В главной роли – DLP

Анатолий Скородумов: DLP в нашей организации применяется в режиме Prevention, поэтому «используют» DLP-систему все подразделения банка. Любому сотруднику может прийти уведомление, что он выполняет определенные действия, которые нарушают существующую политику информационной безопасности организации. Дополнительно соответствующая информация будет направлена его руководителю.

Константин Коротнев: DLP-система контролирует передачу информации. В случае обнаружения попыток несанкционированной передачи конфиденциальных данных генерируется инцидент ИБ и происходит оповещение заинтересованных сотрудников. Впоследствии инцидент расследуется и в отношении нарушителей политики ИБ применятся дисциплинарные меры.

Константин Коротнев: DLP интегрировано с системой сбора информации о событиях Splunk. Это позволяет, используя язык поисковых запросов, коррелировать события, генерируемые различными средствами защиты, и осуществлять необходимую при расследовании инцидентов ИБ выборку.

Анатолий Скородумов: Для «понимания» структуры организации система DLP интегрирована с MS AD. Необходимости интеграции DLP с бизнес-приложениями на данный момент мы не видим.

Константин Коротнев: У нас внедрена система управления ИБ, сертифицированная на соответствие международному стандарту ISO 27001:2013. Для каждого процесса управления ИБ определены KPI, на основании которых оценивается его эффективность. При оценке экономической эффективности той или иной системы ИБ производится сравнение денежного выражения рисков ИБ, которые снижаются с ее помощью, с затратами на ее приобретение и эксплуатацию.

Анатолий Скородумов: Эффективность DLP-решения оценить достаточно сложно. У руководства банка есть понимание, что утечка данных несет в себе серьезные финансовые и репутационные риски и применение средств защиты от утечек необходимо. Доверие клиентов бесценно, и банк прилагает серьезные усилия и тратит значительные ресурсы для его сохранения.

Константин Коротнев: Практика юридического использования имеет место. В большинстве случаев сотрудники признают наличие инцидента и нарушение политики ИБ, конструктивно воспринимая применяемые к ним меры.

Анатолий Скородумов: На данный момент у нас в организации такая практика отсутствует.

Константин Коротнев: Мы не зафиксировали значительного изменения количества инцидентов.

Анатолий Скородумов: Я бы не сказал, что в связи с экономическим кризисом что-то кардинально изменилось. Последние годы наблюдается устойчивый тренд увеличения количества инцидентов и их разнообразия, который, видимо, сохранится в ближайшее время.

Анатолий Скородумов: Да, в банке действует политика повышения осведомленности сотрудников по вопросам ИБ. Для этого применяется практически весь спектр возможных методов, вплоть до разработки специализированных flash-игр по теме ИБ. Что касается DLP-системы, ее использование в режиме Prevention, на наш взгляд, несет в себе серьезный потенциал по выработке у сотрудников правильных навыков работы с информацией.

Константин Коротнев: Все пользователи информационных систем компании проходят регулярное общее или специализированное обучение по ИБ. При приеме на работу сотрудники знакомятся под подпись с документами, регламентирующими ИБ в компании. После этого им назначаются учебные курсы в системе дистанционного обучения, завершающиеся контрольными вопросами на знание материала. Для групп пользователей, наиболее критичных с точки зрения ИБ, разрабатываются и назначаются специализированные учебные курсы, а также проводится регулярное очное обучение.

Константин Коротнев: DLP-решения не являются панацеей от всех рисков ИБ, скорее, это одна из ступеней в эшелонированной защите. Идеализированную задачу по отлову всех нарушителей они не решают, но совместно с другими средствами защиты информации помогают снизить риски ИБ до приемлемого для компании уровня.

Анатолий Скородумов: Эффективность DLP-решений для предотвращения умышленного копирования информации не очень велика. Функциональность агентов, устанавливаемых на рабочие станции сотрудников, на данный момент недостаточна. Охват мобильных технологий также оставляет желать лучшего. А если вы активно используете аутсорсинг и облачные сервисы, и понятие ИТ-периметра организации достаточно размыто, то достаточно сложно организовать эффективный контроль над информацией исключительно с использованием DLP-системы. Для выявления внутреннего злоумышленника необходим целый комплекс мероприятий и средств безопасности, в состав которого, безусловно, должна входить DLP-система. В то же время очевидно, что для несанкционированного копирования небольшого объема данных пользователь может использовать неконтролируемые методы (запомнить, записать на бумаге (личном коммуникаторе), сфотографировать с экрана). Поэтому важно отслеживать каналы не только копирования, но и получения этих данных.