Внедрение DLP и ее влияние на бизнес

Игнатьев А.В.
выпускник группы MBA CIO-46
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Введение

В данной аттестационной работе рассмотрен вопрос применимости DLP – систем для повышения информационной безопасности в ПАО «***».

DLP-система или система предотвращения утечек информации (от англ. DataLoss(Leak) Prevention) представляет собой совокупность технологий предотвращения утечек конфиденциальной информации из информационной системы по различным каналам передачи данных, а также технические, в том числе и программные (программно-аппаратные),средства предотвращения утечек.

Применение работодателем программного обеспечения, предназначенного для контроля за использованием работниками рабочих компьютеров и сети Интернет в процессе их трудовой деятельности, в первую очередь, направлено на обеспечение надлежащего выполнения работниками, возложенных на них трудовых обязанностей.

Другой целью, на достижение которой направлена установка DLP – системы, является сохранение конфиденциальной информации, имеющей коммерческую ценность для работодателя и позволяющей получить определенную коммерческую выгоду. Так, недобросовестность работника по отношению к данной информации, может повлечь за собой причинение убытков работодателю (в том числе упущенной выгоды). В данном случае работодатель, руководствуясь положениями не только трудового законодательства (в части ответственности), но и нормами Гражданского кодекса РФ (в частности ст.15 ГК РФ), может возместить убытки, причиненные работником. Таким образом, использование работодателем DLP – систем направлено на сохранение конфиденциальности информации, улучшение трудовых показателей и соблюдение работниками трудовой дисциплины в организации.

            Использование DLP-систем имеет особую значимость для компаний рынка контейнерных перевозок, имеющих публичный статус.

Объект проектного исследования

ПАО «***» (далее – компания) является дочерним обществом учрежденного ОАО «РЖД». Местонахождение центрального офиса в России – г. Москва. Компания (рейтинги:Moody’s Ва3, Fitch BB+) является ведущим российским оператором контейнерных интермодальных перевозок.

Цели аттестационной работы

Практическая значимость внедрения DLP-системы для компании.

Внедрение DLP-системы позволит:

Основные задачи, которые необходимо решить во время работы.

В процессе внедрения DLP-системы, в рамках области действия информационной безопасности компании в соответствии со стандартами ФСТЭК России, ФСБ России, ЦБ РФ,  необходимо:

1. Получить одобрение руководства компании на внедрение DLP-системы.

2. Описать область действия и разработать политику DLP-системы.

3. Составить финансовое – экономическое обоснование.

4. Разработать общий план проекта по реализации DLP-системы.

5. Провести анализ требований к информационной безопасности.

6. Определить перечень информационных систем и процессов.

7. Определить методологию оценки рисков ИБ.

8. Создать методику оценки и обработки рисков.

9. Создать план обработки рисков.

10. Разработать политику информационной безопасности.

11. Описать план и методику проверок офицером службы безопасности.

12. Разработать программу информирования, обучения и образования в области ИБ.

Содержание аттестационной работы

В теоретической части дипломной работы рассмотрены назначение, история  создания, основные принципы DLP-систем, а также указаны выгоды для компании в результате внедрения DLP-системы.

В методической части описана методика работыDLP-системы.

В третьей части дипломной работы показано как DLP-система была внедрена на практике в компании.

Заключение

С помощью данной работы в  компании был инициирован проект и внедрена DLP–система компании ООО «Атом Безопасность» StaffCopEnterprise.

Внедрение программного решения StaffCopEnterprise позволило не только решить проблему с контролем использования рабочих компьютеров работниками организации, но и облегчить расследования инцидентов информационной безопасности.