14.9.11

Тема DLP вновь на подъеме?! Но готовы ли вы к ней?

Вообще тема DLP вновь стала возрождаться из пепла. В обозримом будущем пройдет аж целых три мероприятия по данной тематике:
  • DLP Russia 2011 - вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch. Буду там выступать с темой про защиту от утечек в мобильных и распределенных корпоративных системах. Пока даже не знаю, что это и про что рассказывать. Но кто-то меня сдал, что я якобы в этой теме силен ;-)
  • DLP Conference - вендор-независимое мероприятие, организуемое компанией Zecurion (бывший бренд SecureIT). Первый раз оно пройдет в рамках InfoSecurity Russia 2011. Тоже должен был там выступать, но буду в командировке.
  • DLP Web Conference 2011 HD - вендор-независимое онлайн-мероприятие, также организуемое Zecurion'ом. Буду и там выступать. Пока не придумал про что.

Но написать хотел про другое. В начале сентября Стефан Марчевитц опубликовал пост "9 причин, по которым вы не готовы к внедрению DLP". Начинается он за здравие и рассказывает, как большинство вендоров продает свои продукты - начинается все с trial-версии, пойманным нарушителем, случайно отправившем что-то кому-то, страшилками про штрафы и т.п. А дальше Стефан предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:
  • Вы провели оценку рисков? Не тупое заполнение матрицы качественными характеристиками "ущерб высокий"-"вероятность средняя", а вполне конкретными значениями стоимости конфиденциальной информации. А перед этим необходимо еще и саму информацию выделить и отделить действительно конфиденциальные данные от обычного информационного шума. Да и на вопрос: "Какие потери мы готовы принять?" стоит ответить ДО внедрения, а не после и не во время.
  • Знаете ли вы нормативные требования, которые влияют на вас? PCI DSS, ФЗ-152, СТО БР ИББС, СТР-К - это только верхушка айсберга. В зависимости от отрасли и региона могут быть и малоизвестные требования по обеспечению конфиденциальности данных. Где вы сильны, а где у вас пробелы в части закрытия этих требований?
  • Вы знаете, где хранятся все ваши защищаемые данные? Не вообще, а конкретно где?
  • Каков масштаб планируемого проекта? Вы хотите сразу охватить все предприятие? Может стоит начать с малого? Можете ли вы выделить это малое и четко очерчить границы будущего внедрения?
  • Есть ли у вас план реагирования на утечки данных (как самостоятельный план или часть общего плана реагирования на инциденты)? Причем этот план должен включать не только уведомление об утечках, но и реализацию мер по снижению ущерба и времени восстановления в предатакованное состояние.
  • Ваши политики, руководства, планы готовы к DLP и учитывают ее специфику?
  • Вы классифицировали ваши данные? Не на уровне списка сведений, составляющих коммерческую тайну, а именно на уровне конкретных файлов, записей БД, потоков видео и аудио и т.д.
  • Ваш бюджет учитывает все затраты на внедрение и эксплуатацию DLP? Стоимость лицензии на ПО и железо - это только шестая часть всех реальных затрат.
  • Вы готовы управлять программой DLP в рамках цикла Шухарта-Деминга (PDCA)? Вы готовы думать не только о технической стороне вопроса, но и о повышении осведомленности персонала, а также о психологии данного вопроса?

К чему весь этот пост? Я ни в коем случае не хочу сказать, что тема DLP - это безнадежная и нереализуемая на практике идея? Нет. Просто я хочу еще раз подчеркнуть (на bankir.ru была большая дискуссия на эту тему), что DLP - это не панацея и не серебряная пуля. Внедрение ПО - это верхушка айсберга и ни один вендор не в состоянии за вас решить (а многие и не пытаются продавая вам коробку) большинство из описанных выше вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое.

10 коммент.:

Tomas комментирует...

"на что-то другое" - Cisco IronPort?)))

Алексей Лукацкий комментирует...

;-)

Евгений III комментирует...

вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch

Где-то в предложении скрывается ошибка :)

Алексей Лукацкий комментирует...

Никакой ошибки. Вендор может проводить вендор-независимые мероприятия, на которые приглашаются и другие игроки рынка.

Алексей Т. комментирует...

Так можно сказать про любое средство защиты - если организационно система защиты не построена, то и деньги на СЗИ на ветер. По поводу DLP - это еще и большие деньги на ветер. ;-)

doom комментирует...

Кстати, на западе стали появляться более менее пристойные документы по методикам внедрения DLP - шансы есть, что в ближайшие 2-3 года тема начнет выходить на плато продуктивности.

2 Алексей Т.:
Не соглашусь - все средства бывают разного уровня. Ведь никто не задумывается как правильно внедрить DNS, чтобы от него был какой-то выхлоп. А как правильно внедрить CRM или ERP - задумываются еще как. И процент неуспешных внедрений просто зашкаливает.

Тут тоже: поставить антивирусы на рабочие станции это одно, а, по сути, автоматизировать процесс управления информационными активами - это совсем другое.

Алексей Лукацкий комментирует...

Именно. Мало проблем с решениями, которые защищают данные. А вот при подъеме на уровень информации проблем добавляется. На уровне знаний еще больше проблем

securityinform комментирует...

Алексей, а в региональных мероприятиях Вы участвуете?

Алексей Лукацкий комментирует...

Да. А в каком контексте вы интересуетесь?

Олег Кузьмин комментирует...

А мне вопросы Стефана понравились!Их можно даже немного расширить. В подавляющем большинстве случаев понимание даже самой темы внедрения DLP у нас сильно извращено. На мой взгляд, лишь единичные проекты в этой теме имеют какие-либо шансы на успех. Глобально вопрос можно поставить так, понимаем ли мы, что делаем и чего в итоге хотим достичь в результате внедряемого решения? Причем речь в этом вопросе идет вовсе не о последовательности выполняемых технических мероприятий или популярных организационных решений.