Что такое dlp программа

DLP-системы (Data Leakage Prevention) давно используются не только для защиты от утечек данных. Экспансивное развитие технологий сменилось интенсивным. DLP начали расти вглубь, улучшая качество анализа и перехвата контента. Благодаря этому данные из DLP становятся бесценны для принятия любых управленческих решений. Это позволяет превратить информационную безопасность в сервис для других подразделений компании — от HR до экономической безопасности

6355 просмотров
Зачем бизнесу данные из DLP, кроме обеспечения кибербезопасности? InfoWatch

Зачем анализировать данные

Первая задача, которую призван решить анализ данных, – это предотвращение утечек. Без технологий анализа утечки тоже можно предотвращать, но придётся применять слишком много административных мер и по сути всем всё запретить (это способы низкобюджетной безопасности, мы писали о них здесь). Если компания достаточно большая, это может навредить бизнес-процессам. Мы этого не хотим! Поэтому нужно блокировать данные избирательно, а выбирать, что блокировать и для какого пользователя, помогают технологии анализа.

Краткий обзор на DLP-систему «СёрчИнформ КИБ»

Вторая задача – разметка перехваченного архива. Архив перехвата без разметки – это большая куча данных, работать с которой можно только с помощью полнотекстового поиска, но и он не всегда помогает. Яркий пример – это нормальная форма в текстовых объектах InfoWatch Traffic Monitor. Например, у вас есть номер кредитной карты из 16 цифр.

Этот номер в переписке может быть записан в любом формате: все цифры слитно, группы по 4 цифры с различными разделителями и т.д. Полнотекстовым поиском в архиве перехвата такой номер карты найти практически невозможно. Но тут на помощь приходит нормальная форма. В Traffic Monitor есть текстовый объект «Кредитная карта», который отлавливает кредитки вне зависимости от форматирования.

После чего выделяет нормальную форму, снимая любое форматирование. Нормальная форма сохраняется в базе данных (БД) с привязкой к перехваченному объекту. Далее при поиске номер карты можно задать в любом формате, от неё также будет получена нормальная форма и уже по ней будет произведён поиск.

Анализ цепочек событий

Ещё одно применение разметки архива событий – это анализ цепочек событий. На основе такого анализа появляются продукты класса UBA (User Behavior Analytics), например, InfoWatch Prediction. Они анализируют поведение пользователя – тот набор событий в информационной среде, который пользователь генерирует.

Хорошо размеченные события показывают, что же на самом деле делает пользователь: от нарушения различных политик безопасности до анализа обычных жизненных ситуаций. Отправка резюме, посещение сайта поиска работы или сайта оценки работодателей – система выстраивает подобные события в цепочку и помогает понять, есть ли вероятность увольнения.

А, может быть, кто-то из сотрудников аффилирован с компанией-подрядчиком? InfoWatch Prediction умеет выявлять и такие риски. Как это работает? Можно искать аномалии в поведении, направленные аномалии – такие, как аномальное количество скопированных файлов, говорящее о накоплении информации для будущего слива.

Часть 1. DLP: понятие, актуальность, типы, принципы функционирования

Можно отслеживать цепочки событий, применять Machine Learning и прогнозировать риски, можно искать сбои и «затыки» в бизнес-процессах и вовремя корректировать их с пользой для бизнеса. InfoWatch Prediction сейчас развивается в этом направлении.

Какие данные бывают в компании

В современном мире очень много способов представить данные. Это оправдано и помогает улучшать качество программных продуктов. Например, архивы помогают сэкономить время пересылки и место для хранения информации. Офисные форматы хранят текст, изображения, разметку текста и другую метаинформацию в одном файле.

Быстро к этой информации доступ получить затруднительно, нужно знать формат хранения данных. А ИБ – это область быстрого реагирования. Поэтому в DLP-системе существует богатый набор экстракторов. Их задача получить примитивы информации из всех поддерживаемых в компании форматов (текст, изображения, векторная графика и др.).

