`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

DLP-системы

Уважаемые форумчане!

Хочу посоветоваться. Решили наконец-то организовать у себя отдел по обеспечению информационной безопасности. Встал вопрос, какую систему ставить - DLP или СОРМ (это я со слов спеца по ИБ пишу). Предлагают нам McAfee. Слышал про их антивирус, а про DLP пока нет. Что посоветуете? Специалисты мои дали мне сегодня вот эту инфу почитать: http://ukrbizsec.blogspot.com/2011/07/8-mcafee-dlp.html?showComment=1312...
Что не верится..

Что скажете?

почитал комментов пару первых. как по мне, если не дружит с языком русским, то толку от такой системы немного. она скорее будет ловить случайные утечки, когда бухи по ошибке не туда ткнут и попытаются финотчёт левым людям выслать. утрированно, конечно, но, думаю, мысль ясна. если Вам только для этого DLPшка нужна, то почему бы и не взять макафи, но я бы поискал что-то более дружественное к русскому языку.

например?

конечно, это не вариант - ставить, чтобы ловить случайные утечки. инсайдеров никто не отменял.

Любая система российского производства. Проблема словарей – общая для всех западных ДЛП. Я бы порекомендовал продукт, который не перехватывает информацию, а только мониторит сотрудников – именно он ищут инсайдеров не «случайно», а целенаправленно.
Из российских компаний Серчинформ точно предоставляет такую возможность, и говорят, что в СекьюрИТ тоже можно как-то отключать функцию перехвата, но не уверен, ни разу не работал с их продуктом.

Серчинформ - знакомое что-то, но ничего особо о качестве их решения не слышал. Вы его используете?
Да, видимо все-таки стоит подумать - блокировать или мониторить. Разница принципиальная. Другое дело, что если не блокировать, то конфиденциальная инфа из компании все же уйдет? А это ведь могут быть весьма и весьма критичные данные.

Возможно, вы слышали о их недавней презентации в Киеве. По поводу качества ничего плохого сказать не могу – система все заявленные функции выполняет хорошо. Но как уже я писал выше, их продукт ориентирован на мониторинг, и чудес ждать не стоит – перехват конфиденциальных документов не предусмотрен. С другой стороны, инсайдер тоже не дурак и пересылать секретную информацию «в открытую» не будет. Именно таких и выявляет Серчинформ, о которых при простой блокировке можно было и не знать.

ИМХО, блокировка всегда несёт негатив.

1. Это коссвенно свидетельствует о том, что в компании отслеживается трафик.
2. Может плохо сказаться на непрерывности бизнес-процессов.

Мне решение видится так: должна быть реализована возможность блокировать сообщение (почта, аська и пр.), но выставлять её срабатывание нужно только на самые важные и критические документы. Саму же систему следует использовать именно для мониторинга сетевых потоков.

И кстати, у Серчинформом, по слухам, возможность перехвата как раз разрабатывается сейчас.

Настораживает "Решили наконец-то организовать у себя отдел по обеспечению информационной безопасности" и сразу ставится вопрос о покупке DLP, при этом звучит слово СОРМ.

Как давно принято решение о создании «отдела ИБ»? При создании СУИБ, на какие документы/стандарты будете ориентироваться?

Почему настораживает? Я располагаю в общем лишь той информацией, которую получаю от своих безопасников. И мне важно получить и здесь компетентное мнение на интересующую меня тему.

Отдел уже создан, работает с июля месяца. Ориентируемся на Закон о защите ПДн и существующие в Украине стандарты безопасности, разумеется.

Вы могли бы перечислить украинские стандарты безопасности на которые ориентируются Ваши безопасники? Поверьте вопрос не праздный.

Почему настораживает, ну, например, потому, как СОРМ - это http://ru.wikipedia.org/wiki/%D0%A1%D0%9E%D0%A0%D0%9C .

Они предложили Вам его просто купить? Они знают где он продается? Или они имели ввиду, что-то иное?

ISO 17799, и, говорят, лучше разработать свой внутренний на его основе. А к чему вопрос?

Под СОРМ имелась ввиду система, позволяющая мониторить, а не блокировать. А не какое-то специализированное решение. Наподобие Серчинформ, как я уже выяснил.

