Pull to refresh

Выбираем DLP-систему для средней организации

Reading time4 min
Views173K
image
Добрый день, уважаемое хабрасообщество! Не так давно перед нашей компанией встал вопрос, какую из систем защиты от утечек данных выбрать. Под катом собственные мысли по данному вопросу, а также сравнительная таблица с описанием возможностей систем.

Прошу учесть, что статья не является рекламой какого-либо определенного продукта. В ней отражены взгляды одного единственного сотрудника ИТ-отдела средней компании.

Итак, на недавней планерке была поставлена задача «Внедрить!». Но что конкретно внедрять, оговорено не было, поэтому после изучения вопроса и проведения анализа рынка и был создан этот топик.

Наша организация не особо выделяется из массы прочих средних организаций, внутри имеется порядка 250 рабочих станций и несколько серверов, которые необходимо защищать от утечки очень важных и чрезвычайно секретных данных. К сожалению, статистика неумолима, и 80% утечек информации происходят по вине самих сотрудников организации (инсайдеры). Распространение данных может быть как умышленным, так и совершенно случайным, а все случаи такого распространения должны обнаруживаться и пресекаться (это в идеале). Как этого добиться? Администраторы компании могут полностью закрыть интернет, электронную почту и сменные носители, оставив тем самым пользователей совсем без доступа к внешним ресурсам. Вариант почти идеальной защищенности, за исключением того, что он никого не устраивает, кроме самих администраторов. Можно немного подобреть, и открыть доступ в интернет или к сменным носителям только «избранным» сотрудникам. Вероятность утечек уменьшится, но кто сможет гарантировать, что «избранный» сотрудник полностью лоялен компании? Казалось бы, положение безвыходное, но здесь на помощь приходят DLP-системы.

DLP (Data Loss Prevention)- система это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится эта система на анализе потоков данных, выходящих за пределы корпоративной сети. В случае сработки определенной сигнатуры и детекта передачи конфиденциальной информации система либо блокирует такую передачу, либо посылает уведомления офицеру безопасности.

Основными требованиями к кандидатам были стоимость комплекса и количество контролируемых каналов.
В сравнении принимали участие:
  • Securit ZGate;
  • InfoWatch Traffic Monitor;
  • Symantec Data Loss Prevention;
  • Search Inform Контур безопасности;
  • FalconGaze SecureTower.

Информация о продуктах бралась с официальных сайтов и от региональных представителей компаний. Вот что получилось в итоге:
A SecurIT InfoWatch Symantec SearchInform FalconGaze
Название системы ZGate TrafficMonitor DataLossPrevention Контур безопасности SecureTower
Модульность системы Да Нет Нет Да Нет
Места установки На сервер+ZLock на клиентские ПК Сервер, клиент Сервер, клиент Сервер, клиент Сервер, клиент
Наличие сертификатов и лицензий ФСТЭК НДВ 3 и ОУД4
ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken
ФСТЭК НДВ 4
ФСТЭК НДВ 4
ФСТЭК НДВ 4 и ИСПДн 2
Лицензирование Почтовые ящики, рабочие места
Каналы перехвата, технологии анализа
n/a
Сервер, mail, IM, Skype, Print, device, HTTP, FTP
Рабочее место
Роли Любое количество
Несколько Любое количество
Любое количество
Администратор системы, офицер безопасности
Контроль IM
Да
Да
Да
Да
Да
Контроль HTTP/HTTPS, FTP
Да Да Да Да Да
Контроль Skype
Текст
Текст
Нет Да Да
Контроль E-mail
Да Да Да Да Да
Социальные сети и блоги
Да Да Да Да Да
Контроль подключаемых внешних устройств
При покупке Zlock
Да
Да
Да
Нет
Контроль портов
USB,COM,LPT, Wi-Fi, Bluetooth
USB,COM,LPT, Wi-Fi, Bluetooth
USB,COM,LPT, Wi-Fi, Bluetooth USB, LPT
USB, LPT
Блокируемые протоколы
HTTP, HTTPS, SMTP, OSCAR
HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S
SMTP, HTTP, HTTPS FTP, Yahoo
Messenger, MSN
Messenger,
AIM, AIM Pro
Messenger, MSN
Messenger,
AIM, AIM Pro
Messenger, MSN
Messenger,
AIM, AIM Pro
SMTP, POP3, MAPI, IMAP, HTTP,FTP, ICQ, Jabber
HTTP, HTTPS, FTP, FTTPS, Вся почта и IM
Анализ по словарю
Да Да Да Да Да
Лингвистический анализ
Да
Да+БКФ
Нет
да
Да
Анализ транслита
Да Да Нет n/a n/a
Анализ архивов
Да Да Да Да Да
Анализ рисунков
Да Да Да Да Нет
Предустановленные шаблоны фильтрации
Да Да Да Да Да
Задержка отправки подозрительных сообщений
Да, ОБ принимает решение
Да, ОБ принимает решение
Да, пользователь объясняет причину отправки, инцидент фиксируется
n/a
Нет, только информирование офицера ИБ
Логирование действий администраторов системы
Да
Да
Да
n/a В случае утановки агента на РМ администратора
Режим установки агентов
Открытый
n/a
n/a
n/a
Тайный/Открытый
Защита агентов от выключения
Да
Да
Да
Да
Да
Запись отчетов в локальное хранилище в случае недоступности сервера
Да
Да
Да
Да
Да
Просмотр истории инцедентов
Да Да Да Да Да
Режимы оповещений
Консоль, почта, графики
Консоль, почта Консоль, почта, графики
Консоль, почта, графики
Консоль, почта, графики
Возможность тестирования продукта на серверах разработчика
нет
нет
Да нет на сервере дистрибьютора

Возможность получения демо-версии для тестирования внутри организации
±
±
нет ±
Да, 1 месяц
Цена для компании 250 ПК
2 500 000р.
n/a n/a 3 300 000- 5 400 000 р.
1 500 000р.

Следует уточнить, что:
Модульность системы- параметр, означающий, может ли продукт все контролировать или необходимо закупать разные модули для контроля определенных каналов утечки информации.

Администратор системы производит установку и настройку системы. Офицер безопасности производит контроль за действиями сотрудников и работы системы в целом.

БКФ-база контентной фильтрации. Позволяет по определенным признакам отнести документ к определенной степени конфиденциальности.

ОБ-офицер безопасности.

РМ-Рабочее место.

Символом n/a обозначены пункты, информацию по которым мне уточнить не удалось, а символами ± те пункты, где получение информации вызвало трудность. К примеру, получение пробных версий довольно сложное мероприятие, требующее указать много данных об организации, а также привлечь специалистов компании-разработчика в свой офис.

Итак, эта таблица упростила выбор DLP-системы для моей организации, и, надеюсь, поможет вам сделать свой выбор в случае аналогичной задачи.
Tags:
Hubs:
Total votes 25: ↑17 and ↓8+9
Comments78

Articles