Рынок средств борьбы с утечками данных: что принес 2009 год

Несмотря на то, что рынок средств информационной безопасности пострадал существенно меньше многих других областей, в определенной степени кризисные процессы не обошли стороной и сегмент DLP-решений. Как отмечают многие участники рынка, довольно значительная доля проектов (до 50%, по оценке отдельных интеграторов), ранее запланированных на 2009 год, была отложена на неопределенное время. Тем не менее, уже начиная со второго квартала 2009 года стало заметным оживление интереса заказчиков к DLP-системам. Кроме того, нашлись средства и для продолжения инициированных ранее проектов.

Область защиты от утечек в силу своей специфики не предполагает широкого распространения информации о деталях внедренных решений. Тем не менее, в 2009 году было объявлено, как минимум, о ряде внедрений лидирующих DLP-систем.

Внедрение DLP-систем, 2009 (распределение по отраслям)

Источник: LETA IT-company, 2010

В целом, есть основания полагать, что в течение года было запущено до 40-ти проектов, предполагающих внедрение "классических" DLP-продуктов западных производителей, а общий объем российского рынка средств борьбы с утечками информации составил около 10 млн долл.

Читать далее

Александр Васюнин: DLP - это удел крупных компаний

На вопросы CNews ответил Александр Васюнин, специалист департамента маркетинга компании "Информзащита".

CNews: Для каких компаний больше всего актуальны DLP-системы?

Александр Васюнин: В последнее время некоторые производители ПО стали активно говорить о тенденции развития систем от утечек для малых предприятий. Надо отметить, что за этим стоит существенное урезание функционала, и уже нельзя точно сказать, является ли эта система DLP в устоявшемся понимании этого термина.

Читать далее

Практика внедрения

В 2009 окончательно сложилась практика исполнения проектов по внедрению DLP-систем, предполагающая обязательный "пилотный" запуск системы.

Цели проведения пилотных проектов по запуску DLP-систем

Источник: LETA IT-company, 2009

Насколько можно судить, практически все внедрения начинаются с этой стадии, которой предшествует, в свою очередь, также обязательное экспертное обсуждение бизнес-задач и утверждение концепции использования выбранного класса решений (Proof-of-concept).

Оценка эффективности внедрения DLP-систем с предварительным запуском "пилотного" проекта

Источник: LETA IT-company, 2010

В подавляющем большинстве "пилотных" внедрений DLP-систем интеграторы были готовы оказывать услуги бесплатно, ограничивая при этом свои затраты заранее оговоренным количеством дней работы консультантов и инженеров. При этом, если в рамках пилота предполагается проводить глубокое исследование возможностей системы, проверять ее работу под нагрузкой или готовить "боевой" стенд для показа высшему руководству, заказчики были готовы затратить от 20 до 30 тысяч долларов на проведение такого проекта.

Рынок и закон

Несмотря на очевидную применимость DLP-систем для задач борьбы с утечками персональных данных, сам по себе федеральный закон Российской Федерации N 152-ФЗ "О персональных данных" практически никак не повлиял на этот сегмент рынка. Это связано, в первую очередь, с тем, что в законодательстве не появилось явного требования использовать автоматизированные системы контроля утечек персональных данных вовне информационной системы, где они обрабатываются.

Неверно утверждать, что закон "О персональных данных" вовсе обходит эту тему. Так, в п.1 статьи 19 закон обязывает оператора для обеспечения безопасности персональных данных при их обработке принимать необходимые организационные и технические меры для защиты данной информации от неправомерного или случайного распространения, а также от иных неправомерных действий. При этом DLP-система по своему основному назначению в точности является средством защиты от неправомерного или случайного распространения данных.

Кроме того, постановление правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" также содержит требование, имеющее отношение к функционалу DLP-систем. Так, подпункт а) пункта 11 постановления требует, чтобы при обработке персональных данных в информационной системе быть обеспечено проведение мероприятий, направленных на предотвращение несанкционированного доступа к личной информации и (или) передачи ее лицам, не имеющим права доступа к ней. Таким образом, для обеспечения исполнения настоящего требования также подходит использование DLP.

Тем не менее, практика реализации проектов по построению систем защиты персональных данных, сложившаяся в 2009 году, не привела к включению DLP-систем в список решений, внедряемых в рамках таких проектов. Это связано с тем, что при реализации требований нормативно-правовой базы о защите персональных данных консультанты опирались на перечень мероприятий по защите от несанкционированного доступа и неправомерных действий, входящий в руководящие документы ФСТЭК России. Среди подсистем, внедрение которых рекомендуется в рамках упомянутых руководящих документов, подсистемы, обеспечивающие управление доступом, регистрацию и учет, целостность, контроль отсутствия недекларированных возможностей, антивирусную защиту, безопасное межсетевое взаимодействие, анализ защищенности и обнаружение вторжений.