Разумеется, текст – самый простой и удобный для анализа примитив информации. Даже изображения DLP-системы стараются привести к тексту с помощью технологии OCR (Optical Character Recognition). С изображениями работают современные методы computer vision, в т.ч. нейронные сети, которые уже могут много «рассказать» об изображении. Надеемся, в будущем технологии разовьются до такой степени, что можно будет получить полнотекстовое описание изображения (такие наработки есть уже сейчас). Не так давно из разряда бинарных в отдельный примитив информации перешли векторные изображения, т.к. мы научились их анализировать как структурированные данные.

Анализировать данные можно в трёх направлениях: смысловом, формальном и содержательном. Для смыслового поиска информации обычно используется классификатор. Данный подход позволяет при утечке из перехваченной информации извлечь тематику, не имея точного образца для поиска.

При формальном анализе интересует в первую очередь то, как информация оформлена, и уже во вторую, чем она является. Яркий пример такого анализа – регулярные выражения. А вот поиском по образцу как раз и занимаются содержательные виды анализа. Для их работы необходимо иметь эталон или несколько эталонов, с которыми и сравнивается анализируемая информация.

Какие есть технологии анализа

Классификация может быть применена к данным с признаками, по которым мы можем определять некие группы или тематики данных. Довольно долго классификация не применялась к изображениям, но computer vision и увеличение вычислительных мощностей позволили классифицировать и этот вид данных.

Вообще, основные критерии при создании технологий – это, конечно, максимум качества за минимум времени работы. При анализе данных «на лету» важно делать это быстро, иначе ИБ-специалист узнает о нарушении слишком поздно. DLP-система перехватывает миллионы событий ежедневно. Задержки при анализе такого огромного количества перехваченных объектов могут быть критичны для бизнеса. В нашей практике были случаи, когда в ходе пилотного внедрения DLP прямо на одной из встреч с заказчиком специалист по безопасности получил уведомление об утечке критичных данных и буквально сорвался с места, чтобы заняться этим инцидентом.

Для работы классификатора необходима обучающая коллекция. Это должна быть размеченная коллекция, т.е. каждый документ в ней должен быть отнесён к одному из представленных классов. Самая простая аналогия – это директории с документами на жёстком диске.

Далее из представленных документов выделяются признаки (ключевые точки для изображений и термины для текстов), которые с привязкой к категориям отправляются в математическое ядро, а оно обучается на их основе. После того, как классификатор обучен, в него можно подавать документы. Процесс анализа схож с обучением.

После перехвата из документа извлекаются признаки и подаются в математическое ядро для классификации, в результате работы классификатор возвращает принадлежность анализируемых данных к одной или нескольким категориям. Заранее настроить классификатор для любой компании чаще всего не представляется возможным. Даже одна и та же тематика у компаний, работающих на одном рынке, может выражаться разными наборами терминов. Поэтому при установке DLP производится тонкая настройка классификаторов для повышения качества их работы. В процессе эксплуатации необходимо так же понадобится донастройка классификаторов, т.к. меняются категории или их признаки.

Например, при настройке DLP в отделе кадров было старое, «больное» МФУ. Категория «Паспорт РФ» была дообучена на сканах с этого МФУ. Через полгода в отделе кадров появилось новое модное МФУ с очень высоким качеством сканирования.

С его сканов стали снимать больше ключевых точек, плюс перераспределились старые, а также не стало царапин на стекле сканера, которые давали ключевые точки. В такой ситуации качество классификации упадет, хотя и не критично. Однако этому можно противостоять, дообучив классификатор – предъявив ему новые примеры отсканированных паспортов.

Кроме изображений мы классифицируем и тексты. Для классификации текстов можно использовать много подходов из машинного обучения, InfoWatch использует два: косинусную меру (т.н. БКФ — База Контентной Фильтрации) и логистическую регрессию, с применением которой у нас скоро выйдет очередной релиз. Для текста признаками являются слова.

