Врагу не сдается наш гордый...

Не так давно автор данного материала ознакомился с одним крайне неплохим продуктом для, как модно нынче выражаться, защиты от внутренних угроз, а в простонародье - DLP-мониторинга. Материал, конечно, имел рекламный характер (к которым я отношусь крайне насторожено, как уже писал тут), однако, рациональное зерно в нем присутствовало. В связи с этим, а также с некоторыми процессами в области регулирования ИБ в России (официальный выход 21-го приказа ФСТЭК, подготовка новых ДСПшных ГОСТ и т.д.), захотелось сказать два слова о так называемых комплексных системах информационной безопасности, которые некоторые вендоры громко называют "будущим корпоративной ИБ" (имея ввиду, конечно, в первую очередь продукты собственного производства).
До недавнего времени базовые подходы к защите ИС были заложены еще в далеком 92-ом году руководящим документом Гостехкомиссии: четыре технологии защиты (разграничение доступа, регистрация и учет, криптография и контроль целостности), реализованные в виде четырех подсистем (в 58-ом приказе ФСТЭК к ним добавились еще три подсистемы), классификация ИС (АС) по архитектуре и свойствам и весьма специфические организационные меры. В связи с этим у производителей и интеграторов в области ИБ сложилась, на мой взгляд, порочная практика по разработки типовых, "шаблонных" решений по защите ИС и АС (а позднее - и ИСПДн), не разбираясь ни в ценности обрабатываемой информации, ни в технологии обработки, ни в чем подобном. И, кажется, результатом именно такой практики и стало появление комплексных систем обеспечения информационной безопасности (назовем ее КСОИБ, но будем понимать, что речь идет исключительно о техническом, как правило, програмном средстве, а не о применении комплексного подхода к безопасности).
К достоинствам применения программных КСОИБ можно отнести следующее:

• сравнительно низкая стоимость комплексного решения по сравнению с комплектом подсистем, формируемым из отдельных навесных СЗИ
• централизованная система развертывания и эксплуатации, исключающая возможные конфликты компонентов
• единая система регистрации событий безопасности, удобство контроля и администрирования

К недостаткам таких систем можно отнести следующее:

• ограниченное число функций, предоставляемое комплексной системой, по сравнению с комплектом навесных СЗИ
• ограниченные возможности выбора функий подсистем при расширенных потребностях
• единый центр управления КСОИБ, следовательно - уязвимое место в системе защиты
• возможность взаимных влияний на функции защиты, относящиеся к разным технологиям, снижающих общую защищенность
• отсутствие специализации ПО, проблемы с сертификацией - как правило, комплексные системы защиты не могут быть сертифицированы, так как требуют отдельного профиля защиты, сложных критериев и т.д.

Из приведенных списков очевидно, что КСОИБ могут быть эффективным решением для небольших и средних коммерческих организаций (то, что называется на Западе Small and Medium Business), где:

1. малые масштабы автоматизированной системы 
2. небольшое число актуальных угроз информационной безопасности (или низкий уровень риска, если выражаться языком риск-менеджмента)
3. отсутствуют требования по использованию сертифицированных СЗИ в системе сертификации ФСТЭК и (или) ФСБ
4. отсутствует потребность в сложных организационных мерах по защите и малое число ИТ и ИБ персонала (возможно, совмещение ролей администратора ИС и администратора ИБ)

И вот тут мы возвращаемся к началу, то есть к системам защиты от внутренних угроз, которые, как правило, и представляют собой базу для разработки КСОИБ (например, DLP-системы, включающие управление инцидентами, антивирусную защиту, разграничение доступа и т.д.). Для небольших организаций, кроме определенных выше особенностей, свойственно также то, что большинство актуальных для них угроз являются именно внутренними, связанными со случайными или злоумышленными действиями сотрудников организации и (или) лиц, допущенных к компонентам ИС. Следовательно, для таких организаций подобные системы будут довольно востребованы, хотя определенные проблемы, связанные с регулированием (отсутствие явного регулирования DLP-систем, отсутствие сертификации у систем данного класса и т.п.), существенно ограничивают их применение.