По роду своей деятельности нашей компании часто приходится выполнять проекты по внедрению DLP-решений и решать проблемы, возникающие на этапе их развертывания и последующей эксплуатации. Стоит ли рассказывать ИТ-специалистам, сколь это сложный процесс — установка и приведение в рабочее состояние даже простых на первый взгляд продуктов? Конечно, по сложности внедрения DLP-решения не могут сравниться с системами ERP или CRM, но тоже приходится повозиться, и связано это часто не столько с самим продуктом, сколько с необходимостью выполнения большого объема бумажной работы. В этой статье я расскажу о наиболее распространенных проблемах, с которыми нам пришлось столкнуться в ходе выполнения нескольких сотен проектов внедрения DLP.
Нет никакой оценки рисков утечки. Изначально оценка рисков необходима для определения целесообразности внедрения DLP-решения и обоснования бюджета проекта, однако ее результаты будут полезны и на этапах разработки политик безопасности, технического внедрения и последующей эксплуатации. При этом далеко не всегда оценка рисков подразумевает сложную, непонятную и дорогую процедуру — часто вполне достаточно развернуто ответить на вопросы: что защищаем? от кого защищаем? каков прогнозируемый ущерб от утечки? Упрощенную оценку рисков можно провести сравнительно небольшими силами, а детальную — уже с привлечением внешних аудиторских фирм.
Не согласовали политики безопасности. Важный момент — предварительное согласование конкретных политик безопасности, которые будут реализовываться средствами DLP. В каждой DLP-системе существуют специальные политики — набор условий (содержание пересылаемого за пределы организации документа, тип данных, канал передачи, отправитель, получатель и т. д.) и действий (заблокировать, задержать и отправить на ручную проверку сотруднику службы безопасности, пропустить и, иногда, сохранить в архиве). Количество возможных условий и действий зависит от возможностей DLP-системы и напрямую определяет, насколько хорошо система может выполнять свое основное предназначение — блокировку утечек. Согласитесь, довольно странно, если после технического внедрения системы вы подойдете к руководству с вопросом “а что делать дальше?”, ведь нельзя просто взять и фактически ограничить множество бизнес-процессов. Кроме того, четкое понимание структуры защищаемых данных, перечня контролируемых каналов и необходимых действий при обнаружении потенциальной утечки поможет с выбором самой системы.
Решили внедрить одним махом. Любую сложную систему необходимо внедрять поэтапно, DLP в этом случае не исключение. Изначально лучше разворачивать систему в так называемом “пассивном режиме”. Этот режим никак не влияет на существующий трафик, даже если в нем обнаруживаются какие-то нарушения, и он безопасен для существующих бизнес-процессов в случае технических проблем или ошибок при добавлении политик (можно не опасаться, что письма генерального директора окажутся заблокированными). В “пассивном режиме” необходимо проверить все заявленные возможности, создать политики и проверить стабильность системы на реальных данных (обычно это обеспечивается зеркалированием сетевого трафика с коммутатора на DLP). Лучше потратить несколько недель на обкатку системы, чем рисковать появлением серьезных проблем с “бизнесом”. Также замечу, что и в “пассивном”, и в “боевом” режимах внедрять разработанные политики необходимо шаг за шагом, опираясь на их приоритетность.
Выделено мало ресурсов. Большинство DLP-систем способно контролировать множество различных каналов утечек и типов данных, но для правильного развертывания и настройки таких систем необходим персонал, имеющий соответствующую квалификацию. Например, многие системы защиты от утечек для контроля корпоративной почты могут интегрироваться с Microsoft Exchange, а для контроля веб-трафика — с Microsoft ISA Server, правильная настройка которого может потребовать иногда не меньших, чем само DLP-решение, трудозатрат. По нашим оценкам, внедрение и настройка решения собственными силами может занять от недели до месяца работы одного ИТ-специалиста, а привлечение внешних специалистов обычно сокращает этот срок до нескольких дней.
Недовольство сотрудников. В случае внедрения DLP-системы любое недовольство персонала заказчика, как правило, связано с отсутствием информации — еще вчера сотрудники спокойно выносили на флешках документы для домашней работы или встреч с клиентами, а сегодня вдруг появились какие-то непонятные никому ограничения. Если заранее оповестить всех о введении новых политик безопасности с определенной даты, ознакомить с их сутью и дать краткое обоснование (хотя бы банальное “для повышения безопасности информационных активов компании и оптимизации рабочего времени”), недовольных станет в разы меньше.
Проект внедрения DLP грозит стать бесконечным. Такое часто случается, когда DLP-решение внедряется без подготовки, в крайне сжатые сроки или по прямой воле собственника компании. Чтобы держать ситуацию под контролем, необходимо разбить проект на три основных этапа: подготовка (вся бумажная и согласовательная работа), техническое внедрение, эксплуатация (обслуживание системы и реагирование на инциденты). Для каждого этапа определяются нерешенные вопросы, предполагаемые действия для их решения, требуемые ресурсы и сроки завершения. Такой подход позволит после закрытия конкретного вопроса или этапа больше к нему не возвращаться.
Система не выполняет заявленного функционала!
Тематика DLP становится все более популярной, но не все представленные на рынке продукты, рекламируемые и в качестве инструмента для предотвращения утечек информации, могут быть отнесены к категории полноценных DLP-решений. Особенно это характерно для систем архивирования, у которых можно отметить три основные проблемы:
- неспособность предотвращать утечки, так как системы умеют только архивировать;
- ограниченность технологий обнаружения данных (часто применяется только морфологический анализ);
- отсутствие собственных агентов для контроля USB-устройств и принтеров.
Обычно эти ограничения не оговариваются в явном виде, а вместо традиционных для DLP технологий, например “цифровых отпечатков” и регулярных выражений, компании продвигают для борьбы с утечками свои ноу-хау, на практике оказывающиеся вариациями морфологического анализа. Необходимо заранее уточнить и по возможности проверить заявленные разработчиком характеристики предлагаемого решения.
Автор статьи — директор по маркетингу компании SECURIT.