Вполне понятно, что у каждого банка есть собственные требования к обеспечению информационной безопасности, именно поэтому сегодня на рынке и существует большое количество DLP-систем, каждая из которых имеет собственные особенности, в ряде случаев представляющихся преимуществами, а в ряде – и недостатками данной системы. Впрочем, существует достаточно большое количество общих для всех банков, да и для многих других организаций требований, предъявляемых к DLP-системам. Именно особенности их реализации в наиболее актуальных для России DLP-системах мы сейчас с вами и рассмотрим.

Ранее на Bankir.Ru уже публиковались обзор основных игроков российского рынка DLP-систем и рекомендации по выбору DLP-системы, которая не будет вносить риск остановки бизнес-процессов в финансовой организации. В этой статье мы не будем останавливаться на вопросах, уже освещенных в упомянутых материалах.

«Тяжелые» и «легкие» системы

Несмотря на то, что классифицировать DLP-системы можно по достаточно большому числу различных признаков, наиболее простым и понятным как для ИТ-специалистов, так и для «безопасников» остается деление DLP-систем на «тяжелые» и «легкие». Основаниями для такого деления выступают несколько факторов, главными из которых являются затраты на внедрение системы, расходы на владение ею; время, необходимое для внедрения DLP-системы; необходимость покупки дополнительных программных продуктов сторонних производителей. Соответственно, для «тяжелых» систем стоимость покупки и владения больше, чем для «легких», также они требуют больше времени на внедрение. Часто также для использования таких систем необходимо приобретение дополнительных программных продуктов (например, систем управления базами данных или средств контроля отдельных каналов утечек данных).

Вполне понятно, что «тяжелые» системы рассчитаны исключительно на крупный бизнес, к которому справедливо можно отнести и подавляющее большинство банков. Но будет ошибочно полагать, что «легкие» системы для финансовых организаций совершенно бесполезны. Особенности DLP-систем как класса программного обеспечения как раз и заключаются в том, что «легкие» системы, будучи хорошо масштабируемыми, эффективно работают во многих крупных банках, где количество рабочих станций пользователей превышает несколько сотен. Особенно высокий интерес «легкие» DLP вызывают, как правило, когда встает вопрос о защите небольших региональных филиалов банков. Несмотря на то, что «тяжелые» DLP обычно поддерживают защиту всей корпоративной сети, организованной по принципу VPN, нередко защита регионального офиса собственной «легкой» DLP-системой оказывается более удобной и эффективной.

Стоит упомянуть, какие основные DLP-системы, представленные на российском рынке, можно отнести к «тяжелым», а какие – к «легким». К первым можно отнести решения компаний InfoWatch, Perimetrix, Websense, Symantec, McAffee, «Инфосистемы Джет»; ко вторым – продукты компаний SearchInform, SecurIT, FalconGaze.

Контролируемые каналы передачи данных

Несмотря на то, что среди специалистов по информационной безопасности бытует мнение, что лучше запретить использование отдельных каналов передачи информации, чем иметь всю ту головную боль, которая связана с необходимостью их контролировать, практика показывает, что именно контроль является более верным в стратегической перспективе решением. Дело в том, что в случае перекрытия какого-либо канала, как правило, довольно трудно установить, насколько эффективно в действительности работает его блокировка, и в итоге пользователь может воспользоваться различными обходными маневрами, чтобы ее обойти и передать конфиденциальные сведения за пределы банка. В случае, когда канал контролируется службой безопасности, и при этом никто не запрещает им пользоваться, можно обнаружить гораздо больше потенциально опасных инцидентов. Именно поэтому очень важно, чтобы DLP-система позволяла контролировать достаточное количество каналов передачи данных.

Сегодня лишь сравнительно небольшое число DLP-систем могут похвастать действительно качественной работой со всеми каналами передачи данных, по которым может произойти утечка. Причем преимущество здесь, что опять-таки может показаться странным, у «легких» систем. Впрочем, на самом деле, ничего странного в этом нет – «тяжелые» системы ориентированы на крупный бизнес, который легко может докупить продукт стороннего разработчика, реализующий недостающую функциональность. Мелкий и средний бизнес, который использует «легкие» DLP, позволить себе такого по понятным причинам не может, поэтому количество поддерживаемых каналов передачи данных – важное конкурентное преимущество для «легкой» DLP-системы.

Что касается производителей DLP, которые предлагают наибольшее количество контролируемых каналов, то это производители «легких» систем – SearchInform, SecurIT, FalconGaze. При этом, конечно, есть и свои особенности. Скажем, многие специалисты по информационной безопасности отмечают, что SearchInform обеспечивает наиболее полный контроль Skype, включая голосовые и текстовые сообщения, в то время, как, например, SecurIT позволяет более удобным образом перехватывать передаваемые через интернет SMS-сообщения.