Слова практически в любом языке имеют формы, при этом конечный смысл текста, в котором эти формы используются, меняется не радикально. Поэтому, в наших классификаторах используется морфология слова. Мы используем морфологические словари для нескольких языков (сейчас их 18), приводя все слова к нормальной форме, что помогает повысить качество классификации. Для тех языков, для которых у нас нет словарей, классификаторы работают на точное совпадение. Для поднятия точности есть еще технология исправления опечаток, которая выделенные слова сравнивает с известными терминами и может исправить одну опечатку.

Для формального анализа используются регулярные выражения, в Traffic Monitor они представлены в технологии текстовые объекты.

Источник: vc.ru

Что такое DLP-система. Объясняем простыми словами

DLP-система (Data Leak/Loss Prevention) — технология предотвращения утечек конфиденциальной информации из компании во внешний мир (и технические устройства для осуществления этой задачи). Кроме того, эти системы способны следить за дисциплиной сотрудников.

DLP-системы анализируют потоки данных, пересекающих периметр защищаемой информационной системы. Если в потоке обнаруживается конфиденциальная информация, срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Под контролем DLP-системы находятся все каналы передачи информации: почта, флешки, корпоративные мессенджеры, облака и другие. DLP-системы должны не только предотвратить утечку, но и увидеть, если кто-то в компании затевает откатную схему, плетёт интриги, организует боковой бизнес и т. д.

Пример употребления на «Секрете»

«Мы также отслеживаем посещение сайтов с вакансиями и размещение резюме с помощью собственной DLP-системы. Если это не сотрудник кадровой службы, активность на сайтах по поиску работы приводит к однозначным выводам. Кроме того, система может зарегистрировать отправку резюме по почте и переписку по теме поиска работы в Skype, мессенджерах и социальных сетях».

(Председатель совета директоров компании SearchInform Лев Матвеев — о способах предотвратить увольнение сотрудников.)

Нюансы

Главным образом DLP-системы контролируют и предотвращают утечки данных. Однако они способны не только на это. Например, DLP-системы могут помочь вычислить сотрудников с долгами. По мнению генерального директора компании SearchInform Сергея Ожегова, должники могут стать добычей конкурентов. Эти сотрудники попадают в группу риска, ведь им могут пообещать помочь с долгами в обмен на конфиденциальную информацию работодателя.

«DLP-системы фильтруют переписку работников на предмет опасных слов и словосочетаний: «нет денег», «просроченная оплата», «проценты», «долги», «штраф», «ипотека», «кредит», «санкции банка» и т. д. За теми, кто находится в группе риска, нужно установить самый тщательный контроль», — рассказал «Секрету» эксперт.

В России и за рубежом к использованию DLP-систем подходят по-разному, рассказал «Секрету» руководитель практики информационной безопасности компании Accenture в России Андрей Тимошенко. В России DLP осуществляет контроль за сотрудниками, мониторинг и сбор данных об их действиях.

«Такие системы часто уведомляют о произошедшем инциденте утечки, — говорит эксперт. — Международный подход нацелен на то, чтобы предотвратить утечку с помощью умных алгоритмов. Они выявляют и перехватывают письма с коммерческой тайной до того, как те попадут в личную почту сотрудника или на условный «Яндекс.Диск» или Dropbox».

Практика

По закону у работодателя есть право контролировать сотрудников. Область применения систем контроля жёстко регламентируется Трудовым кодексом. Контролирующее программное обеспечение может стоять только на корпоративных устройствах. Чтобы DLP-системы в компании работали законно, нужно соответствующим образом оформить трудовой договор, должностную инструкцию, подписать с сотрудником соглашение о контроле. В трудовом договоре должно быть условие о неразглашении тайны — служебной, коммерческой или той, что продиктует специфика бизнеса.

Критика

Недостаток DLP-систем — невозможность установить программу на мобильные телефоны сотрудников и их личные компьютеры. Коммерческая тайна может утечь через этот канал.