Как видно, подсистема, выполняющая функцию автоматизированного контроля распространения информации за пределы информационной системы, в перечне отсутствует. Вследствие чего она воспринимается консультантами как необязательная.

На самом деле, ни для кого не секрет, что существующая методическая база, описанная в основном в руководящих документах ФСТЭК и ФСБ России, направлена на построение защиты от несанкционированного доступа к защищаемой информации. При этом, по сути, никак не регламентируются вопросы защиты от действий пользователя, имеющего авторизацию на доступ к информации, но использующего ее не по назначению. В частности, передающего такую информацию третьим лицам, находящимся за пределами контролируемой информационной зоны.

Именно эту задачу - по борьбе с внутренними угрозами утечек информации руками авторизованных сотрудников - призваны решать DLP-системы. Без этого система защиты персональных данных не может функционировать должным образом. Хочется надеяться на то, что этот тезис будет принят специалистами регуляторов области защиты персональных данных, и в нормативно-правовую базу будут внесены соответствующие изменения.

Смена фокуса

Среди прочих результатов года можно отметить тенденцию сдвига в сегмент среднего бизнеса. Структура запущенных проектов и сформировавшееся продуктовое предложение говорит о том, что DLP-системы начали в 2009 году проникновение в сегмент среднего бизнеса. Речь идет о проектах, в рамках которых проводилась поставка решений для защиты нескольких сотен рабочих мест. В этой связи можно отметить следующие факты. Так, компания Symantec, DLP-решение которой ранее продвигалось исключительно в корпоративный сегмент, теперь доступно для защиты сетей от 100 пользователей. Помимо этого, для небольших заказчиков стали доступны простые в развертывании продукты от McAfee и Trend Micro. В свою очередь, компания InfoWatch разработала продукт Data Control, специально предназначенный для небольших компаний.

Все это должно отразиться на дальнейшем росте количества внедрений DLP-систем в сегменте средних по размерах предприятий.

Общая стратегия

На практике остались в прошлом проекты, предполагающие годичный и более цикл внедрения DLP-системы. В текущих условиях заказчики если и готовы входить в проект развертывания DLP-систем, то только при изначально определенном объеме консалтинга и стоимости внедрения продукта.

Долгое время на рынке господствовала идея того, что внедрения DLP-системы оправдано лишь в случае, когда в организации достигнут весьма высокий уровень зрелости процессов документооборота. В частности, разработана и действует политика обращения конфиденциальной информации, разработан перечень составляющих ее сведений, заданы матрицы ролевого доступа к различным видам информации и т.д. Разумеется, наличие всех описанных механизмов может сделать использование DLP-системы более эффективным, но полноценное внедрение политик обращения конфиденциальной информации предполагает существенную консалтинговую проработку, подчас на порядок превосходящую стоимость непосредственно поставки и внедрения DLP-решение. Да и срок реализации такого проекта предсказать практически невозможно.

Сложившаяся практика реализации проектов за 2009 год доказывает, что для многих заказчиков приемлемым оказывается более простой подход выделения наиболее критических областей. В этом случае, компания не пытается построить общую картину обращения всех видов конфиденциальных данных, вместо этого выделяется несколько хранилищ документов, предназначенные для использования исключительно в пределах организации. Система (с некоторой регулярностью) сканирует все документы, находящиеся в пределах этого хранилища, после чего фиксирует любые попытки перемещения защищаемой информации за пределы организации.

При этом не происходит каких-либо серьезных изменений устоявшихся бизнес-процессов. Ведь компании крайне неохотно идут на это даже ради внедрения ERP-системы или корпоративной системы документооборота. Идти на масштабные управляемые изменения устоявшихся процессов ради внедрения системы защиты от инсайдеров российские заказчики на рубеже 2010 года в подавляющей массе не готовы.

Взгляд в будущее

На рынке окончательно утвердились западные производители, сложилась практика внедрения DLP-систем, продолжился рост осведомленности заказчиков о возможностях и ограничениях доступных на рынке решений.

По мере интеграции антивирусов для рабочих станций и агентов DLP эта связка сможет существенно потеснить на рынке решения по контролю внешних устройств уже в следующем году. При этом, в ближайшее время можно ожидать появления на базе решений по контролю внешних устройств комплексных решений, которых их производители будут относить к DLP-системам.

