организациями к современным DLP-системам, на самом деле гораздо шире, однако это самые основные требования, которым должна удовлетворять каждая DLP-система без какого-либо исключения. Нужно помнить также, что скупой платит дважды, и в итоге утечка информации, вернее, убытки от неё, могут с лихвой перекрыть те деньги, которые вы сэкономите на покупке DLP-системы.

Вадим СТАНКЕВИЧ