Не удаляй это письмо! Методика действительно работает!
Всего пара слов – и любая женщина твоя!
(самизнаетеоткуда).
Такие способы есть – и они на самом деле абсолютно надёжны. Просто их никто не знает.Здесь моему коллеге ответили, что оказывается, при внедрении DLP деньги берутся за то, что специалисты интегратора определят, что является конфиденциальной информацией, а что нет. Повторите чушь двести двадцать восемь раз, и она станет правдой?
Представьте себе ситуацию. Вы ставите квартиру на сигнализацию. А представитель охранного предприятия мне сообщает, что деньги я плачу не за систему, а за то, что они определят, что именно в моём доме ценного.
Вы меня сильно простите, но в моём доме я сам знаю, что есть ценность, а что нет. Когда у меня квартиру выставили – жальче всего было не две видеокамеры, импортных, и не портсигар, золотой, тоже два, а самопальную подвеску, за которую в ломбарде и двадцатки не дадут. И правильно, потому что ценность она имела только внутри моей семьи.
Аналогично с информационной безопасностью. Если служба информационной безопасности не может самостоятельно определить, что есть конфиденциальная информация – то её или просто нет, или она формально есть, но фактически её нет, что в конечном итоге – одно и то же.
Хочется также обратить внимание на то, что любая компания – она не статична. Да, пришли умные люди, определили конфиденциальную информацию, настроили систему… И всё? Думается – нет. Появляются новые конфиденциальные документы, изменяются опасности, в конце концов кто-то из сотрудников может написать документ, который придётся признавать конфиденциальным задним числом. И? Ну да. Обучение своих безопасников. Но ровно такое же обучение проведёт и интегратор, который не будет с умным видом копаться в ваших документах.
Выбор правильной DLP – действительно задача, стоящая перед человеком, отвечающим за информационную безопасность. Но перед выбором – он должен чётко ответить сам себе, чего он хочет. Закрыть каналы утечек или переложить ответственность на кого-то другого. В первом случае он должен отдать себе отчёт, что охрана периметра – это не действие, а процесс. Формирование контура информационной безопасности нельзя закончить, его можно только прекратить. Как и обновление антивируса, например.
Если же просто хочется, чтоб крайним был не ты – тогда да. Убеди собственника купить DLP, при инциденте – все шишки свали на разработчика.
Есть и третий способ, на самом-то деле. Рекомендую прислушаться к совету из соседнего блога. Отдайте информационную безопасность на аутсорсинг. Но по несколько иному алгоритму. Еуж вы пускаете оценщика рисков в свой дом – то пусть он и отвечает так, как представитель организации, работающей с рисками. То есть как страховая компания. Пока нет утечек – вы платите ему. Случилась – он платит вам. Но этот способ никто не предлагает. Пока не предлагает.
Александр Ерощев
специалист по информационной безопасности компании SearchInform