версия для печати
Подойдут ли ведомствам типовые DLP?

Подойдут ли ведомствам типовые DLP?

Наиболее используемые каналы утечек информации в госсекторе — USB-устройства и принтеры. Это вызвано тем, что, как правило, сотрудники ведомств не имеют на своих рабочих местах выхода в интернет. Но значит ли это, что госсектору подойдут типовые DLP?

Внедрению систем предотвращения утечек (DLP) должен сопутствовать целый ряд организационных мер, без принятия которых начинать подобные проекты нет смысла.

В этом плане показателен пост Алексея Лукацкого, авторитетного эксперта в области ИБ, в своем блоге.  Он пишет: «Я ни в коем случае не хочу сказать, что тема DLP - это безнадежная и нереализуемая на практике идея. Нет. Просто я хочу еще раз подчеркнуть, что DLP - это не панацея и не серебряная пуля. Внедрение ПО - это верхушка айсберга, и ни один вендор не в состоянии за вас решить (а многие и не пытаются, продавая вам коробку) большинство из описанных ниже вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое».

Далее эксперт ссылается на опыт Стефана Марчевитца,  так же заслуженно считающимся гуру в сфере информационной безопасности. В частности, он предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:

Девять вопросов Стефана Марчевитца

Вопрос
1 Вы провели оценку рисков? Не «тупое» заполнение матрицы качественными характеристиками «ущерб высокий» - «вероятность средняя», а вполне конкретными значениями стоимости конфиденциальной информации. А перед этим необходимо еще и саму информацию выделить и отделить действительно конфиденциальные данные от обычного информационного шума. Да и на вопрос: «Какие потери мы готовы принять?» стоит ответить «ДО» внедрения, а не после и не вовремя.
2 Знаете ли вы нормативные требования, которые влияют на вас? PCI DSS, ФЗ-152, СТО БР ИББС, СТР-К – это только верхушка айсберга. В зависимости от отрасли и региона могут быть и малоизвестные требования по обеспечению конфиденциальности данных. Где вы сильны, а где у вас пробелы в части закрытия этих требований?
3 Вы знаете, где хранятся все ваши защищаемые данные? Не вообще, а конкретно где?
4 Каков масштаб планируемого проекта? Вы хотите сразу охватить все предприятие? Может, стоит начать с малого? Можете ли вы выделить это малое и четко очертить границы будущего внедрения?
5 Есть ли у вас план реагирования на утечки данных (как самостоятельный план или часть общего плана реагирования на инциденты)? Причем этот план должен включать не только уведомление об утечках, но и реализацию мер по снижению ущерба и времени восстановления в «предатакованное» состояние.
6 Ваши политики, руководства, планы готовы к DLP и учитывают ее специфику?
7 Вы классифицировали ваши данные? Не на уровне списка сведений, составляющих коммерческую тайну, а именно на уровне конкретных файлов, записей БД, потоков видео и аудио и т.д.
8 Ваш бюджет учитывает все затраты на внедрение и эксплуатацию DLP?

Стоимость лицензии на ПО и железо – это только шестая часть всех реальных затрат
9 Вы готовы управлять программой DLP в рамках цикла Шухарта-Деминга (PDCA)? Вы готовы думать не только о технической стороне вопроса, но и о повышении осведомленности персонала, а также о психологии данного вопроса?

Источник: блог Алексея Лукацкого, 2011г.

Очень часто, обычно счастливая цифра 7 становится камнем преткновения применительно к этой таблице. Если, конечно, пройден не менее каверзный пункт 5. Пример оштрафованного недавно на 30 тыс. рублей сотового оператора «Мегафон» не располагает компании тратить деньги на многомиллионные DLP проекты. Однако, в госсекторе дела обстоят несколько иначе.

Зачем DLP госведомствам?

«Единственная особенность, которая может влиять на выбор состава DLP-системы в государственном секторе,  - это требования регулирующих органов. В настоящий момент в России не существует четких требований к функционалу DLP-системы, поэтому разумно подходить к её построению с тех же позиций, что и во всех других организациях. Практика показывает, что руководящие документы редко уточняют конкретный функционал тех или иных подсистем ИБ, оставляя это на усмотрение владельца защищаемого ресурса», - уверен генеральный директор компании «Пойнтлэйн» Алексей Королев.

По его словам, оптимальный состав DLP-системы определяется условиями использования критической информации. Исходя из опыта, работа в государственных ведомствах находится для DLP-систем всех уровней: и для систем, работающих на уровне рабочих мест пользователя, и для сетевых DLP, и для DLP-систем, направленных на защиту хранилищ информации.

Весьма важный вопрос для правильного выбора, каковы наиболее типичные каналы утечек данных, и каков оптимальный функциональный состав системы DLP для государственных учреждений?

«Наиболее используемые каналы утечек в случае госсектора — USB-устройства и принтеры. Это объясняется тем, что наиболее распространенные каналы утечки — мобильные компьютеры и электронная почта — намного реже используются или попросту запрещены для большинства пользователей в ведомствах», - утверждает Александр Ковалёв, директор по маркетингу компании Securit.

