Уважаемые форумчане!
Хочу посоветоваться. Решили наконец-то организовать у себя отдел по обеспечению информационной безопасности. Встал вопрос, какую систему ставить - DLP или СОРМ (это я со слов спеца по ИБ пишу). Предлагают нам McAfee. Слышал про их антивирус, а про DLP пока нет. Что посоветуете? Специалисты мои дали мне сегодня вот эту инфу почитать: http://ukrbizsec.blogspot.com/2011/07/8-mcafee-dlp.html?showComment=1312...
Что не верится..
Что скажете?
почитал комментов пару первых. как по мне, если не дружит с языком русским, то толку от такой системы немного. она скорее будет ловить случайные утечки, когда бухи по ошибке не туда ткнут и попытаются финотчёт левым людям выслать. утрированно, конечно, но, думаю, мысль ясна. если Вам только для этого DLPшка нужна, то почему бы и не взять макафи, но я бы поискал что-то более дружественное к русскому языку.
например?
конечно, это не вариант - ставить, чтобы ловить случайные утечки. инсайдеров никто не отменял.
Любая система российского производства. Проблема словарей – общая для всех западных ДЛП. Я бы порекомендовал продукт, который не перехватывает информацию, а только мониторит сотрудников – именно он ищут инсайдеров не «случайно», а целенаправленно.
Из российских компаний Серчинформ точно предоставляет такую возможность, и говорят, что в СекьюрИТ тоже можно как-то отключать функцию перехвата, но не уверен, ни разу не работал с их продуктом.
Серчинформ - знакомое что-то, но ничего особо о качестве их решения не слышал. Вы его используете?
Да, видимо все-таки стоит подумать - блокировать или мониторить. Разница принципиальная. Другое дело, что если не блокировать, то конфиденциальная инфа из компании все же уйдет? А это ведь могут быть весьма и весьма критичные данные.
Возможно, вы слышали о их недавней презентации в Киеве. По поводу качества ничего плохого сказать не могу – система все заявленные функции выполняет хорошо. Но как уже я писал выше, их продукт ориентирован на мониторинг, и чудес ждать не стоит – перехват конфиденциальных документов не предусмотрен. С другой стороны, инсайдер тоже не дурак и пересылать секретную информацию «в открытую» не будет. Именно таких и выявляет Серчинформ, о которых при простой блокировке можно было и не знать.
ИМХО, блокировка всегда несёт негатив.
1. Это коссвенно свидетельствует о том, что в компании отслеживается трафик.
2. Может плохо сказаться на непрерывности бизнес-процессов.
Мне решение видится так: должна быть реализована возможность блокировать сообщение (почта, аська и пр.), но выставлять её срабатывание нужно только на самые важные и критические документы. Саму же систему следует использовать именно для мониторинга сетевых потоков.
И кстати, у Серчинформом, по слухам, возможность перехвата как раз разрабатывается сейчас.
Настораживает "Решили наконец-то организовать у себя отдел по обеспечению информационной безопасности" и сразу ставится вопрос о покупке DLP, при этом звучит слово СОРМ.
Как давно принято решение о создании «отдела ИБ»? При создании СУИБ, на какие документы/стандарты будете ориентироваться?
Почему настораживает? Я располагаю в общем лишь той информацией, которую получаю от своих безопасников. И мне важно получить и здесь компетентное мнение на интересующую меня тему.
Отдел уже создан, работает с июля месяца. Ориентируемся на Закон о защите ПДн и существующие в Украине стандарты безопасности, разумеется.
Вы могли бы перечислить украинские стандарты безопасности на которые ориентируются Ваши безопасники? Поверьте вопрос не праздный.
Почему настораживает, ну, например, потому, как СОРМ - это http://ru.wikipedia.org/wiki/%D0%A1%D0%9E%D0%A0%D0%9C .
Они предложили Вам его просто купить? Они знают где он продается? Или они имели ввиду, что-то иное?
