Вообще тема DLP вновь стала возрождаться из пепла. В обозримом будущем пройдет аж целых три мероприятия по данной тематике:
Но написать хотел про другое. В начале сентября Стефан Марчевитц опубликовал пост "9 причин, по которым вы не готовы к внедрению DLP". Начинается он за здравие и рассказывает, как большинство вендоров продает свои продукты - начинается все с trial-версии, пойманным нарушителем, случайно отправившем что-то кому-то, страшилками про штрафы и т.п. А дальше Стефан предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:
К чему весь этот пост? Я ни в коем случае не хочу сказать, что тема DLP - это безнадежная и нереализуемая на практике идея? Нет. Просто я хочу еще раз подчеркнуть (на bankir.ru была большая дискуссия на эту тему), что DLP - это не панацея и не серебряная пуля. Внедрение ПО - это верхушка айсберга и ни один вендор не в состоянии за вас решить (а многие и не пытаются продавая вам коробку) большинство из описанных выше вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое.
- DLP Russia 2011 - вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch. Буду там выступать с темой про защиту от утечек в мобильных и распределенных корпоративных системах. Пока даже не знаю, что это и про что рассказывать. Но кто-то меня сдал, что я якобы в этой теме силен ;-)
- DLP Conference - вендор-независимое мероприятие, организуемое компанией Zecurion (бывший бренд SecureIT). Первый раз оно пройдет в рамках InfoSecurity Russia 2011. Тоже должен был там выступать, но буду в командировке.
- DLP Web Conference 2011 HD - вендор-независимое онлайн-мероприятие, также организуемое Zecurion'ом. Буду и там выступать. Пока не придумал про что.
Но написать хотел про другое. В начале сентября Стефан Марчевитц опубликовал пост "9 причин, по которым вы не готовы к внедрению DLP". Начинается он за здравие и рассказывает, как большинство вендоров продает свои продукты - начинается все с trial-версии, пойманным нарушителем, случайно отправившем что-то кому-то, страшилками про штрафы и т.п. А дальше Стефан предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:
- Вы провели оценку рисков? Не тупое заполнение матрицы качественными характеристиками "ущерб высокий"-"вероятность средняя", а вполне конкретными значениями стоимости конфиденциальной информации. А перед этим необходимо еще и саму информацию выделить и отделить действительно конфиденциальные данные от обычного информационного шума. Да и на вопрос: "Какие потери мы готовы принять?" стоит ответить ДО внедрения, а не после и не во время.
- Знаете ли вы нормативные требования, которые влияют на вас? PCI DSS, ФЗ-152, СТО БР ИББС, СТР-К - это только верхушка айсберга. В зависимости от отрасли и региона могут быть и малоизвестные требования по обеспечению конфиденциальности данных. Где вы сильны, а где у вас пробелы в части закрытия этих требований?
- Вы знаете, где хранятся все ваши защищаемые данные? Не вообще, а конкретно где?
- Каков масштаб планируемого проекта? Вы хотите сразу охватить все предприятие? Может стоит начать с малого? Можете ли вы выделить это малое и четко очерчить границы будущего внедрения?
- Есть ли у вас план реагирования на утечки данных (как самостоятельный план или часть общего плана реагирования на инциденты)? Причем этот план должен включать не только уведомление об утечках, но и реализацию мер по снижению ущерба и времени восстановления в предатакованное состояние.
- Ваши политики, руководства, планы готовы к DLP и учитывают ее специфику?
- Вы классифицировали ваши данные? Не на уровне списка сведений, составляющих коммерческую тайну, а именно на уровне конкретных файлов, записей БД, потоков видео и аудио и т.д.
- Ваш бюджет учитывает все затраты на внедрение и эксплуатацию DLP? Стоимость лицензии на ПО и железо - это только шестая часть всех реальных затрат.
- Вы готовы управлять программой DLP в рамках цикла Шухарта-Деминга (PDCA)? Вы готовы думать не только о технической стороне вопроса, но и о повышении осведомленности персонала, а также о психологии данного вопроса?
К чему весь этот пост? Я ни в коем случае не хочу сказать, что тема DLP - это безнадежная и нереализуемая на практике идея? Нет. Просто я хочу еще раз подчеркнуть (на bankir.ru была большая дискуссия на эту тему), что DLP - это не панацея и не серебряная пуля. Внедрение ПО - это верхушка айсберга и ни один вендор не в состоянии за вас решить (а многие и не пытаются продавая вам коробку) большинство из описанных выше вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое.
"на что-то другое" - Cisco IronPort?)))
ОтветитьУдалить;-)
ОтветитьУдалитьвендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch
ОтветитьУдалитьГде-то в предложении скрывается ошибка :)
Никакой ошибки. Вендор может проводить вендор-независимые мероприятия, на которые приглашаются и другие игроки рынка.
ОтветитьУдалитьТак можно сказать про любое средство защиты - если организационно система защиты не построена, то и деньги на СЗИ на ветер. По поводу DLP - это еще и большие деньги на ветер. ;-)
ОтветитьУдалитьКстати, на западе стали появляться более менее пристойные документы по методикам внедрения DLP - шансы есть, что в ближайшие 2-3 года тема начнет выходить на плато продуктивности.
ОтветитьУдалить2 Алексей Т.:
Не соглашусь - все средства бывают разного уровня. Ведь никто не задумывается как правильно внедрить DNS, чтобы от него был какой-то выхлоп. А как правильно внедрить CRM или ERP - задумываются еще как. И процент неуспешных внедрений просто зашкаливает.
Тут тоже: поставить антивирусы на рабочие станции это одно, а, по сути, автоматизировать процесс управления информационными активами - это совсем другое.
Именно. Мало проблем с решениями, которые защищают данные. А вот при подъеме на уровень информации проблем добавляется. На уровне знаний еще больше проблем
ОтветитьУдалитьАлексей, а в региональных мероприятиях Вы участвуете?
ОтветитьУдалитьДа. А в каком контексте вы интересуетесь?
ОтветитьУдалитьА мне вопросы Стефана понравились!Их можно даже немного расширить. В подавляющем большинстве случаев понимание даже самой темы внедрения DLP у нас сильно извращено. На мой взгляд, лишь единичные проекты в этой теме имеют какие-либо шансы на успех. Глобально вопрос можно поставить так, понимаем ли мы, что делаем и чего в итоге хотим достичь в результате внедряемого решения? Причем речь в этом вопросе идет вовсе не о последовательности выполняемых технических мероприятий или популярных организационных решений.
ОтветитьУдалить