«Человек, работающий на MacBook, — самая простая мишень, — рассказывал представитель Softline Михаил Лисневский. — И дело даже не в том, что Mac не обладает должным уровнем защищённости. Подавляющее большинство организаций используют технологии под Microsoft, в которые платформа Apple «не вписывается». Очевидные примеры — корпоративный антивирус или система DLP, которые будут установлены на все корпоративные компьютеры под управлением Windows, но не встанут на личный MacBook сотрудника».

Факт

Неочевидные способы использования DLP-системы:

• Анализ загруженности персонала

Многие DLP-системы способны вести учёт рабочего времени сотрудников. Рабочий процесс каждого пользователя можно представить в виде статистики, которая позволяет проанализировать, насколько сотрудник вовлечён в трудовой процесс.

• Обеспечение юридической поддержки

Задача DLP состоит не только в том, чтобы предотвратить утечки, но ещё и при наличии судебного разбирательства предоставить доказательства злоумышленной деятельности.

• DLP как инструмент мотивации

Когда сотрудники осознают, что их трудовая деятельность находится под мониторингом, появляется большая ответственность за рабочий процесс. И это, в свою очередь, приводит к улучшению климата в коллективе.

• DLP как хранилище

DLP-технология гарантирует сохранность всей информации, поскольку содержит в своём архиве все коммуникации сотрудников, к которым в случае необходимости можно будет обратиться.

Источник: secretmag.ru

[Anti-Malware] Как выбрать лучшую DLP-систему?

За последние годы рынок DLP-систем активно менялся, вендоры находили для себя новые вызовы, и каждый при этом определял направление развития по-своему. В результате сегодня в данном классе представлено много конкурентоспособных решений без возможности выделить из них универсального лидера. В статье мы попробуем обозначить круг возможных потребностей и рассмотрим для каждой ситуации наиболее интересные реализации.

1. Введение
2. Критерии выбора DLP-системы

1. 2.1. Для чего вы планируете использовать DLP, и кто может использовать ее вместе с вами?
2. 2.2. Есть ли у вас человеческие ресурсы? Какими навыками обладают специалисты?
3. 2.3. Какие каналы вам необходимо контролировать?
4. 2.4. Готовы ли вы блокировать передачу информации?
5. 2.5. Насколько вы знаете бизнес-процессы в организации?
6. 2.6. В каком виде вы планируете предоставлять и получать информацию?
7. 2.7. Вам нужна максимальная функциональность или задачу можно решить специализированным решением?
8. 2.8. Потребуется ли доработка под ваши задачи?

Введение

Казалось бы, выбрать должно быть просто. Что делает хорошая DLP-система? Контролирует все каналы передачи данных, эффективно выявляет угрозы утечки конфиденциальных данных, стабильно работает и не прерывает бизнес-процессов.

Что можно сделать, чтобы выбрать лучшую для потребностей конкретной компании?

• Составить (или найти) огромную таблицу сравнения и разобраться с каналами;
• Почитать рекламные материалы и убедиться в эффективности;
• Почитать отзывы, статьи, спросить коллег и оценить стабильность работы.

Но остаются вопросы:

• Используете ли вы все каналы передачи данных?
• Нужно ли вам прерывать процесс передачи? Закрыть канал полностью или детектировать именно конфиденциальные данные?
• Как вам определять наличие риска? Анализировать информацию? Или пользователя? Или обстоятельства произошедшего?
• Не окажется ли, что именно ваши активы имеют нестандартную структуру и плохо детектируются, а именно ваш софт конфликтует с программным обеспечением вендора?

Так еще и выясняется, что во многие DLP-системы уже включены:

• Функциональность контроля эффективности сотрудников. Информация об активных приложениях, посещенных сайтах, кейлоггер, запись видео экрана — все это действительно полезно и для предотвращения утечек! Подобным опытом поделимся в отдельной статье.
• Функциональность User Behavior Analytics (UBA). Анализ поведения сотрудников и выявление аномальных действий — компактная версия крайне популярных сегодня комплексов. Да, количество доступных источников данных здесь меньше и это сказывается на функциональности, но применительно именно к задаче контроля конфиденциальных данных работает отлично.