Уважаемый Владимир Алексеевич
Примите мое занудство как «профзаболевание» и посему СОРМ для меня имя собственное, и ссылки на «украинские стандарты в области ИБ» вызывают необходимость задать уточняющие вопросы. Прошу прощения.

Потихоньку все становится на свои места:
1. Ориентация ваших безопасников на международный (не украинский) ISO 17799 - хороший признак. Хотя сегодня лучше ориентироваться на стандарты серии ISO 27000. С одной стороны, ISO 17799 уже устарел и не используется, с другой, на базе стандартов серии ISO 27000 в прошлом году НБУ ввел отраслевой стандарт.

2. Неопределенность в вопросе «блокировать или мониторить» заставляет меня думать, что вам необходима дополнительная проработка данного вопроса. Без четко разработанной политики ИБ и сопутствующих ей основных нормативных документов я бы не рекомендовал делать инвестиции в какие-либо технические решения.
3. Также ознакомьтесь со Статьей №31 Конституции Украины, обратите внимание, что Вы не сможете разделить «личное» от «служебного», посему Вам необходимо будет выработать четкую позицию в этом вопросе.
4. Предоставленный обьем информации недостаточен для конкретных предложений. А то чего не хватает, обычно на форумах не обсуждается.

Владимир, благодарю Вас за компетентное мнение по интересующему меня вопросу и за Ваши конструктивные замечания.

Интересно было бы узнать, каково Ваше мнение по DLP МакАфи?

Особого мнения о их продукте нет. Зная кого они пару лет назад купили для работы в данном направлении, то должно было получится неплохо.

Сама классификация системы, как «система DLP» не определяет точно набор реализованных функций. Пусть Ваши «спецы» разворачивают систему для тестирования и покажут, что она удовлетворяет вашим требованиям.

Если ваши требования предусматриваю также и морфологический анализ, то я также советую смотреть системы российских компаний.

Но, требования – первичны!

А что спецам разворачивать? Поправьте, если я не прав, но мало компаний, продающих DLP-системы, согласны разворачивать тестовые образцы бесплатно. Тот же макАфи за тестовую версю хотел денег, помнится.

Не знаю, как в этом плане проявляют себя серчинформ и вебсенс, о которых упоминается.

Владимир, позволю себе добавить немного по некоторым вашим пунктам:

по пункту 1: также уже имеет смысл рассматривать ISO 27001. В России планируется принятие ГОСТ Р ИСО/МЭК 27001 «МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ». Уверен, в Украине подобный ГОСТ не за горами. Но это, конечно, задел на будущее.

по пункту 3: почему бы это не прописать в договоре при приёме на работу? "Всё, что сделано на оборудовании компании и в рабочее время, является собственностью компании". С одной стороны получится, что мы не запрещаем всякие одноклассники и пр. социалки, но с другой стороны человек разрешает нам увидеть его "личную" информацию, так как технически она уже не "личная", а "служебная"

Насчет русского языка, то с ним хорошо дружит Websense, тем более можно выбирать, какие именно документы блокируются при отправке, а что мониторить. по идеи нужно контролировать именно критичные данные, а не все подряд, а то безопасникам будет не весело. задача стоит слежения сетевого трафика или за рабочими станциями?

откомментил ниже по ошибке. решил не дублировать.

Кстати, в комментах вебсенс тоже под раздачу попал. http://ukrbizsec.blogspot.com/2011/07/8-mcafee-dlp.html?showComment=1312...

Правда о работе продукта там не говорится, но с такой репутацией я бы подумал приобретать или нет. Ведь с такими продуктами важна техподдержка, а если фирму будут кидать из рук в руки, то на качестве оной это отразится не в лучшую сторону.

Здравствуйте!
Пользуемся сами программой для контроля уже 2 года. Выбирали из нескольких. Тестировали по 3 недели.
В итоге остановились на программе Стахановец. Она уже вроде позиционирует себя как DLP. Обновляются часто, цена приемлемая, делают скидки при больших покупках, производитель из Украины. Функционал огромен. Вообщем, не рекламирую, просто гляньте, если интересны такого рода продукты. Хотя бы для сравнения будет полезно.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT