Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Производители-внедренцы-заказчики DLP! Давайте обсудим!

Аватар пользователя mezp11@gmail.com
Автор: Емельянников Михаил, Консалтинговое агентство «Емельянников, Попова и партнеры»
(0)
()
Опубликовано в: ,

Часто слышу разговоры про сложности внедрения DLP-систем, про непонимание между вендором-интегратором и заказчиком, про деньги и результаты. Не очень приятные разговоры. И с не всегда приятными выводами чаще всего. Давайте попробуем смоделировать ситуацию и поискать варианты решений. Модель не абстрактная, построена на опыте реальных проектов, общении как с многочисленными заказчиками, так и с исполнителями.

В качестве бизнес-задачи выберу близкую мне тему защиты коммерческой тайны. Про персональные данные как-то не хочется. Надоело.

Итак, исходная обстановка. Есть конкретный заказчик – довольно богатая по российским понятиям компания. Устанавливает режим коммерческой тайны. Устанавливает правильно и красиво – топ-менеджмент не просто «за», а активно поддерживает (с одной стороны, понимает, зачем, с другой – в KPI ему вписали правильные показатели). Перечень информации, составляющей коммерческую тайну (ИКТ) вменяемый, по нему можно определить, какие сведения-документы действительно подпадают под категорию ИКТ и могут быть отнесены к ней. «Могут быть», кстати, потому что  перечень – это не демон Максвелла: эту информацию – налево (ИКТ), эту – направо (не ИКТ). Перечень – это желтый сигнал светофора, который загорается перед глазами пытливого работника, понимающего свою ответственность: «Остановись и подумай. Если понимаешь плохо, иди к боссу. Возможно, сведения охраноспособные. Но не обязательно».

Нормодоки сформированы. Осведомленность персонала повышена. Новая жизнь началась.

Текущее состояние. Персонал объединенными и дружными усилиями решает три главных задачи:

  1. Относит создаваемые сведения к ИКТ.
  2. Отыскивает и категорирует ранее созданные данные как коммерческую тайну.
  3. Защищает то, что отнес к ИКТ, от:
    1. Внешних агрессоров (злохакеров).
    2. Внутренних врагов (жадных, обиженных, нелояльных  инсайдеров).

Если с задачами 1 и 3.1 все более-менее понятно (с 1 не совсем, потом поясню, почему), лежат они на плечах собственно допущенных к ИКТ исполнителей и их начальников (1) или  доблестных ибэшников (3.1), построивших защиту от внешних вторжений (МЭ + IDS/IPS + AV + Сканеры защищенности + Пентестинг + СКЗИ на незащищенных каналах, сказка, в общем), то с задачами 2 и 3.2 – облом.

Конечно, категоризировать ранее созданную информацию (задача 2) можно бесконечно. Есть одно «но». Родовым признаком ИКТ является неизвестность ее третьим лицам, каковыми, к сожалению, являются бывшие работники, не принявшие в свое время на себя обязанностей защищать КТ в трудовых договорах (режима КТ не было, мы его устанавливаем, помните?), а также действующие работники, по тем или иным причинам допуска к КТ не имеющие (допускать всех – полный нонсенс, об этом можно как-нибудь поговорить отдельно). А ведь информация создана ранее! Кроме того, самое гуманное в мире законодательство дало российским работникам волшебное право обжаловать в судебном порядке незаконное установление работодателем режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей. Так что с категоризацией лучше не затягивать.

С защитой от внутренних врагов (3.2) – совсем облом. Работника допустили, без ИКТ он работать не может. А вот сделать он с доверенными сведениями может почти все, что угодно. Отправить на сторону (по корпоративной или общедоступной почте), переложить куда-нибудь в облачное файлохранилище, сохранить под другим именем в незаконном месте (на неучтенном носителе, если хотите), сделать copy-past самого интересного кусочка куда-нибудь, снять на фото (мобильник), задиктовать на диктофон и т.д.

Конечно, всем этим угрозам на 100% противодействовать не может никто и ничто. Речь, как обычно в информационной безопасности, про снижение рисков до допустимого (принимаемого) уровня. В конце концов, есть абсолютно непреодолимый способ хищения – учить кусочками наизусть и записывать после выхода из офиса. Способ борьбы и с этим есть – но об этом не здесь.

Можно, конечно, поуправлять электронными правами (IRM или RMS). Правда, это тоже путь не самый простой, совсем не дешевый а, главное, требующий колоссального напряжения извилин от работника, на котором лежит ответственность за отнесение или неотнесение сведений к ИКТ: кому, что конкретно и когда разрешить. Шаблоны и групповые политики помогут, но после, когда все более-менее станет ясно. А заказчик пока еще устанавливает режим коммерческой тайны, и со многими сведениями никакой ясности пока еще нет.

Кстати, вернусь к первой задаче (отнесении к ИКТ вновь создаваемых сведений). Заказчику обоснованно хотелось бы, чтобы бы и за этой информацией тоже как-то можно было проследить, снизив ошибки как первого рода (охраноспособна, но отнесена), так и второго (отнесена необоснованно). Поскольку человеческий фактор никто не отменял.

И вот заказчик, осознавая сложность и масштабность задач, зовет разработчика DLP и/или интегратора и говорит: «Есть работа! Помочь можете? Вперед!».

Дальнейшие действия. На фоне этой оперативной обстановки цель внедренца – разработать план операции, которая позволила бы решить задачи отнесения ранее созданных данных к ИКТ и защиты информации от внутренних «врагов» (2 и 3.2) в условиях неопределенности отнесенных и относимых сведений, который бы устроил заказчика и убедил его, что это будут разумные деньги за внятную работу.

Вот здесь добросовестный мавр (то бишь я), нарисовавший исходную обстановку и сформулировавший задачу, с удовлетворением вытирает выступивший от напряженного труда пот и отходит в сторонку, передавая инициативу тем, задача которых продать решение-услугу..

Господа производители-внедренцы! Можете что-нибудь предложить внятное? Чтобы заказчику было хорошо? Убедительно? Тогда вперед!

Надеюсь, есть повод для дискуссии.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.