Для многих компаний актуальна проблема защиты корпоративный информации. Поэтому топ-менеджеры и сотрудники служб безопасности ищут идеальную DLP, которая будет защищать данные от всевозможных краж и утечек. Однако в данном вопросе нельзя полагаться на стороннее мнение.

Выбор DLP зависит от поставленных перед системой задач. Универсального алгоритма работы системы не бывает – каждый инструмент подбирается индивидуально, тестируется и настраивается для решения конкретных задач.

Перед выбором подходящей DLP нужно определить:

• критерии сравнения;
• основные каналы передачи информации, которые необходимо контролировать;
• 2-3 системы для тестирования;
• период тестирования, поскольку предложений на рынке DLP много и на тестирование даже нескольких вариантов может уйти масса времени.

Критерии выбора системы

Критерий 1. Количество контролируемых каналов

Вначале нужно определить каналы, которые коллектив использует для работы и личного общения, а также статус хранимой в компании информации: персональные данные, коммерческая тайна, конфиденциальная документация и т.д.

Следующих шаг – уточнить у вендора политику лицензирования и возможность покупки отдельных модулей. При этом учитывайте вероятность того, что в будущем организация начнет использовать новые каналы коммуникации. Поэтому идеальный вариант таков: у вендора широкий набор модулей, но из них можно выбрать отдельные элементы в любое время.

Дальше нужно определить, какие каналы блокировать, а какие контролировать. Можно заблокировать все, что не относится к работе. Но тогда службе безопасности будет сложнее контролировать людей, которые хотят целенаправленно слить информацию, неважно каким способом. При внедрении DLP-решения оценивайте приоритеты защиты: перекрыть возможные способы передачи информации или отследить потенциального нарушителя.

Критерий 2. Надежность и скорость работы системы

Нагрузочное тестирование лучше проводить на максимальном количестве машин. Практически любая DLP будет хорошо работать на 10-15 компьютерах, но не факт, что она сможет контролировать 100, 500 или 5000 рабочих станций без сбоев и перегруза системы.

Сроки полноценного тестирования DLP – от двух недель до месяца. За это время вы сможете понять, как система справляется с объемными нагрузками, какие специфичные настройки и каналы вам лучше использовать. По результатам такой проверки руководству можно предоставить отчет, на примере которого будет видна работа внедренного решения и найденные нарушения.

Дальше необходимо сравнить объемы и качество перехвата тестируемых систем под нагрузкой. Результаты могут отличаться из-за неправильных настроек, разной механики перехвата. Именно поэтому, если есть техническая возможность, лучше тестировать выбранные решения одновременно. Это поможет корректно сопоставить результаты.

Критерий 3. Аналитические возможности

При сравнении систем нужно учитывать, как точно и тонко настраивается система. Анализ действий, совершаемых с информацией, – основная задача DLP. Если решение нельзя настроить под специфичные запросы и документы, значит не все нарушения будут найдены. Итог – возможная утечка секретной информации.

На поиск угроз влияют автоматизированные возможности DLP. Если у системы есть инструменты не только для фразового поиска, но и для комплексного поиска, а также поиска по атрибутам, регулярным выражениям, тематическим словарям и т.п., она найдет больше нарушений. При этом решение автоматически исключит из результатов случаи, которые не связаны с утечками и кражами.

Оценивайте информативность отчетов: чем понятнее и нагляднее аналитические сообщения системы, тем меньше времени сотрудникам нужно на разбор и систематизацию. С данными, подтвержденными наглядно, удобно отчитываться перед руководством.

Обязательно следует рассмотреть инструментарий для расследования инцидентов. Аудит файловой системы, видеозапись действий пользователя, аудиозапись, контроль продуктивности и снимки с веб-камеры помогут по шагам воспроизвести нарушение и однозначно установить виновного. Дополнительный плюс – возможность ретроспективного анализа, который установит цепь событий с самого начала и покажет круг лиц, причастных к нарушению.

Внедрение современных DLP-решений поможет:

• контролировать все каналы передачи информации;
• находить нарушения – общие и специфичные;
• формировать понятные отчеты по результатам проверок;
• не включать в отчеты события, которые не связаны с угрозами;
• анализировать цепь событий и устанавливать круг причастных лиц;
• контролировать рабочее время: сколько и как продуктивно работают сотрудники;
• шифровать данные при попытке их передачи за пределы компании;
• блокировать сервисы и каналы по запросу.

Критерий 4. Техническая поддержка

Оперативная и качественная техническая поддержка поможет быстро решать возникающие проблемы с системой. Если компания не спешит отвечать на вопросы во время тестирования, то, вероятно, после покупки DLP ситуация станет еще хуже.

При оценке техподдержки учитывайте:

• качество работы техподдержки, скорость реакции на запрос;
• скорость устранения проблемы. Сбои бывают у всех программ, поэтому важно, чтобы техподдержка могла быстро разобраться с проблемами;
• возможность выезда специалиста к клиенту. Актуально для региональных компаний, так как в больших городах у разработчиков обычно есть свои офисы;
• помощь при внедрении, настройке и тестировании. Если вендор помогает сотрудникам службы безопасности тщательно разобраться в DLP, система со старта работает правильно и перехватывает больше инцидентов.

Критерий 5. Разработчик

Надежность разработчика и широкие возможности настройки DLP – существенный фактор, который обязательно нужно учитывать при выборе системы защиты. Оценивайте:

• Набор предустановленных политик безопасности. Компании, которые давно работают на рынке, предлагают клиентам много универсальных настроек и инструментов. Это расширяет возможности DLP и упрощает персональную подготовку к запуску софта.
• Регулярные обновления, устойчивость к кризисным явлениям. Технологии постоянно развиваются, и система должна оперативно подстраивалась под новые программы, мессенджеры и другие каналы передачи информации.
• Отраслевые практики. Чем больше возможностей для детальных настроек, тем больше вероятность того, что система найдет специфичные нарушения. Опытные разработчики импортируют клиенту готовые или настраивают новые специализированные политики безопасности.
• Наличие представительств в регионах. Как и с техподдержкой: чем ближе разработчик, тем быстрее назначаются встречи и устраняются проблемы. Разница в часовых поясах ни на что не влияет.

Общение с действующим клиентом многое расскажет о надежности разработчика. Контакты компании можно просить у самого вендора. Если поставщик DLP-услуг отказывается знакомить с клиентом, значит, он либо недавно на рынке, либо не уверен в продукте.

Критерий 6. Цена и стоимость владения системой

Траты на систему защиты должны соотноситься с потребностями и возможностями компании, качеством DLP. Не у всех компаний первоначальный пакет услуг включает дальнейшее обслуживание и обновление системы. При оценке трат учитывайте, что стоимость владения системой складывается из нескольких компонентов:

Финальный этап:

Перед тестированием 2-3 выбранных систем нужно:

Может показаться, что выбрать идеальную DLP сложно. И действительно: если вы хотите найти подходящую систему, над этим придется потрудиться. Иначе появится угроза утечек и кражи важных данных. Но с такой задачей сталкивались многие крупные компании: они тестировали и сравнивали решения, делая тонкие и точные настройки.

Здесь описаны этапы, которые помогут вам при выборе DLP. В статье «Личный опыт: как мы выбирали DLP-систему» вы узнаете о том, как на практике применяются теоретические рекомендации.

Также мы подготовили пошаговую инструкцию с реальными кейсами, в которых описана работа аналитических инструментов систем защиты.