Что касается, возможной конкуренции DLP-решениям стороны продуктов класса Right Management, по-видимому, она не состоялась. "Контейнерная" защита, при которой документы циркулируют в шифрованном виде и могут быть использованы только на рабочих станциях, где установлен соответствующий программный агент, в 2009 году не смогла приобрести широкой популярности среди заказчиков в России. Думается, именно контент- или контекст-ориентированный подход (используемый большинством DLP-решений) при организации контроля за перемещением документов вовне, сохранит лидерство по крайней мере в ближайший год.

В целом, индустрия пережила очень непростой год - многие крупнейшие компании провели его, не имея утвержденных ИТ-бюджетов, а спад в отдельных сегментах доходил до 80-ти %. Тем не менее, рынок технических средств и профессиональных услуг, связанных с обеспечением информационной безопасности, удержался от серьезных падений. Сохранился в 2009 году и рынок решений по борьбе с утечками данных, как и входящий в него рынок DLP-систем. Есть все основания предполагать, что в 2010 рынок DLP-систем продолжит умеренный рост в пределах 25-30% с увеличением доли западных производителей. При этом, по всей видимости, продолжит расти доля относительно небольших проектов по внедрению DLP-систем для защиты сетей от 250 до 1000 рабочих мест.

Рынок может вырасти в 2-3 раза и даже более, если DLP-системы войдут в рекомендуемый набор технических средств защиты информационных систем персональных данных. Для этого, правда, регуляторам придется несколько изменить существующую парадигму построения систем защиты персональных данных: перейти от противодействия несанкционированному доступу - к защите от неконтролируемого перемещения данных. К счастью, эти задачи лишь дополняют друг друга. В целом, представляется вполне логичным такое дополнение существующей методической базы, при котором задачи защиты от утечек приобретут такую же важность, как и механизмы разграничения доступа к конфиденциальной информации.

Николай Зенин, Вениамин Левцов

Александр Васюнин: DLP - это удел крупных компаний

На вопросы CNews ответил Александр Васюнин, специалист департамента маркетинга компании "Информзащита".

CNews: Какого рода данные "склонны к побегу" в первую очередь? Что чаще всего утекает?

Александр Васюнин: Ни для кого не является секретом, что в связи с массовыми увольнениями и снижением зарплат и бонусов лояльность персонала резко снижается. А желание у недовольных сотрудников как-то компенсировать свои потери увеличивается, повышается соблазн заполучить лакомые сведения о конкурентах. Тут в первую очередь стоит перечислить сведения о системах начисления заработной платы, клиентские базы и секреты производства или "ноу-хау". Именно эти данные представляют наибольший интерес для конкурирующих компаний. Например, с помощью сведений о системе начисления заработной платы можно переманить ценного сотрудника, предложив ему более привлекательный вариант.

CNews: Какие технические решения будут наиболее востребованными?

Александр Васюнин: Одним из самых востребованных функционалов DLP систем является защита от случайных утечек информации. Нередки ситуации, когда кто-нибудь из сотрудников ошибочно вводит в поле адресата не тот e-mail адрес, что грозит серьезными последствиями в случае наличия в письме секретной информации. Ну а потеря сменных носителей информации или ноутбуков является вообще обычным делом. Реагируя на эту угрозу, многие производители систем корпоративного уровня включили функции по принудительному шифрованию в свои продукты, и в дальнейшем этот функционал будет развиваться.

CNews: Как, на ваш взгляд, повлияло на рынок DLP-систем вступление в силу закона о защите персональных данных?

Александр Васюнин: Что касается популярной нынче темы защиты персональных данных, то с системами защиты от утечек она пересекается слабо. Все дело в исключительной формальности выполнения требований по защите персональных данных. Несмотря на закрепление в соответствующем законе понятия конфиденциальности персональных данных как обязательного для соблюдения оператором или иным получившим доступ к персональным данным лицом требования не допускать их распространения без согласия субъекта персональных данных, в документах ФСТЭК средства защиты от утечек никоим образом не упомянуты. А именно методическими документами ФСТЭК руководствуются операторы при выборе технических средств защиты персональных данных.

CNews: Для каких компаний больше всего актуальны DLP-системы?

Александр Васюнин: В последнее время некоторые производители ПО стали активно говорить о тенденции развития систем от утечек для малых предприятий. Надо отметить, что за этим стоит существенное урезание функционала, и уже нельзя точно сказать, является ли эта система DLP в устоявшемся понимании этого термина. Исходя из опыта выполненных проектов компанией "Информзащита", мы считаем, что все-таки DLP - это удел крупных компаний, четко осознающих свои потребности и готовых потратить достаточное количество времени на тонкую настройку системы, подгонку ее под свои нужды.