Алексей Демин, управляющий корпоративными продажами G Data Software в России и СНГ, соглашается и добавляет: «Наиболее частый канал утечки данных зависит от типа информации. Чаще всего данные “утекают” через интернет. Излюбленная практика – использование личных адресов электронной почты. Ведь довольно просто добавить к рабочему адресу еще и личный. Для надежности. Чтобы уж точно дошло. Или можно еще выслать себе на домашнюю почту пару файлов, чтобы с ними дома поработать. Естественно, на благо работодателя. Еще очень часто наблюдается транспортировка данных на рабочем мобильном компьютере. Сотрудники берут с собой домой ноутбуки. С одной стороны работодатели приветствуют работающих по выходным в домашних условиях сотрудников, но, с другой стороны, таким образом сотрудники уносят с собой важные данные. Еще один недооцененный канал – принтер. Большой объем информации переносится именно в традиционном бумажном виде».  

Типовой или индивидуальный подход?

Трудно назвать подобные каналы утечек в государственных учреждениях чем-то уникальным. Но подойдут ли им типовые DLP-системы?

«Поскольку государственные ИТ-системы идентичны коммерческим, за исключением разве что специфических приложений, то и каналы перемещения информации в них те же. Это -  электронная почта, различные сервисы интернет, сменные носители и печать. Организационные и технические меры по ограничению доступа к каналам (интернет или отдельные, например, почтовые сайты; USB и другие порты) в государственных структурах могут менять пропорции в долях используемых каналах, но принципиального отличия от коммерческих ИТ-систем мы не наблюдаем», -  полагает Рустэм Хайретдинов, заместитель генерального директора InfoWatch.

По его мнению, оптимальный состав DLP-системы включает в себя фильтры электронной почты, интернета (web-почты, социальных сетей, систем мгновенного обмена сообщениями) и портов ввода-вывода, включая локальную и сетевую печать. В странах, где государственные служащие не имеют доступа в интернет (большинство арабских стран), очевидно, второй элемент отсутствует.

«На мой взгляд, оптимального состава DLP-систем нет и быть не может, так как все информационные системы, построенные в государственных учреждениях в РФ, строились по разным проектам с использованием разных технологий и платформ, порой даже не совместимых между собой, вследствие чего у каждой информационной системы свои угрозы и свои уязвимости, которые могут использовать инсайдеры», - придерживается иной точки зрения Дмитрий Григорьев,  руководитель группы «Информационная безопасность» компании Softline. 

Валентин Селифанов, заместитель начальника отдела Управления ФСТЭК России по Сибирскому федеральному округу,  дополняет мнение  Дмитрия Григорьева:  «Насколько мне известно,  большинство инцидентов с утечкой или утерей информации ограниченного доступа связано с внешними накопителями  и почтой, так как в большинстве структур почта и интернет могут попросту отсутствовать у большинства пользователей. Например, в ряде организаций (управлениях федеральных служб в федеральных округах, например), есть выделенные автоматизированные рабочие места для доступа к электронной почте и услугам интернет. И это далеко не редкий случай в государственных органах, когда легче ограничить физически, чем использовать передовые технологии. Хотя ситуация может измениться из-за реализации программ по информатизации органов государственной власти, создания электронного правительства и т.д.»

«Безусловно,  в каждой отдельной организации есть своя специфика. Оптимального комплекта для всех не существует, средств защиты должно быть максимально много, и они должны быть разнообразнее, т.к. еще не известно, какое из них сможет предотвратить атаку. В то же время, средства защиты не должны мешать бизнес-деятельности организации, а наоборот, способствовать ее оптимизации. В результате получается, что для каждой организации существует свой оптимальный набор средств защиты», - резюмирует дискуссию Александр Фоминенков, директор по развитию Group-IB.

Он утверждает, что в общем случае в рамках решений DLP используются сканеры траффика уровня сети, агенты для рабочих станций, а также различные агенты – коннекторы для систем электронной почты, обмена экспресс сообщений и др., благодаря чему контролируются наиболее популярные каналы утечки конфиденциальной информации: через сеть интернет, через съемные носители, принтеры. Однако всегда остается возможность сфотографировать экран монитора, и здесь уже подключается система видеонаблюдения и контроля и управления доступа (СКУД).

Вадим Ференец


Александр Гольцов

Александр Гольцов:
Электронные госуслуги будут востребованы, если станут оказываться быстро и просто

На вопросы CNews ответил Александр Гольцов, генеральный директор компании «АМТ-Груп».

CNews: Руководство страны активно продвигает идею перехода к предоставлению электронных государственных услуг, обнародован план их внедрения. Насколько в этой связи изменились ИТ-потребности федеральных, региональных и муниципальных органов власти за последние годы?

Александр Гольцов: Внедрению государственных услуг, в основном, препятствует не ИТ-оснащенность отдельных структур, а отсутствие согласованных межведомственных бизнес-процессов, единой среды электронного взаимодействия и т.д.  Поэтому не совсем правильно будет сказать, что в связи с введением в действие ФЗ № 210 изменились потребности органов государственной власти. Скорее, можно констатировать факт, что работа, которая велась в течение последних лет, стала более структурированной и конструктивной. Происходят кадровые и организационные изменения в органах государственной власти, цель которых – сделать процесс перехода к предоставлению госуслуг в электронном виде управляемым, с реальными сроками.

читать полное интервью

Toolbar | КПК-версия | Подписка на новости  | RSS