ISO 17799, и, говорят, лучше разработать свой внутренний на его основе. А к чему вопрос?
Под СОРМ имелась ввиду система, позволяющая мониторить, а не блокировать. А не какое-то специализированное решение. Наподобие Серчинформ, как я уже выяснил.
Уважаемый Владимир Алексеевич
Примите мое занудство как «профзаболевание» и посему СОРМ для меня имя собственное, и ссылки на «украинские стандарты в области ИБ» вызывают необходимость задать уточняющие вопросы. Прошу прощения.
Потихоньку все становится на свои места:
1. Ориентация ваших безопасников на международный (не украинский) ISO 17799 - хороший признак. Хотя сегодня лучше ориентироваться на стандарты серии ISO 27000. С одной стороны, ISO 17799 уже устарел и не используется, с другой, на базе стандартов серии ISO 27000 в прошлом году НБУ ввел отраслевой стандарт.
2. Неопределенность в вопросе «блокировать или мониторить» заставляет меня думать, что вам необходима дополнительная проработка данного вопроса. Без четко разработанной политики ИБ и сопутствующих ей основных нормативных документов я бы не рекомендовал делать инвестиции в какие-либо технические решения.
3. Также ознакомьтесь со Статьей №31 Конституции Украины, обратите внимание, что Вы не сможете разделить «личное» от «служебного», посему Вам необходимо будет выработать четкую позицию в этом вопросе.
4. Предоставленный обьем информации недостаточен для конкретных предложений. А то чего не хватает, обычно на форумах не обсуждается.
Владимир, благодарю Вас за компетентное мнение по интересующему меня вопросу и за Ваши конструктивные замечания.
Интересно было бы узнать, каково Ваше мнение по DLP МакАфи?
Особого мнения о их продукте нет. Зная кого они пару лет назад купили для работы в данном направлении, то должно было получится неплохо.
Сама классификация системы, как «система DLP» не определяет точно набор реализованных функций. Пусть Ваши «спецы» разворачивают систему для тестирования и покажут, что она удовлетворяет вашим требованиям.
Если ваши требования предусматриваю также и морфологический анализ, то я также советую смотреть системы российских компаний.
Но, требования – первичны!
А что спецам разворачивать? Поправьте, если я не прав, но мало компаний, продающих DLP-системы, согласны разворачивать тестовые образцы бесплатно. Тот же макАфи за тестовую версю хотел денег, помнится.
Не знаю, как в этом плане проявляют себя серчинформ и вебсенс, о которых упоминается.
Владимир, позволю себе добавить немного по некоторым вашим пунктам:
по пункту 1: также уже имеет смысл рассматривать ISO 27001. В России планируется принятие ГОСТ Р ИСО/МЭК 27001 «МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ». Уверен, в Украине подобный ГОСТ не за горами. Но это, конечно, задел на будущее.
по пункту 3: почему бы это не прописать в договоре при приёме на работу? "Всё, что сделано на оборудовании компании и в рабочее время, является собственностью компании". С одной стороны получится, что мы не запрещаем всякие одноклассники и пр. социалки, но с другой стороны человек разрешает нам увидеть его "личную" информацию, так как технически она уже не "личная", а "служебная"
Насчет русского языка, то с ним хорошо дружит Websense, тем более можно выбирать, какие именно документы блокируются при отправке, а что мониторить. по идеи нужно контролировать именно критичные данные, а не все подряд, а то безопасникам будет не весело. задача стоит слежения сетевого трафика или за рабочими станциями?
откомментил ниже по ошибке. решил не дублировать.
Кстати, в комментах вебсенс тоже под раздачу попал. http://ukrbizsec.blogspot.com/2011/07/8-mcafee-dlp.html?showComment=1312...
Правда о работе продукта там не говорится, но с такой репутацией я бы подумал приобретать или нет. Ведь с такими продуктами важна техподдержка, а если фирму будут кидать из рук в руки, то на качестве оной это отразится не в лучшую сторону.