№

Этап

На какие вопросы ответить

Пример из практики

Риски

1

2

3

4

5

0

Понимание, будем считать, что вы ответили на вопрос «ЗАЧЕМ» вам DLP (какие цели, задачи, метрики).

Описывал этот этап в статье:
https://habr.com/ru/articles/802819

Про выбор DLP также у меня есть рекомендации, но этот пункт здесь будет пропущен.

Под примерами я в данном случае понимаю ответ на вопрос ЗАЧЕМ.

Очень часто на конце истории два случая:

1) Мы купили DLP систему, поставили, почитаем переписку в мессенджерах.

2) Мы купили DLP систему, поставили, узнаем, кто планирует увольнение.

На мой взгляд это отрицательный опыт.

Неэффективная трата финансовых и временных ресурсов.

1

Подготовка серверных мощностей и управление данными.

1)    Риски оценены и выбран локальные серверные мощности или облачные.

2)    Ознакомились с рекомендациями производителя, поняли сервер какой мощности необходим, поняли какой фактор влияет на масштабируемость (часто это количество лицензий).

3)    Осознаете, что для хранения перехваченных данных необходимо дисковое пространство. Пытаетесь понять:
3.1) сколько места генерирует в месяц одна контролируемая станция.
3.2) какая информация перехватывается (и какие протоколы) и как долго каждая категория данных должна храниться в базе данных.
Например, эксели полгода, rar-архивы три месяца.

Дополнительные вопросы:

Насколько вы хотите обезопасить сервер DLP?

Назовите его иначе (не DLP), подумайте, может быть сервер «вытащить» на отдельный сервер в отдельное помещение.

Два случая их практики:

1) Редкий случай, когда один из федеральных банков четко сказал, что мы хотим хранить все, что было отправлено на печать полгода, по статистике печати это величина X, требуемое качество одной перехваченной страницы Y – исходя из этих вводных посчитали дисковое пространство.

2) 15 лет назад установили DLP и сделали настройки на перехват всего. Так как это было одно из Министерств в период сдачи крупной отчетности и сканирования большого (действительно) большого количества документов, то СХД заполнилась за неделю.

Ошибки при расчетах серверных мощностей могут свести эффективность работы DLP к минимуму (сервер рассчитан только на 20 пользователей, или дискового пространства хватает только на 2 месяца).

2

По какой схеме устанавливается DLP.

1) Какую схему вы выбираете?
Основных две:

А) установка агентов.
Б) подключение к порту зеркалирования.
Возможно комбинация схем.

2) Если выбрали агентов, то какой из классических трех режимов выбираете (видимый, заблокированный для удаления, скрытый из процессов).

3) Хотите ли вы отслеживать и управлять ресурсами конечного АРМ, на который установлен агент?
Как вариант следить за нагрузкой в Zabbix.

1)    Подключение к порту зеркалирования увеличивает нагрузку на коммутационное оборудование, на котором настроено зеркалирование. Были случаи, когда центральные коммутаторы на справлялись.

2)    На этапах тестирования часто не продумываются детали настроек, что приводило к негативу сотрудников.

Вопросы, которые необходимо обсудить перед внедрением и даже перед тестированием любой DLP системы для успешности проекта.

3

Подход к работе с сотрудниками и документирование процесса.

Это частый этап для споров
1) Оповещать сотрудников и, соответственно, подготовить пакет ОРД.

2) Не оповещать.

В большей степени на практике:

1)    Не оповещают.

2)    Подготавливают пакет ОРД, который косвенно говорит о системах.

3)    Минимальное количество компаний сообщает о подобных системах, при этом качество и количество полученной информации не снижается.

Репутационные и юридические.

4

Под какими учетными записями установка.

1)    Важный вопрос, на которые Вам необходимо ответить это учетные записи для установки.

Я рекомендую отдельную учетную запись. В случае AD отдельная доменная учетная запись с правами локального администратора.

На практике часто было, когда одна УЗ (учетная запись) используется для всего.

Например, администратор оставил как «костыль», чтобы настроить сетевую папку сотруднику, но каким-нибудь mimikatz мы узнаем этот сохраненный пароль.

Риски непрерывности бизнес-процессов
Общие риски ИБ.

5

Этапность, очередность и лицензирование.

1)    Выбирайте группы для установки исходя их ваших ресурсов. Сначала 5, потом еще 5.

2)    Может быть это и будет вашим способом контроля. Установка по очереди, а не одновременно на всех.

3)    Подумайте над тем, что может быть, чтобы получить эффект от DLP или понимание того, что вы не готовы к этому инструменту хватит и пилотного этапа.

На практике компании получали эффект на этапе пилотирования.
Особенно малые компании, которые преследовали конкретные локальные задачи.

Риски непрерывности бизнес-процессов.

6

Частые ошибки.

1)    Продумайте все настройки, даже на этапе тестирования.

2)    Изучите особенности работы бизнес-процессов сотрудников, на которых вы ставите агенты.

3)    Отдельно заберите пользователей (программы) для работы, которых необходимы не подменяемые сертификаты (ЭП).

4)    Следите за ресурсами и заявками пользователей (хотя бы первые 2 недели), на АРМ, которых поставили агентов.

5)    Поймите самое важное, что любая DLP без продумывания четких политик (правила срабатывания) не имеет эффекта. Эти политики надо постоянно обновлять, пересматривать, работать над сработками политик.

Обратите внимание на не подменяемые сертификаты.

В случае, когда вы поставили перехват шифрованного трафика, то DLP система будем пытаться подменить сертификат ЭП, что приведет к ошибке.

Таким образом, такие процессы как закупки с ЭП, банк-клиент и прочее будут парализованы.

Аналогично пунктам 0-5.