Friday, September 25, 2015

Вопросы к DLP

Уже не в первый раз пишу функциональные и технические требования на систему DLP. Чтобы как-то систематизировать набор хлама в голове по этому поводу нарисовал вот такую картинку:


Может, кому тоже будет полезна.
Исходник от freemind лежит здесь.

6 comments:

p.a.kulikov said...

все здорово разложено, все по полочкам. НО! внедрение DLP целесообразно, когда выстроены все заборы (FW), весь участок разбит на ровные и понятные грядки (VLANы), понятно что и на какой грядке ростет (ИС/ИР), кто их поливает (ИТ), пропалывает (поддержка от производителя), собирает урожай (бизнес-владельцы)... и только потом DLP. а то получается, что приходят горемыки и в чистом поле лепят DLP, превращая труд ИБ в поставку стукач-информации: за увольняемыми, за аудиторами, за неугодными режиму.
вот у тебя на схеме все ровно, а в жизни все криво.

(прошу отнестись как к крику души :))

P.S.: у тебя была прекрасная преза про то, с чего начать, может сделаешь материальчик с точки зрения готовности внедрения СЗИ? :)

Sergey Soldatov said...

Я в прошлом году размышлял на тему с чего начать: http://reply-to-all.blogspot.ru/2014/04/ciso-forum-2014.html

Начни с того, что болит, с того, что даст максимум эффекта. Да, это будет выглядеть кусочно: http://reply-to-all.blogspot.ru/2013/01/blog-post.html, но это не отменяет необходимость стратегического видения - это как раз то "мерило", которым ты будешь определять что и как делать

Andrey Prozorov said...

Привет, а чего в майндкарту не добавил про дополнительный функционал, который отличается у разных производителей? Ну, например, графы-связей, контроль времени работы, контроль запуска приложений, полный архив сообщений (иностранные DLP обычно только инциденты хранят), снимки экрана и пр.
Про реакцию может быть не только блокировка, но и замена содержания или отправка после подтверждения (второе собственной, или начальник, или безопасник). Отдельно можно сказать про реагирование модуля Discovery, многие только сообщают (инцидент), но некоторые еще и могут зашифровывать, удалять и перемещать файлы.
В БД добавь еще PostgreSQL, российские очень активно на него переходят.

Herman Shlykov said...

Добрый день!
Есть возможность просмотреть иллюстрацию в каком-нибудь общедоступном графическом формате?

Sergey Soldatov said...

Добрый!
Там должно быть можно загрузить из http://www.slideshare.net/, должна быть PDF-ка

Herman Shlykov said...

Спасибо!