Аналитические возможности

После того, как DLP-система перехватила трафик, идущий по какому-либо каналу, его необходимо анализировать. Вполне понятно, что не весь трафик является конфиденциальной информацией, и ее нужно как-то выделить из общего потока. Именно здесь приходят на помощь аналитические – поисковые – модули DLP-систем.

Нужно сказать, что качество реализации аналитического модуля DLP-системы мало зависит от того, какую цену за нее запрашивает разработчик. Зато достаточно сильно зависит от того, в какой стране разработали DLP-систему: как показывает практика, изготовленные в России программные продукты гораздо лучше «дружат» с русским языком, чем их аналоги, разработанные западными программистами. Сложно сказать, в том ли дело, что западные вендоры экономят на проведении локализации своих продуктов, или же специфика DLP-систем такова, что для русского языка нужны принципиально иные аналитические модули, чем для английского – так или иначе, компаниям, работающим в России и защищающимся от утечек русскоязычных конфиденциальных документов, гораздо удобнее применять российские же DLP-системы.

Сложно сказать, у какой DLP-системы, из всех имеющихся сегодня на российском рынке, самый лучший аналитический модуль. Если говорить о поисковых возможностях DLP-систем, то, пожалуй, можно выделить «Контур информационной безопасности SearchInform», который предлагает помимо классических поисков по «цифровым отпечаткам» и по словарю с учетом морфологии еще собственный «поиск похожих документов», позволяющий искать файлы, используя в качестве образца другие документы. Технология эта была разработана компанией еще в те годы, когда главным направлением ее деятельности был именно корпоративный поиск, поэтому неудивительно, что и сегодня в плане поисковых возможностей она несколько опережает конкурентов. Тем не менее, нужно сказать, что и остальные российские производители DLP, например, те же InfoWatch и SecurIT, в области анализа данных, собранных DLP-системой, смотрятся очень неплохо на фоне западных конкурентов.

Агенты и их отсутствие

Раньше DLP-системам не было никакой нужды внедряться на рабочие станции пользователей: первые из них контролировали только электронную почту, а для этого вполне хватало серверного ПО. Сегодня ситуация уже принципиально иная: необходимо контролировать и устройства ввода-вывода, в частности, ставший столь популярным во всем мире порт USB, а осуществлять подобный контроль без внедрения на саму рабочую станцию весьма и весьма проблематично.

Так или иначе, все DLP-системы сегодня используют агенты. Во многих из них эти агенты применяются не только для контроля доступа к устройствам ввода-вывода, но и для перехвата Skype-данных еще до их шифрования, сбора текста, который набирается пользователем на клавиатуре, получения снимков экрана и прочих подобных задач, прямо или косвенно связанных с необходимостью обеспечения информационной безопасности в организации.

ИТ-специалисты не очень любят агенты DLP-систем, в основном за то, что те добавляют им необходимость решать возникающие проблемы с потреблением этими агентами не слишком больших ресурсов рабочих станций, однако большинство современных систем защиты от утечек данных не слишком загружают компьютеры конечных пользователей. В последнее время жалобы на излишнюю нагрузку на рабочие станции можно найти в основном в адрес DLP-системы от McAffee, хотя, возможно, проблема в несоответствии рабочих станций высоким системным требованиям этого программного продукта.

Отчеты

Довольно важная часть функциональности DLP-системы – составление отчетов, поскольку отделу безопасности нужно отчитываться о проделанной работе перед вышестоящими руководителями, а иногда даже и акционерами. Поэтому некоторые DLP-системы, чего уж греха таить, отчеты составляют куда лучше, чем собственно предотвращают утечки информации, и ничего странного в этом нет. Ведь тот, кто принимает решение о покупке системы на самом верху, понимает в отчетах гораздо лучше, чем в тонкостях обеспечения безопасности данных.

На сегодня «тяжелые» DLP-системы в большинстве своем имеют более мощные возможности формирования отчетов, чем «легкие». Из всех распространенных в России DLP-систем наибольших похвал со стороны специалистов по безопасности за формирование отчетов удостаивалась система от WebSence. Хотя и другие DLP-системы сегодня могут предложить отчеты на любой случай и на любой вкус.

Безусловно, выбор DLP-системы для банка – это ответственное решение, которое нельзя принять без тщательного тестирования всех предложенных вариантов. Поэтому не нужно считать эту или любую другую статью, а особенно информацию, предоставляемую самими производителями или продавцами DLP-систем, истиной в последней инстанции. Не нужно думать и шаблонами наподобие «чем дороже, тем лучше» или «банку «легкая» система не нужна». Главным критерием выбора DLP должна оставаться ее эффективность, что невозможно без четкого понимания того, какие она должна решать задачи.