Тема DLP вновь на подъеме?! Но готовы ли вы к ней?

• DLP Russia 2011 — вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch. Буду там выступать с темой про защиту от утечек в мобильных и распределенных корпоративных системах. Пока даже не знаю, что это и про что рассказывать. Но кто-то меня сдал, что я якобы в этой теме силен 😉
• DLP Conference — вендор-независимое мероприятие, организуемое компанией Zecurion (бывший бренд SecureIT). Первый раз оно пройдет в рамках InfoSecurity Russia 2011. Тоже должен был там выступать, но буду в командировке.
• DLP Web Conference 2011 HD — вендор-независимое онлайн-мероприятие, также организуемое Zecurion’ом. Буду и там выступать. Пока не придумал про что.

Но написать хотел про другое. В начале сентября Стефан Марчевитц опубликовал пост «9 причин, по которым вы не готовы к внедрению DLP». Начинается он за здравие и рассказывает, как большинство вендоров продает свои продукты — начинается все с trial-версии, пойманным нарушителем, случайно отправившем что-то кому-то, страшилками про штрафы и т.п. А дальше Стефан предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:

• Вы провели оценку рисков? Не тупое заполнение матрицы качественными характеристиками «ущерб высокий»-«вероятность средняя», а вполне конкретными значениями стоимости конфиденциальной информации. А перед этим необходимо еще и саму информацию выделить и отделить действительно конфиденциальные данные от обычного информационного шума. Да и на вопрос: «Какие потери мы готовы принять?» стоит ответить ДО внедрения, а не после и не во время.
• Знаете ли вы нормативные требования, которые влияют на вас? PCI DSS, ФЗ-152, СТО БР ИББС, СТР-К — это только верхушка айсберга. В зависимости от отрасли и региона могут быть и малоизвестные требования по обеспечению конфиденциальности данных. Где вы сильны, а где у вас пробелы в части закрытия этих требований?
• Вы знаете, где хранятся все ваши защищаемые данные? Не вообще, а конкретно где?
• Каков масштаб планируемого проекта? Вы хотите сразу охватить все предприятие? Может стоит начать с малого? Можете ли вы выделить это малое и четко очерчить границы будущего внедрения?
• Есть ли у вас план реагирования на утечки данных (как самостоятельный план или часть общего плана реагирования на инциденты)? Причем этот план должен включать не только уведомление об утечках, но и реализацию мер по снижению ущерба и времени восстановления в предатакованное состояние.
• Ваши политики, руководства, планы готовы к DLP и учитывают ее специфику?
• Вы классифицировали ваши данные? Не на уровне списка сведений, составляющих коммерческую тайну, а именно на уровне конкретных файлов, записей БД, потоков видео и аудио и т.д.
• Ваш бюджет учитывает все затраты на внедрение и эксплуатацию DLP? Стоимость лицензии на ПО и железо — это только шестая часть всех реальных затрат.
• Вы готовы управлять программой DLP в рамках цикла Шухарта-Деминга (PDCA)? Вы готовы думать не только о технической стороне вопроса, но и о повышении осведомленности персонала, а также о психологии данного вопроса?

К чему весь этот пост? Я ни в коем случае не хочу сказать, что тема DLP — это безнадежная и нереализуемая на практике идея? Нет. Просто я хочу еще раз подчеркнуть (на bankir.ru была большая дискуссия на эту тему), что DLP — это не панацея и не серебряная пуля. Внедрение ПО — это верхушка айсберга и ни один вендор не в состоянии за вас решить (а многие и не пытаются продавая вам коробку) большинство из описанных выше вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое.