Владимир Велич - Критерии выбора dlp-систем
TRANSCRIPT
Критерии выбора DLP-систем
www.searchinform.ru
Изначально, главной задачей DLP-систем являлся анализ передаваемой информации. Сегодня понятие Data Leak Prevention уже не вмещает в себя все задачи, которые способны выполнять современные решения, выросшие из DLP-рынка.
Миграция задач DLP
www.searchinform.ru
Современные DLP-системы, помимо основных, вмещают в себя также функции обнаружения информации, шифрования, а также контроля действий персонала и повышения его производительности.
Однако во всех тонкостях работы DLP-систем зачастую трудно разобраться даже профессионалам этой отрасли, не говоря уже о потенциальных клиентах.
1. Количество контролируемых каналов.
2. Контроль ноутбуков.
3. Архив всей перехваченной информации.
4. Расширенные аналитические возможности.
5. Идентификация сотрудника по доменному
имени и разграничение прав доступа к
информации.
6. Система отчетности.
7. Отдел внедрения и обучения клиентов, наличие
готовых политик для начала работы.
8. Цена и стоимость владения системой.
Критерии хорошей DLP-системы:
www.searchinform.ru
www.searchinform.ru
- Корпоративная электронная почта (входящая и исходящая)
- Web Mail (входящая и исходящая)
- «Облака»
- Viber, ICQ, Google talk, Mail.ru Agent и другие клиенты
- Чаты социальных сетей
- HTTP Post и FTP
- Skype (чаты, файлы, голос, конференции)
- Съемные носители
- Мобильные устройства
- Принтеры
- Мониторы
- Ноутбуки
- Содержимое компьютеров пользователей и файл-серверов
- Активность сотрудников на сайтах и в программах
- Действия в Active Directory
Каналы передачи информации, которые должна контролировать современная
DLP-система
www.searchinform.ru
Контроль ноутбуков
Сегодня все больше сотрудников работают за ноутбуками и часто эта работа вне офиса - в командировках, дома.
Контроль информации, отсылаемой сотрудниками, находящимися за пределами локальной сети компании, не менее важен, чем контроль сотрудников офиса.
Современная DLP-система должна давать службе безопасности полную картину того что, человек делает находясь в командировке.
www.searchinform.ru
Полноценная работы службы безопасности невозможна без архива всей перехваченной информации!
Полный архив всей перехваченнойинформации позволяет:
- Эффективно проводить служебные расследования произошедших инцидентов
- Проводить ретроспективный анализ деятельности сотрудника или группы сотрудников
- Анализировать деятельность сотрудников попавших под подозрение СБ
- Строить отчет по связям сотрудников внутри компании и внешним миром
- Выявлять и анализировать аномалии (резкое повышение активности по тому или иному каналу, резкое повышение/снижение активности сотрудника или отдела)
Чем богаче инструментарий DLP-системы в области контекстного анализа, тем меньше времени офицер безопасности тратит на рутинную работу, и больше
фокусируется на расследовании инцидентов и работе с «группой риска»
www.searchinform.ru
Идентификация пользователя по доменному имени позволяет всей перехваченной информации однозначно сопоставить пользователя, от которого она была отправлена.
В дальнейшем это существенно упрощает проведение служебных расследований, построение отчетов.
Также наличие сопоставленных доменных имен перехваченной информации позволяет разграничивать права доступа к перехваченной информации.
Особенно это актуально для крупных компаний, где за мониторинг различных пользователей отвечают разные сотрудники службы безопасности.
Идентификация и разграничение прав
www.searchinform.ru
www.searchinform.ru
Условно можно выделить три вида: 1. количественные отчеты; 2. отчеты по связям сотрудников; 3. отчеты по «софту и железу»;
Система отчетности
Количественные отчеты позволяют:-выявлять и анализировать аномальные активности (резкое увеличение или скачки количества передаваемой информации);
-анализировать эффективность работы сотрудников, сравнивая показатели по активности в программах, на сайтах и т.п.;
-выявлять основные тенденции в работе сотрудников, сравнивая количество сработок по настроенным алертам.
www.searchinform.ru
- выявлять неформальных лидеров коллектива и в дальнейшем более эффективно управлять коллективом;
- видеть связи сотрудников с внешним миром и, в частности, с уволенными сотрудниками.
Система отчетности
Отчеты по связям сотрудников показывают связи сотрудников внутри компании с внешним
миром по всем каналам и позволяют:
- эффективно проводить расследование и выя-влять всех сотрудников, причастных к прои-зошедшему инциденту;
www.searchinform.ru
- установку\неустановку или удаление определенных программ (к примеру, антивирусов);
Система отчетности
Отчеты по «софту и железу» помогают выявлять подозрительную деятельность или недоработки со стороны системных администраторов. В частности:
- установку и снятие комплектующих (жест-кие диски, оперативная память и т.п.);
www.searchinform.ru
DLP-система не является самым простым инструментом, однако компания должна предоставить сотрудника, который сможет квалифицированно обучить работе с системой, помочь с настройкой политик на самом старте, поддерживать клиента в процессе всего времени использования DLP.
Отдел внедрения
Если компания давно и всерьез занимается внедрением DLP-систем она может и должна делиться с новыми и существующими клиентами опытом других клиентов – Best practice.
Отдел внедрения служит своеобразным буфером в передаче информации от одной компании к другой и помогает с первых же дней начать максимально эффективно работать.
www.searchinform.ru
Из чего состоит стоимость владения DLP:
1.Стоимость лицензий;
2.Стоимость внедрения;
3.Количество людей, обслуживающих и работающих с системой;
4.Стоимость и скорость ТП;
5.Стоимость получения новых версий.
Цена и стоимость владения
www.searchinform.ru
• Поисковые возможности. Качество и скорость• Аналитические возможности• Полнота охвата контролируемых каналов• Наличие архива перехваченной информации в компактном
виде• Тестирование в «боевых условиях» на максимальном
количестве пользователей• Конфиденциальность тестирования, внедрения и эксплуатации• Модульность продукта• Наличие сертификата ФСТЭК• Качество и оперативность службы технической поддержки• Наличие, качество и стоимость работы службы внедрения• Наличие учебного центра• Стоимость владения
Первостепенные критерии
На что обращать внимание при выборе DLP
www.searchinform.ru
• Блокировка передаваемой информации• Перехват в режиме реального времени• Интерфейс• Шифрование• Преднастроенные «из коробки» поисковые критерии и
тематические словари• Контроль личных мобильных устройств сотрудников
(BYOD)
Второстепенные критерии
На что обращать внимание при выборе DLP
1. DLP это недорого. Как правило, стоимость внедрения DLP на одного сотрудника = стоимости затрат на чай, кофе и новогодний корпоратив.
2. DLP это не траты, а возвратные инвестиции. DLP экономит деньги на завышении цен при закупках, минимизации репутационных рисков, на «сливе» баз клиентов и партнеров и т.д.
3. «Не ждите с моря бюджета». Защита информации не терпит отлагательств, как и замена сломанного дверного замка.
4. Информация, хранящаяся на компьютере сегодня, всегда дороже самого компьютера, поэтому траты на информационную безопасность должны быть не меньше, чем на физическую.
www.searchinform.ru
Как убедить собственника в необходимости DLP
www.searchinform.ru
Спасибо за внимание!