Тема DLP вновь на подъеме?! Но готовы ли вы к ней?

Вообще тема DLP вновь стала возрождаться из пепла. В обозримом будущем пройдет аж целых три мероприятия по данной тематике:
  • DLP Russia 2011 — вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch. Буду там выступать с темой про защиту от утечек в мобильных и распределенных корпоративных системах. Пока даже не знаю, что это и про что рассказывать. Но кто-то меня сдал, что я якобы в этой теме силен 😉
  • DLP Conference — вендор-независимое мероприятие, организуемое компанией Zecurion (бывший бренд SecureIT). Первый раз оно пройдет в рамках InfoSecurity Russia 2011. Тоже должен был там выступать, но буду в командировке.
  • DLP Web Conference 2011 HD — вендор-независимое онлайн-мероприятие, также организуемое Zecurion’ом. Буду и там выступать. Пока не придумал про что.

Но написать хотел про другое. В начале сентября Стефан Марчевитц опубликовал пост «9 причин, по которым вы не готовы к внедрению DLP». Начинается он за здравие и рассказывает, как большинство вендоров продает свои продукты — начинается все с trial-версии, пойманным нарушителем, случайно отправившем что-то кому-то, страшилками про штрафы и т.п. А дальше Стефан предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:

  • Вы провели оценку рисков? Не тупое заполнение матрицы качественными характеристиками «ущерб высокий»-«вероятность средняя», а вполне конкретными значениями стоимости конфиденциальной информации. А перед этим необходимо еще и саму информацию выделить и отделить действительно конфиденциальные данные от обычного информационного шума. Да и на вопрос: «Какие потери мы готовы принять?» стоит ответить ДО внедрения, а не после и не во время.
  • Знаете ли вы нормативные требования, которые влияют на вас? PCI DSS, ФЗ-152, СТО БР ИББС, СТР-К — это только верхушка айсберга. В зависимости от отрасли и региона могут быть и малоизвестные требования по обеспечению конфиденциальности данных. Где вы сильны, а где у вас пробелы в части закрытия этих требований?
  • Вы знаете, где хранятся все ваши защищаемые данные? Не вообще, а конкретно где?
  • Каков масштаб планируемого проекта? Вы хотите сразу охватить все предприятие? Может стоит начать с малого? Можете ли вы выделить это малое и четко очерчить границы будущего внедрения?
  • Есть ли у вас план реагирования на утечки данных (как самостоятельный план или часть общего плана реагирования на инциденты)? Причем этот план должен включать не только уведомление об утечках, но и реализацию мер по снижению ущерба и времени восстановления в предатакованное состояние.
  • Ваши политики, руководства, планы готовы к DLP и учитывают ее специфику?
  • Вы классифицировали ваши данные? Не на уровне списка сведений, составляющих коммерческую тайну, а именно на уровне конкретных файлов, записей БД, потоков видео и аудио и т.д.
  • Ваш бюджет учитывает все затраты на внедрение и эксплуатацию DLP? Стоимость лицензии на ПО и железо — это только шестая часть всех реальных затрат.
  • Вы готовы управлять программой DLP в рамках цикла Шухарта-Деминга (PDCA)? Вы готовы думать не только о технической стороне вопроса, но и о повышении осведомленности персонала, а также о психологии данного вопроса?

К чему весь этот пост? Я ни в коем случае не хочу сказать, что тема DLP — это безнадежная и нереализуемая на практике идея? Нет. Просто я хочу еще раз подчеркнуть (на bankir.ru была большая дискуссия на эту тему), что DLP — это не панацея и не серебряная пуля. Внедрение ПО — это верхушка айсберга и ни один вендор не в состоянии за вас решить (а многие и не пытаются продавая вам коробку) большинство из описанных выше вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Tomas

    "на что-то другое" — Cisco IronPort?)))

    Ответить
  2. Алексей Лукацкий

    😉

    Ответить
  3. Евгений III

    вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch

    Где-то в предложении скрывается ошибка 🙂

    Ответить
  4. Алексей Лукацкий

    Никакой ошибки. Вендор может проводить вендор-независимые мероприятия, на которые приглашаются и другие игроки рынка.

    Ответить
  5. Анонимный

    +1

    Ответить
  6. Алексей Т.

    Так можно сказать про любое средство защиты — если организационно система защиты не построена, то и деньги на СЗИ на ветер. По поводу DLP — это еще и большие деньги на ветер. 😉

    Ответить
  7. doom

    Кстати, на западе стали появляться более менее пристойные документы по методикам внедрения DLP — шансы есть, что в ближайшие 2-3 года тема начнет выходить на плато продуктивности.

    2 Алексей Т.:
    Не соглашусь — все средства бывают разного уровня. Ведь никто не задумывается как правильно внедрить DNS, чтобы от него был какой-то выхлоп. А как правильно внедрить CRM или ERP — задумываются еще как. И процент неуспешных внедрений просто зашкаливает.

    Тут тоже: поставить антивирусы на рабочие станции это одно, а, по сути, автоматизировать процесс управления информационными активами — это совсем другое.

    Ответить
  8. Алексей Лукацкий

    Именно. Мало проблем с решениями, которые защищают данные. А вот при подъеме на уровень информации проблем добавляется. На уровне знаний еще больше проблем

    Ответить
  9. securityinform

    Алексей, а в региональных мероприятиях Вы участвуете?

    Ответить
  10. Алексей Лукацкий

    Да. А в каком контексте вы интересуетесь?

    Ответить
  11. Олег Кузьмин

    А мне вопросы Стефана понравились!Их можно даже немного расширить. В подавляющем большинстве случаев понимание даже самой темы внедрения DLP у нас сильно извращено. На мой взгляд, лишь единичные проекты в этой теме имеют какие-либо шансы на успех. Глобально вопрос можно поставить так, понимаем ли мы, что делаем и чего в итоге хотим достичь в результате внедряемого решения? Причем речь в этом вопросе идет вовсе не о последовательности выполняемых технических мероприятий или популярных организационных решений.

    Ответить