«На бумаге» сравнить качество реализации подобных инструментов уже значительно сложнее. Получается, большинство вопросов можно снять только одним способом: провести пилотный проект. Но решений много, а кадровых ресурсов мало. Даже пара небольших бесплатных проектов в конечном итоге может обойтись довольно дорого. А небольшими они будут, только если заранее четко представить, что именно необходимо протестировать.

А значит, ключевая задача — выделить для тестирования одно-два решения, где реализованы наиболее интересные функции.

Об этом и будем вести речь далее.

Критерии выбора DLP-системы

Для начала рассмотрим наиболее универсальные способы.

Самые продаваемые. Парадокс, но они же самые дорогие. Явные «лидеры рынка», собравшие в себе «всё лучшее, что на данный момент известно».

Однако многие особенности не могут быть объективно плохими или хорошими. Например:

• Система не может собирать всю возможную информацию и при этом не быть требовательной к ресурсам.
• Система не может с высокой точностью определять факты утечки и не требовать детального описания ваших активов.
• Система не может прерывать рисковые процессы и при этом не создавать риска для бизнеса.

Таким образом, даже если мы имеем дело с «лидером рынка», не факт, что вам понравится то, какой выбор когда-то для себя сделали его разработчики.

Самые мощные. Система предотвращает утечку данных по различным каналам, значит, чем больше каналов — тем мощнее.

Однако, как уже обозначалось выше, каналы это еще далеко не всё.

Первый раз мы выбирали систему именно по этому принципу. В процессе тестирования оказалось, что это четыре не интегрированных между собой продукта одного вендора. При этом на обслуживание каждого нужно по два человека на постоянной основе. Это, конечно, преувеличение для большей наглядности.

Самые рекомендуемые. Нужно определиться с источником рекомендаций — квадрант Gartner, например. Правый верхний угол: Forcepoint и Symantec. Системы действительно мощные и авторитетные. Но почему именно они? Потому что это западный рынок, и наши игроки на нём пока не популярны.

На приведенные выше системы приходится по 66 и 69 review (исследования, на основе которых дается оценка) соответственно. На всех «наших» вместе взятых менее десяти.

Рисунок 1. Gartner Magic Quadrant for Enterprise Data Loss Prevention

Попробуем представить более индивидуальные критерии выбора.

Первым делом сформулируем потребности. Предлагаем несколько вопросов для самоконтроля. Ответив на каждый из них, вы сможете оценить, что из нескольких одновременно недостижимых вариантов вам больше подходит.

После этого рассмотрим варианты реализации. Данная информация является лишь нашей рекомендацией и основана на субъективном опыте работы с системами. Упоминание вендора в конкретном контексте не означает, что в продуктах конкурентов таких возможностей нет, как и то, что указанная система может работать только так, как написано здесь. Приводится лишь наиболее удачная на наш взгляд реализация конкретной особенности.

Для чего вы планируете использовать DLP, и кто может использовать её вместе с Вами?

Все, конечно, понимают, что DLP — это инструмент для обеспечения информационной безопасности. Но некоторые, возможно, удивятся, как много еще найдется подразделений, заинтересованных в информации из DLP-архива. Стоит ли спрашивать, нужна ли службе экономической безопасности информация о взаимодействиях с контрагентами (реализовано в InfoWatch, Ростелеком-Solar)?

Будет ли интересна службе внутренней безопасности информация об определенных пристрастиях среди работников (есть в SearchInform, «Гарда Технологии»)? Да, возможно, вы работаете в небольшой организации и все перечисленные выше — это вы сами. Но от этого подобная информация не теряет актуальность.

