Особенности использования DLP системы в банковском секторе
Информационная безопасность Информационная безопасность

Для банка DLP – одна из трех-четырех систем, иметь которую необходимо

Главная>Информационная безопасность>DLP: синергия техники и психологии
Информационная безопасность Тренд

DLP: синергия техники и психологии

Дата публикации:
22.09.2015
Посетителей:
260
Просмотров:
264
Время просмотра:
2.3

Авторы

Спикер
Василий Окулесский Начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы
Для банка DLP – одна из трех-четырех систем, иметь которую необходимо. Вопрос – для чего или, вернее, как ее правильно использовать. В свое время, когда на российском рынке появилась технология, позиционировавшаяся как средство контроля сотрудников и предотвращения утечек информации, она вызывала большой энтузиазм. Но на поверку все оказалось не так просто.

 

 

Чтобы DLP-система могла предотвращать утечки информации, она должна быть установлена в разрыв сети. Но такая схема чревата блокированием всего потока информации, и крупнейшие банки принципиально этого не делают, считая, что надежность важнее безопасности. Есть и другая сложность: чтобы система могла с высокой достоверностью фильтровать информационный поток и автоматически определять, какое сообщение нужно заблокировать, а в каком случае достаточно предупредить пользователя, системе должны быть заданы очень четкие правила. Для задания правил можно, например, использовать интеграцию с системой документооборота. Однако это предполагает принципиальное изменение существующей системы документооборота: во-первых, документ не должен содержать ничего лишнего – только «квант» нужной информации, во-вторых, все документы должны быть маркированы, учтены, для них должны быть прописаны регламенты хранения, распространения и т. д. Это колоссальный объем не только технической, но и организационной работы.

 Изменение системы документооборота требует в буквальном смысле революции в сознании, но большинство организаций в нашей стране пока не являются настолько зрелыми, чтобы эту революцию осуществить.

 

DLP-система, поставленная не в разрыв сети, выполняет функцию Data Leak Prevention не напрямую – она не совершает никаких действий с выявленными событиями, лишь собирает информацию о них и производит первичную фильтрацию. Совершать действия должен человек – администратор безопасности, руководитель подразделения и т. д.

 

Вопрос – как человек должен реагировать, что делать с нарушителем? Чтобы предъявить ему формальную претензию, информации об инциденте нужно придать юридическую силу, а для этого выполнить ряд дополнительных процедур (например, непосредственно на рабочем месте сотрудника актом зафиксировать факт использования служебного компьютера для личной переписки). Человеку, уполномоченному принимать решения по инцидентам, должно быть понятно, какие нужны процедуры, как можно распорядиться информацией, полученной из DLP-системы, в рамках существующих законов и нормативов. Должны существовать регламенты реагирования, типовые сценарии. Люди задумываются об их выработке уже после внедрения DLP, и это следствие того, что DLP неправильно позиционируется на рынке.

 

DLP не следует рассматривать как самостоятельное законченное техническое решение. Этот инструмент должен быть частью комплексной системы обеспечения безопасности, включающей технические средства, организационные мероприятия, нормативное обоснование. Именно в таком виде DLP-решение должно предлагаться заказчикам.

 

Культура безопасности или DLP-модуль «Секретарша»

 

Итак, если DLP не занимается прямым предотвращением утечек, то для чего она нужна? Ответ: для того, чтобы дисциплинировать сотрудников.

Любой уважающий себя банк заботится о том, чтобы мотивировать сотрудников к соблюдению правил информационной безопасности с первых дней работы. В первую очередь проводится подробный инструктаж, после чего сотрудник подтверждает своей подписью знакомство с правилами безопасности. Но одного инструктажа недостаточно, сотрудников нужно постоянно держать в тонусе. В Банке Москвы, например, разработаны веб-курсы, посвященные правилам работы с информацией – их все сотрудники проходят ежегодно. Прохождение веб-курсов завершается зачетом, результаты которого учитываются при начислении годовой премии.

 

Но и регулярным обучением ограничиваться не стоит. Нужно создавать в организации атмосферу, способствующую развитию самоконтроля сотрудников. По статистике, 80% утечек конфиденциальной информации допускаются людьми случайно – по рассеянности, недомыслию и пр. Чтобы этого не происходило, в голове у человека должен быть «стоп-кран», который не позволит писать лишнего в соцсети или откровенничать не с теми людьми. «Стоп-кран» будет работать, если сотрудникам постоянно напоминать, что их действия находятся под контролем. В этом как раз и поможет DLP-система.

