Friday, September 25, 2015

Вопросы к DLP

Уже не в первый раз пишу функциональные и технические требования на систему DLP. Чтобы как-то систематизировать набор хлама в голове по этому поводу нарисовал вот такую картинку:


Может, кому тоже будет полезна.
Исходник от freemind лежит здесь.

6 comments:

  1. p.a.kulikovSeptember 29, 2015 at 9:37 AM

    все здорово разложено, все по полочкам. НО! внедрение DLP целесообразно, когда выстроены все заборы (FW), весь участок разбит на ровные и понятные грядки (VLANы), понятно что и на какой грядке ростет (ИС/ИР), кто их поливает (ИТ), пропалывает (поддержка от производителя), собирает урожай (бизнес-владельцы)... и только потом DLP. а то получается, что приходят горемыки и в чистом поле лепят DLP, превращая труд ИБ в поставку стукач-информации: за увольняемыми, за аудиторами, за неугодными режиму.
    вот у тебя на схеме все ровно, а в жизни все криво.

    (прошу отнестись как к крику души :))

    P.S.: у тебя была прекрасная преза про то, с чего начать, может сделаешь материальчик с точки зрения готовности внедрения СЗИ? :)

    ReplyDelete
  2. Sergey SoldatovSeptember 29, 2015 at 9:58 AM

    Я в прошлом году размышлял на тему с чего начать: http://reply-to-all.blogspot.ru/2014/04/ciso-forum-2014.html

    Начни с того, что болит, с того, что даст максимум эффекта. Да, это будет выглядеть кусочно: http://reply-to-all.blogspot.ru/2013/01/blog-post.html, но это не отменяет необходимость стратегического видения - это как раз то "мерило", которым ты будешь определять что и как делать

    ReplyDelete
  3. Andrey ProzorovOctober 28, 2015 at 11:23 AM

    Привет, а чего в майндкарту не добавил про дополнительный функционал, который отличается у разных производителей? Ну, например, графы-связей, контроль времени работы, контроль запуска приложений, полный архив сообщений (иностранные DLP обычно только инциденты хранят), снимки экрана и пр.
    Про реакцию может быть не только блокировка, но и замена содержания или отправка после подтверждения (второе собственной, или начальник, или безопасник). Отдельно можно сказать про реагирование модуля Discovery, многие только сообщают (инцидент), но некоторые еще и могут зашифровывать, удалять и перемещать файлы.
    В БД добавь еще PostgreSQL, российские очень активно на него переходят.

    ReplyDelete
  4. UnknownJuly 27, 2016 at 9:18 AM

    Добрый день!
    Есть возможность просмотреть иллюстрацию в каком-нибудь общедоступном графическом формате?

    ReplyDelete
  5. Sergey SoldatovJuly 27, 2016 at 12:47 PM

    Добрый!
    Там должно быть можно загрузить из http://www.slideshare.net/, должна быть PDF-ка

    ReplyDelete
  6. UnknownJuly 29, 2016 at 7:39 AM

    Спасибо!

    ReplyDelete