Не исключено, что контролем некоторых процессов заинтересуется непосредственно руководство компании. Выберите симпатичную систему с дружелюбным интерфейсом (например, Ростелеком-Solar, «Гарда Технологии») и покажите, как за пять минут оценить оперативную обстановку(Ростелеком-Solar, «Гарда Технологии», InfoWatch). Здесь же очень могут пригодиться возможности по получению информации об эффективности работы сотрудников (как в SearchInform, InfoWatch, «Гарда Технологии», Zecurion), а если нет — им всегда будет рад департамент HR. И это еще не полный перечень вариантов использования.

Рисунок 2. Рабочий стол аналитика в Solar Dozor

Рисунок 3. Дашборд — «Гарда Предприятие»

Рисунок 4. Отчет по активности пользователей — КИБ SearchInform

Как подключить коллег, всегда остается на ваше усмотрение: можете предоставить ограниченный доступ, можете сами выгружать информацию по запросу либо настроить регулярную отправку данных. Суть в том, что с большим количеством вариантов использования будет гораздо проще окупить затраты на такую довольно-таки дорогую «игрушку».

Есть ли у вас человеческие ресурсы? Какими навыками обладают специалисты?

Некоторые системы требуют минимум участия в их повседневной работе (Forcepoint, Symantec). Но будьте готовы, что из коробки всё не «взлетит». Вам потребуются довольно дорогие специалисты для настройки политик. Очень много их времени придется задействовать на старте, но и это еще не всё: регулярно (по крайней мере, раз в квартал) будьте готовы снова подключать их для актуализации имеющихся правил контроля. Примерно за год, а в некоторых компаниях и гораздо быстрее, бизнес-процессы изменятся так, что DLP либо начнет ловить воздух, либо погребет вас под волной неинформативных уведомлений.

Обратная ситуация — «ловим всё, разбираемся после» (SearchInform, «Гарда Технологии»). Можете сэкономить время (и деньги) на настройке, но будьте готовы раскапывать ключевую информацию в потоке плохо структурированных данных (не потому что эти системы плохие, а потому что мы сэкономили на настройке). Плюсуйте в штат по одному человеку на каждую 1000 сотрудников на контроле и считайте. Кому-то так выйдет даже дешевле, чем всё досконально настраивать.

Возможен и промежуточный вариант (InfoWatch, Ростелеком-Solar). Потратили время, настроили — дальше потихоньку разбираем. Понемногу где-то подкручиваем, оптимизируем временные затраты автоматизацией.

Если принято решение, что для постоянной работы с системой нужно больше одного человека, можно обратить внимание на то, как в DLP построен процесс взаимодействия между аналитиками, насколько удобно будет взаимодействовать между собой (Ростелеком-Solar) и насколько каждый из них сможет настроить систему под свои задачи («Гарда Технологии»).

Какие каналы вам необходимо контролировать?

Какие каналы действительно использует бизнес? Какие из них будет небезопасно использовать даже при наличии DLP? Можно ли от чего-то отказаться? Например, возможность контроля ICQ в DLP это хорошо. Но если в вашей организации общаются с клиентами только в Skype, не логичнее ли будет заблокировать запуск всех посторонних мессенджеров («Гарда Технологии», Ростелеком-Solar)?

Готовы ли вы блокировать передачу информации?

Возможностями по блокированию потенциально критичных действий DLP-системы различаются очень сильно. Разберемся, какие именно процессы мы хотим прерывать: не позволять записывать информацию на съемный носитель (Zecurion, DeviceLock), приостанавливать отправку писем или модифицировать их контент (Forcepoint, Ростелеком-Solar), не давать загружать файлы на внешние ресурсы включая web-почту, мессенджеры, файлообменники и облачные сервисы (Ростелеком-Solar, InfoWatch), контролировать отправку данных на печать (Ростелеком-Solar, InfoWatch).

