DLP как пазл, который должен сложиться

Наша система DLP в ее нынешнем виде – результат многолетней работы. Безопасность складывается из множества элементов – как пазл. Думаю, мы близки к тому, чтобы в корпорации этот пазл сложился.

Конечно, мы понимаем существующие угрозы и риски, знаем, где у нас есть слабые места. Исходя из этого решаем, что нам больше всего нужно в данный момент.

К теории риск-менеджмента мы не прибегаем, а принимаем решения на основании внутренней экспертизы в организации. Наши работники хорошо ориентируются и в своей области деятельности, и в делах компании в целом. Они понимают, что важно для компании и какой участок нуждается в контроле.

Оповещения о событиях система выдает в режиме онлайн специалистам по безопасности. Дополнительно уведомления дублируются на рабочие станции нескольких руководителей, поскольку компетенций одного человека зачастую недостаточно, чтобы рассмотреть их все. Каждое событие анализируется, и если выясняется, что это заслуживающий внимания инцидент, он эскалируется руководителю более высокого уровня для принятия дальнейших управленческих решений. Есть и такие, которые заслуживают полноценного служебного расследования и серьезных мер дисциплинарного воздействия.

В целях предотвращения случайных утечек информации в действия работника внесены элементы осознанности – он должен подтвердить, что хочет сделать именно это. Если система подозревает попытку отправить конфиденциальную информацию, она задерживает письмо и сообщает об этом работнику.

Работа системы дает реальные результаты, многие неприятные ситуации нам удалось предотвратить.

В корпорации используется широкий набор средств безопасности, каждое из них – самостоятельный продукт со своим функционалом, своей консолью управления и системой отчетности. Агрегировать текущую информацию из всех систем, чтобы построить оперативный отчет вручную – трудоемкая задача. Для этого мы создали специализированную BI-систему, одним из источников которой является DLP-система. BI-система используется как агрегирующая среда контроля состояния элементов информационной безопасности.

Таким образом мы получаем наглядную картину состояния безопасности в корпорации. Для высшего руководства разработан специальный интерфейс, отображающий общий уровень безопасности в целом по организации. Система находится в постоянном развитии, каждый новый инструмент обеспечения безопасности будет в обязательном порядке интегрироваться с ней.

Созданная модель пока охватывает только вопросы безопасности. Однако в системе предусмотрен мандатный доступ к информации, и мы предполагаем предоставить ее и ИТ-специалистам – в части, касающейся их области ответственности. Учитывая, что система агрегирует информацию от СКУД корпорации, планируется открыть ее для руководства отдела кадров, а в перспективе, думаю, доступ к информации BI-системы получат и руководители подразделений корпорации, которые смогут лучше контролировать своих работников.

BI-система как раз и выполняет эту функцию. Мы провели большую аналитическую работу и ранжировали вклады источников данных в итоговый уровень безопасности. Так была создана система KPI, которая нашла свое отражение в интерфейсе BI-системы.

Большие потоки информации ежедневно вливаются в корпоративную сеть и снижают уровень ее защищенности. В связи с этим было бы уместно контролировать информацию по контексту и типам приложений.

Разработчикам DLP-систем стоит уделить больше внимание различным механизмам контроля форм представления информации. Например, один и тот же документ можно отправить либо в текстовом формате, либо в виде скана pdf или jpg – и все это должно одинаково хорошо контролироваться.

Сейчас попытки контролировать отправку картинок приводят к большому количеству ложных срабатываний. Зачастую система не может отличить снимок домашнего питомца в графическом файле от скриншота чертежа. Похожая проблема возникает с отслеживанием рассылки официальных писем организации. Официальный бланк – это картинка. Подписывать письмо на официальном бланке уполномочен ограниченный круг руководителей. Если письмо подписывает другое лицо – это должностное нарушение, мы должны это отслеживать и пресекать. Но сделать это проблематично. Модуль цифровых отпечатков в своем нынешнем виде тут слабый помощник.

Нередко в подписи электронных писем и в «подвалы» текстовых документов автоматически вставляется дисклеймер, сообщающий, что письмо может содержать конфиденциальную информацию. Содержимое письма или вложения таковой не содержит, но DLP-система все равно реагирует на такие письма, опять же порождая множество ложных срабатываний. Как научить систему правильно реагировать на такие письма, пока не ясно.

Скорее пожеланий. В целом мы DLP-системой довольны, в сочетании со всей «обвязкой» она доказала свою эффективность и результативность. Единственное неудобство – большое количество «ручного труда» по анализу ее уведомлений. Обойтись без него пока не получается. Хотелось бы, чтобы DLP-система стала более интеллектуальной и могла взять на себя еще большую долю первичного анализа информации.

В корпорации проводится работа по каждому инциденту. Результатом ее является нахождение виновного и принятие решения о мерах дисциплинарного воздействия. До суда дело ни разу не доходило, но увольнения были.

Режим коммерческой тайны в корпорации установлен. Разработан ряд нормативных документов, которыми мы руководствуемся в работе со средствами DLP.

Если говорить об отношениях с другими компаниями, то со всеми, с кем мы работаем, имеется соглашение о неразглашении (Non-Disclosure Agreement, NDA), и мы следим, чтобы информация, которой мы с ними обмениваемся, обрабатывалась по условиям этого соглашения.