Интервью с гуру в области информационной безопасности. Михаил Емельянников о практике внедрения DLP

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(0)
()
Опубликовано в:

Первый вопрос состоит из двух частей: как убедить высший менеджмент в необходимости внедрения DLP-систем, и как, в каких единицах, измерять эффективность их работы?

Михаил Юрьевич Емельянников

Аргументация очень простая: внедряя DLP мы принимаем меры, связанные не с защитой информации, а с защитой бизнес-активов. Ведь информация – это не что иное, как бизнес-актив, ваше ноу-хау, которое дает вам конкурентные преимущества. В соответствии с налоговым кодексом, все нематериальные активы предприятия имеют совершенно конкретную цену. Посчитать ее очень просто: во-первых, можно вычислить, сколько стоило создание этого актива. Во-вторых, выяснить, сколько стоит продажа такого актива на рынке. Соответственно, защита от утечек ‒ это защита от потери денег. Ну, возьмём, к примеру, маленькую высокотехнологичную компанию, которая живёт за счёт продажи своих решений. Утечка информации для такой компании означает смерть бизнеса. Я думаю, такой аргумент будет понятен любому руководителю.

 

А с какого времени стоит начинать мерить эффективность?

Как только у организации появилось понимание, что она обладает нематериальным активом, который представляет реальную ценность (не просто вагона с углём, а какого-то изобретения, исследования и т.д.). Вот с этого момента информацию необходимо защищать и можно уже что-то измерять.

Бытует мнение, что, в случае утечки важной информации, легче и быстрее разобраться, что называется, по-свойски, ведь потерянного не вернешь: даже, если довести дело до суда и суд выиграть, виновный будет выплачивать взыскание в течение чуть ли не всей жизни. Как же состыковать законодательство и реальную жизнь?

Существует реактивная и проактивная реакция на события. Инцидент произошёл, и вы пытаетесь решить вопрос, как вы говорите, «по-свойски» (угрожать, мстить и пытаться другими методами взыскать убытки с человека, который в любом случае их вернуть не сможет, попросту, потому что столько не зарабатывает). Вот это реактивная реакция. Конечно, дела можно решать и так, вопрос в рисках и эффективности.

Преимущество DLP как раз в том, что эти решения позволяют реагировать проактивно. Когда блокируется сама попытка неправомерной передачи конфиденциальной информации. То есть, информация вовне не уходит. Злоумышленника, конечно, очень долго можно мурыжить, толку только от этого мало, потому что всё, информацию свою, то есть,  деньги, вы потеряли.

Одним из моментов, пугающих бизнес в DLP, является  боязнь всякого рода проверок. Как можно снизить эти риски?

К сожалению, надзор и контроль часто осуществляются в целях, далёких от надзора и контроля, и я эти опасения прекрасно понимаю. Тем не менее, процесс внедрения DLP можно и нужно сделать полностью легитимным.  Для начала, нужно создать правовую базу, обосновывающую внедрение этой системы, получить соответствующие согласия работников на применение системы DLP, и ни в коем случае, не выходить за пределы, заявленные при внедрении систем. Это как с молотком, которым можно забивать гвозди, а можно пробить кому-то голову. Так вот, DLP, как молоток, ‒используйте его по своему прямому назначению, и всё будет прекрасно. Проблемы будут, если сначала внедрить систему, потом привлечь нарушителя к ответственности, а потом объяснять надзорным органам, на каком основании это было сделано. В очередной раз подчеркну: тайное использование DLP без согласия на то работников и уведомления их о начале работы системы – прямое нарушение 138 статьи.

Как вы прокомментируете тот факт, что закон о служебной тайне был снят с рассмотрения.  С чем это связано, и какие последствия за собой несёт?

Правительство выступало противником этого закона по той причине, что его реализация потребовала бы больших бюджетных средств в органах госвласти на защиту информации ограниченного доступа.

Фактически, нанесение грифа ДСП сейчас нелегитимно. Несмотря на то, что существует постановление 1233 о порядке обращения со служебной информацией ограниченного распространения, ограничение доступа к информации может осуществляться только на уровне федерального закона. Статья 139 ГК, упоминавшая о том, что такое служебная тайна, не применяется с 1-го января 2008 года. Закона о служебной тайне нет, поэтому оснований, на мой взгляд, для ограничения доступа у государственных органов тоже нет.

Есть предпосылки решения этой проблемы?

Нет, пока их нет, хотя закон, безусловно, нужен. Потому что гриф ДСП на документах требует играть по определенным правилам игры, которых, фактически, нет.

Оцените материал:
Total votes: 132
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.