 

Во-первых, сотрудники должны знать, что DLP-система в организации есть – так же как и видеонаблюдение, и другие средства безопасности. Во-вторых, результаты ее работы должны периодически становиться известны коллективу. Для этого совершенно не обязательно доводить дело до увольнения провинившегося сотрудника, а тем более до судебного разбирательства: выговор с лишением премии действует на коллектив доходчивее. А вот как донести эту информацию до коллектива – вопрос изобретательности руководителя. Можно устроить виновнику инцидента публичную выволочку. А можно – шепнуть секретарше, что такого-то застукали за недозволенными действиями в сети и теперь лишают премии. Секретарский корпус – это своего рода сеть распространения неофициальной информации в организации. Так что можно быть уверенным, что информация о проступке и его последствиях вскоре будет известна всем сотрудникам. Психологический эффект получается очень хороший.

 

Критерии выбора

 

Рассматривая возможность покупки чего-нибудь, принято подсчитывать экономический эффект: когда и сколько будет прибыли/экономии на рубль затрат. Однако эффект от наличия системы безопасности определяется не рублями, а самим существованием этой системы. Есть вещи, без которых бизнес просто не может функционировать, информационная безопасность – одна из таких вещей для банка. Говорить об «экономике» того или иного DLP-решения бессмысленно. Безопасность – это стратегия и стиль работы организации, которые позволяют сотрудникам и руководству чувствовать себя уверенно. Хотя, возможно, экономически обосновать внедрение DLP могла бы организация, обладающая некими ноу-хау, утечка которых может свести на нет конкурентные преимущества.

 

Для DLP (как и для любого другого решения по информационной безопасности) критерием выбора является не стоимость, а степень удобства работы пользователей. Решение не должно им мешать! Важно, чтобы DLP-система не затрудняла выполнение сотрудниками штатных операций и не тормозило работу прикладного ПО. Если вам предлагают очень хорошую (отлично себя зарекомендовавшую) систему, которая рассчитана на современные рабочие станции и конкретные версии антивируса, а в вашей инфраструктуре «зоопарк», – не берите. Если предлагают недорогую («выгодно!») систему, которая заставляет сотрудника долго ждать загрузки рабочей программы, – ни в коем случае не берите. Не прямо, но косвенно удобство работы пользователей сказывается на общей эффективности работы организации.

 

Еще раз о практическом эффекте

 

Кто-то может спросить: а зачем вообще тратиться на DLP-систему? Может, просто заняться воспитанием сотрудников, повышением их лояльности? Или застраховать свои риски? Да и какую информацию можно увести у банка? Базу клиентов? А смысл? Если банк хорошо работает, клиенты все равно останутся с ним, если плохо – и так уйдут.

 

На это можно ответить, что в банке есть конфиденциальная информация, утечка которой, возможно, не нанесет прямого материального ущерба, но нанесет ущерб репутации. Очевидный пример – персональные данные. Контроль их отправки внешним адресатам – постоянный процесс.

Случаются попытки отправки конфиденциальных документов. В Банке Москвы такая попытка была выявлена вскоре после установки DLP-системы. Была реакция, и впредь попытки не повторялись.

 

Когда DLP работает в комплексе с другими системами, это дает синергетический эффект. В нашем случае комплексная система позволила обнаружить подложные письма, содержащие троян. Антивирус реагировал на них только после того, как получатель открывал письмо. Комплекс, включающий DLP, делал это раньше.

 

DLP-система будет тем эффективнее, чем лучше проработаны организационные вопросы – подготовлены и занесены в базу данных контентной фильтрации шаблоны документов, налажена регулярная подготовка отчетов, проработаны алгоритмы реакции на инциденты, организована обратная связь для администраторов системы. Совершенствование и адаптация DLP-системы – процесс постоянный и непрерывный.

 

Подведем итог

 

Опыт говорит о том, что DLP – система полезная, а для многих организаций даже обязательная. Но не стоит ожидать от нее чудес – технология сама по себе не решит за администратора/руководителя все проблемы. Это всего лишь инструмент, которым человек либо сумеет грамотно воспользоваться, либо нет. Извлечь максимум пользы из DLP поможет в первую очередь тщательная организационная проработка процессов, в которых система задействована. А также – творческий подход к использованию полученных результатов.

Уведомления об обновлении тем – в вашей почте

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Контроль контролирующих, или Расширение возможностей DLP-систем

Если ваши сервисы работают без сбоев, можете смело их продавать. Эту несложную аксиому понимают владельцы любого бизнеса, вне зависимости от его масштаба или сферы деятельности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня