Некоторые мысли о DLP:
Забавные мысли (про наличие лицензии):
Многие производители сертифицируют (сертификат ФСТЭК
разумеется) свои продукты.
Сертифицируют, версию 3.0 например, а продают 4.0 и так
далее.
Понятно, что это маркетинговый ход и элемент
конкурентоспособности, но еще более меня забавляет факт, что многие еще и
говорят, что это средство защиты персональных данных.
То есть, закон №152 признан защищать свободы граждан
(конституция РФ), DLP система, которая эти свободы в явном виде принижает (хоть
какие согласия Вы возьмете), пытается претендовать на системы защиты
персональных данных.
Некоторые основные выводы, которые оформились для меня:
1. Пора уже вводить внутреннюю классификацию DLP
даже при продажах. Мне вот, например, интереснее системы контроля сотрудников и
расследования инцидентов.
Функции блокировки по каким-либо протоколам
меня не интересует.
Объясню: не видел ни одну организацию, где
бы четко знали, что блокировать, где были бы разработаны политики, критерии
отбора...
Да, пусть у вас будет перечень КИ, Вы все равно
не узнаете относится ли данный эксель файл к КИ или нет.
Для четких политик нужно пыхтеть года два и
толковым людям...
А каковы реалии современных организаций?
Один, два человека, которые отвечают за все…
Вывод: в этом плане логичнее выстраивать
систему расследования инцидентов (безусловно, политики нужно будет
разрабатывать и здесь и четко понимать для чего Вам это), но по крайней мере Вы
не будете тормозить работу своими блокировками и попытками обмануть сами себя.
Наперерез здесь обычно говорят. Что-то
типа, а вот информация уйдет и вы это априори узнаете постфактум, а при помощи
блокировки предотвратите заранее. Повторюсь, вряд ли Вы сможете настроить
блокировку столь идеально это раз, если Вы и знаете конкретно что, то вопрос, а
нужно ли было для этого DLP, у Вас в организации сплошь все неумехи, которые по
незнанию могут выслать важный файл или инсайдеры?
2 Момент обслуживания.
Выбранная DLP-системы должна быть такова, чтобы далее Вы могли разворачивать, обслуживать, решать проблемы с ней самостоятельно. Причем, под самостоятельно я подразумеваю – силами Заказчика без обращения в службу ИТ!
Выбранная DLP-системы должна быть такова, чтобы далее Вы могли разворачивать, обслуживать, решать проблемы с ней самостоятельно. Причем, под самостоятельно я подразумеваю – силами Заказчика без обращения в службу ИТ!
То есть если интерфейс настолько сложен, да
еще и для функционирования нужна ось линукс, то это, на мой взгляд,
сомнительное удовольствие.
А DLP система, которая может использовать бесплатную СУБД уже в
лидерах по сравнению с той, для которой нужно только SQL или Oracle.
Вывод: Цель такова, чтобы инструмент данный
был именно в руках службы ИБ или специалиста по ИБ и чтобы расходы на
дальнейшее использование были минимальны.
И маленький подтекст - если уж организация решила, что им позарез нужна DLP-система, то выбирайте не самую дорогую систему и считайте стоимость владения и доп расходы, хотя бы на три года вперед.
И маленький подтекст - если уж организация решила, что им позарез нужна DLP-система, то выбирайте не самую дорогую систему и считайте стоимость владения и доп расходы, хотя бы на три года вперед.
3 Момент допрасходов (о нем я уже писал, но
повторюсь).
Как Вы понимаете для Вашей DLP нужна будет СУБД.
Как Вы понимаете для Вашей DLP нужна будет СУБД.
Узнайте, какие СУБД нужны, куплены ли они у
Вас, использует ли система бесплатные аналоги. Конечно, мелочь, но приятно.
Сколько будет стоить обновление Вашего ПО
(или аналог обновления). Мб Вы сэкономите при покупке миллион рублей, а потом в
первый же год обновление Вам обойдется в сумму, равное сумме первоначального
закупа.
Такой же совет по техподдержки (то есть чем
больше Вы возьмете на себя, тем лучше).
4 Момент лицензии ФСТЭК.
Это уж на Ваш выбор. ПО большому счету
будет ли у Вас система Ваша DLP обеспечивать гласную защиту? И о данном пункте –
указано в начале поста.
5 Мелкий момент (совет). Между выбором реализации
по порту зеркалирования или при помощи агентов – выбирайте при помощи агентов.
И, конечно, с возможностью OCR.
Ну и не в качестве рекламы никакой (основные
моменты).
Как-то на листок выписывал себе DLP-системы - где-то 30 штук получилось. Некоторые из них посмотрел - необходима доработка.
Инфовотч - не понимаю столь высокую стоимость, и высокую стоимость обслуживания. Также не подходит по пункту 1. Тяжел,сложен, дорог в обслуживании, трудный интерфейс. Основной акцент именно на блокировку.
СеарчИнформ - по стоимости столь высокой также не понимаю этот продукт, но мало того, что по стоимости соизмерим с Инфовотч, так еще и готов падает при торгам на 50 и более процентов. Много разных модулей (и экзешников), вызывают вопросы и говорит о том, что модули разной степени проработки.
Как-то на листок выписывал себе DLP-системы - где-то 30 штук получилось. Некоторые из них посмотрел - необходима доработка.
Инфовотч - не понимаю столь высокую стоимость, и высокую стоимость обслуживания. Также не подходит по пункту 1. Тяжел,сложен, дорог в обслуживании, трудный интерфейс. Основной акцент именно на блокировку.
СеарчИнформ - по стоимости столь высокой также не понимаю этот продукт, но мало того, что по стоимости соизмерим с Инфовотч, так еще и готов падает при торгам на 50 и более процентов. Много разных модулей (и экзешников), вызывают вопросы и говорит о том, что модули разной степени проработки.
Каждый раз обещают свести все в единый
экзешник и консоль, но из последнего только способность записывать микрофоны
приходит на ум.
Вебсенс - в общем-то, приятный продукт.
Сможете разворачивать и поддерживать его сами. Стоимость ниже, чем предыдущие
два, но зато ежегодная подписка может Вам стоить значительных денег. До конца
лично не проверил тот момент, хранится ли в архиве только информация,
отобранная по политикам или все-таки вся, а уже в ней идет отбор по политикам.
Ну и как все иностранные DLP делают акцент
на блокировку, а не на тотальный контроль для расследований, поэтому данный
продукт также не рассматриваю.
В общем, на данный момент у меня в лидерах SecureTower и Макафи.
Макафи стоимость нравится, но,особенно, привлекательная функция меток на документах.
SecureTower - система расследования инцидентов и контроля пользователей, поддержка бесплатных СУБД и продвижение в данном векторе, возможность поддержки и функционирования данной системы самостоятельно.
Все больше вижу удобств SecureTower и
решаю при помощи нее (системы) различные интересные задачи.
Комментариев нет:
Отправить комментарий