Контакты
Подписка 2024
Статьи по информационной безопасности

Импортозамещение систем защиты от утечек информации: зачем и как?

Анна Попова, 10/08/22

Утечки конфиденциальной информации из организаций происходят как в результате внешних атак, так и по вине внутренних злоумышленников. Защититься от кражи данных можно с помощью системы предотвращения утечек информации (DLP), которая на сегодняшний день является обязательным инструментом в арсенале обеспечения информационной безопасности компаний уровня enterprise и SMB. В этой статье я расскажу, как выбрать эффективное решение, которое будет соответствовать всем критериям импортозамещения.

Автор: Анна Попова, руководитель департамента клиентского сервиса “РТК-Солар”

Почему надо реагировать на изменения?

В этом году импортозамещение в ИТ-отрасли стало обязательным. Зарубежные вендоры уходят из России, DLP-системы, содержащие иностранные компоненты или функционирующие только на базе западных ОС, создают трудности заказчикам.

Российские DLP-системы давно доминируют на отечественном рынке: большинство организаций, которые хотят защититься от внутренних утечек информации, выбирают именно их. В России распространены и зарубежные решения, но теперь их клиенты столкнулись или могут столкнуться в ближайшее время с рядом проблем: отсутствием техподдержки, прекращением выпуска обновлений, в худшем случае – отзывом лицензий.

Обновления исправляют ошибки в ПО и решают проблемы с безопасностью, добавляют новые функции, поддержку новых объектов для мониторинга. В отсутствие всего этого DLP-система зачастую оказывается неспособной решать задачи, связанные с предотвращением утечек. То же самое касается и технической поддержки, которую обеспечивает вендор. В случае со сложными корпоративными системами без нее не обойтись, особенно когда происходят изменения в ИТ-инфраструктуре или открываются новые филиалы и требуется масштабировать DLP-решение.

В условиях санкций могут возникнуть проблемы и с некоторыми российскими системами, например, если серверная часть, базы данных или отдельные модули работают только с компонентами Windows. Так как Microsoft приостановила продажи новых лицензий в России, решить те или иные задачи, связанные с защитой от утечек при изменениях в ИТ-инфраструктуре, будет непросто.

Добавим сюда и сегодняшний эмоциональный фон сотрудников, который напрямую сказывается на количестве внутренних инцидентов. Если компания хочет избежать утечек информации, связанных с действиями собственных работников, а также финансовых и репутационных издержек, нужно уже сегодня внедрять отечественную DLP-систему.

Законодательная база импортозамещения и реестр отечественного ПО

История с импортозамещением не новая. Она началась в 2014 г., когда правительством был объявлен соответствующий курс. Впоследствии были разработаны нормативные акты, регулирующие этот процесс. В частности, были утверждены правила Единого реестра российских программ, появился план перехода на отечественное ПО, введены ограничения для государственных заказчиков на закупку ПО, которое отсутствует в реестре.

Чтобы попасть в Единый реестр российского ПО, софт должен отвечать ряду следующих требований:

  • быть разработанным российским юрлицом с российским контролем (более 50%);
  • иметь полные исходные коды в России;
  • иметь локальную инфраструктуру в России;
  • иметь локальных специалистов технической поддержки;
  • осуществлять контроль закладок, утечек данных, устойчивости ко взлому;
  • реализовывать доработки и проходить сертификацию продуктов по требованиям ФСТЭК, ФСБ и т.д.

В связи с новыми геополитическими реалиями 2022 г. тренд на импортозамещение стал еще более актуальным. В марте президент РФ подписал указ "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации", который вводит запрет на закупку иностранного ПО и услуг по использованию такого ПО на значимых объектах критической информационной инфраструктуры РФ без согласования с уполномоченным органом. Среди прочего в нем говорится о том, что с 2025 г. органам государственной власти и другим заказчикам будет запрещено использовать иностранное ПО на принадлежащих им значимых объектах КИИ.

Таким образом, заменять систему защиты от утечек на ту, которая соответствует критериям импортозамещения, нужно не только для того, чтобы обеспечить полноценный мониторинг сотрудников, но и для того, чтобы выполнить требования государственных регуляторов.

Правильная DLP-система

Какими же характеристиками должна обладать система предотвращения утечек с учетом всех нынешних факторов?

Контроль максимального количества каналов коммуникаций

В условиях повышенных киберрисков важно, чтобы система защиты от утечек могла контролировать не только корпоративную электронную почту, но и мессенджеры, которыми сотрудники пользуются на рабочем компьютере.

Реальное предотвращение утечек, а не только мониторинг и расследование инцидентов

В современных условиях принципиально, чтобы DLP-система при срабатывании той или иной политики могла автоматически заблокировать нарушение и остановить возможную утечку.

Широкие возможности поиска информации

Наличие в системе функций быстрого и расширенного поиска по множеству параметров обеспечивает специалисту по безопасности возможность оперативно и эффективно решать текущие задачи мониторинга событий и реагирования на них.