Не менее интересный вопрос — хотите ли вы полностью заблокировать канал передачи данных (SearchInform, InfoWatch) или попробуете запрещать только факты отправки именно конфиденциальных данных (Forcepoint,Ростелеком-Solar). Как будете определять конфиденциальные данные: при помощи контентного анализа (Forcepoint, Ростелеком-Solar) или организуете процесс регулярной маркировки всего ценного, чтобы не заблокировать случайно лишнего (Forcepoint, «Гарда Технологии», Safetica).

Насколько Вы знаете бизнес-процессы в организации?

Ряд сложных вопросов: «Какие у вашей организации есть ценные активы?», «Где они хранятся?», «Кто, кому и по каким каналам их передает?» Если не уверены, что всё это знаете идеально, у вас, тем не менее, два выхода:

Провести аудит. Скорее всего, привлечь специалистов со стороны и долго с пристрастием опрашивать Бизнес на тему, где, что и для каких целей у них припасено. Собирать образцы активов вперемешку с абстрактными описаниями «файликов с большим количеством цифр». Только после этого возвращаться к процессу написания политик контроля.

Внедрять систему, собирающую много данных и имеющую возможность «прошерстить» уже собранную информацию на соответствие только что придуманным политикам (SearchInform, «Гарда Технологии», Ростелеком-Solar). Анализировать, сравнивать, строить графики и только потом переходить к автоматизации и блокировке.

В каком виде вы планируете предоставлять и получать информацию?

Предлагаем подумать об отчётах. Нужно ли будет выгружать «доказательную базу» (SearchInform, Zecurion)? Или потребуется наглядная статистика (InfoWatch, «Гарда Технологии»)?

Рисунок 5. Сводка по компании — InfoWatch Vision

Рисунок 6. Визуализация перемещения информации — «Гарда Предприятие»

Будете ли анализировать нагрузку на своих сотрудников (Ростелеком-Solar)?

Рисунок 7. Статистика по офицерам информационной безопасности в Solar Dozor

Вам нужна максимальная функциональность

. Или задачу можно решить специализированным решением?

Возможно, при помощи DLP нужно решить какую-то локальную задачу? Например, контролировать съемные носители (Zecurion, DeviceLock). Не исключено, что у нас совсем немного информационных систем и можно настроить контроль для всех документов, которые из них выгружаются (Safetica). Либо акцент в контроле все-таки смещен не в сторону конфиденциальных данных, а в сторону непосредственно сотрудников (контроль сотрудников с примесью DLP — Staffcop, «Стахановец»).

Потребуется ли доработка под ваши задачи?

Возможно, вам потребуется реализовать в системе что-то нестандартное? Как правило, разработчики всегда приветствуют интересные идеи для возможной реализации в системе. Но совсем другое дело, если идея им интересной не покажется.

Например, Ростелеком-Solar ревностно следит, чтобы не отклоняться от основной концепции (и это действительно гармоничный продукт!), но если вы не вписываетесь — сожалеем. InfoWatch в той же ситуацииреализует ваш каприз за ваши же деньги. А «Гарда Технологии» делают довольно молодой продукт и очень легки на подъем. Договориться с ними будет проще.

Вопросы стабильности, быстродействия, качества поддержки и прочие в данном случае оставим за скобками. Всё это можно и нужно будет попробовать лично.

Выводы

Так как во многих случаях одна и та же функциональность для разных задач может стать как преимуществом, так и недостатком, в одном решении объединить все лучшие качества невозможно. Рекомендуем начать выбор системы с определения собственных целей и возможностей. Воспользуйтесь нашей методикой или сформулируйте их на базе собственного опыта.

Выберите решения, где уделяется внимание именно вашим интересам, и попробуйте их на пилотном внедрении. Понимая, что ищете, вы оперативно проведете тестирование и не потратите время и деньги на временные задачи. А проверив систему в собственной инфраструктуре, вы, наконец, сможете дать ответ на вопрос, какая DLP-система для вас самая лучшая.

Николай Постнов

Руководитель направления Infosecurity в Softline

Источник: gardatech.ru