Визуализация динамики нарушений

Такой функционал системы защиты от утечек особенно важен, когда речь идет о крупной компании. Просмотреть и проанализировать трафик в большой организации – довольно сложная задача. Поэтому если система может предоставлять данные в визуальном формате, то сотруднику службы безопасности будет доступна наглядная информация в различных разрезах: по подразделениям, сотрудникам, каналам, дням недели, времени суток и т.д. Таким образом, он сможет быстро оценить динамику тех или иных событий, сделать выводы и при необходимости оперативно перестроить какие-либо бизнес-процессы.

Контроль рабочего времени

Эта функция позволяет решить сразу несколько задач, в том числе связанных с информационной безопасностью.

Кроме возможности анализа продуктивности сотрудника контроль рабочего времени позволяет составить его цифровой портрет и получить полную информацию. В случае инцидента и последующего расследования такая информация может использоваться в доказательной базе.

Поддержка операционных систем, основанных на Linux

В условиях санкций и законодательного регулирования очень важно, чтобы и клиентская, и серверная части DLP-системы могли работать на свободно распространяемых ОС. Наличие полнофункционального агента для Linux (Endpoint Agent) позволит контролировать рабочие устройства сотрудников, даже если придется отказаться от использования Windows.

Анализ поведения пользователей (UBA)

Обычно это отдельный модуль в системе защиты от утечек информации, который существенно расширяет ее возможности. Принцип работы модуля основан на выявлении аномалий. Система анализирует поведение сотрудников компании с точки зрения ряда показателей (рабочее время, активность, количество писем и ежедневных контактов, использование тех или иных программ и т.д.). Если происходит отклонение от стандартного поведения, система считает это аномалией и уведомляет специалиста по безопасности. Такая функция особенно важна для крупной компании, где классических функций защиты от утечек может быть недостаточно, чтобы предотвратить утечку, вовремя заметив подозрительное поведение одного из десятков тысяч сотрудников.

Высокая производительность и отказоустойчивость системы

При выборе DLP-системы важно обратить внимание на опыт разработчика и информацию о практике использования в других компаниях. Если вендор может подтвердить производительность и отказоустойчивость конкретными цифрами в реализованных проектах, то ему можно доверять. Когда речь идет о крупных корпорациях с сетью филиалов и десятками тысяч рабочих мест, подключенных к DLP-системе, решение должно обеспечивать высокую скорость обработки информации, скорость перехвата, скорость реагирования системы, скорость поиска, работу в кластерном режиме, ежедневное резервное копирование и т.д.

Масштабируемость

Слияния и поглощения компаний происходят на рынке регулярно, а в современных условиях это уже тренд, учитывая, что иностранный бизнес покидает нашу страну и продает свои активы российским компаниям. Поэтому современная система защиты от утечек должна эффективно работать в территориально распределенной инфраструктуре. В идеале в DLP должен присутствовать специальный модуль, который позволит объединить отдельно установленные в каждом филиале решения в единую экосистему с централизованным управлением. Благодаря этому специалисты по безопасности в головном офисе смогут отслеживать и предотвращать утечки информации в любом филиале, имея перед глазами полную картину по всей группе компаний.

Индивидуальный подход к заказчику

Еще одним важным критерием при выборе DLP-системы является готовность ее разработчика к постоянному контакту с текущими заказчиками и доработке продукта в соответствии с их потребностями и спецификой. Если разработчик предоставляет заказчику не только формальную техподдержку решения, но и постоянное высокопрофессиональное сопровождение с помощью экспертов и разработчиков, эффективность применения DLP-системы в организации будет заметно выше.


Рис. Основные характеристики правильной DLP-системы

Что в итоге?

Российский рынок систем защиты от утечек можно назвать вполне зрелым. Отечественные разработки в гораздо большей степени адаптированы для решения тех задач, которые связаны с защитой от утечек в российских компаниях, чем зарубежные. В новых реалиях при выборе нужно обращать внимание и на функциональность, которая должна быть максимально широкой, и на соответствие критериям импортозамещения. Последнее обеспечит независимость системы безопасности предприятия от изменений в политической повестке и международных отношениях.
Темы:ИмпортозамещениеDLPРостелеком-СоларЖурнал "Информационная безопасность" №3, 2022

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • NGFW по-русски: вчера, сегодня, завтра
    Федор Дбар, коммерческий директор компании “Код Безопасности”
    Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Интерес к SIEM со стороны малого и среднего бизнеса – закономерная тенденция
    Максим Степченков, совладелец компании RuSIEM
    О том, какова ситуация на отечественном рынке сегодня, насколько активно идет процесс импортозамещения в ИТ-сфере, как изменились угрозы для компаний, и о кадровом голоде рассказал совладелец компании RuSIEM Максим Степченков.
  • Тернистый путь Deception эпохи импортозамещения в России
    Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    Об особенностях и нюансах развития Deception в условиях масштабного импортозамещения мы поговорили с Дмитрием Евдокимовым ("Гарда Технологии")
  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"