DLP — что это значит? Советы пользователю. на заметку. Классификация и сравнение DLP-систем

Сегодня часто можно услышать о такой технологии, как DLP системы. Что собой представляет такая система? Как она может быть использована? Под DLP-системами понимают программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при фильтрации и отправке. Данные сервисы также осуществляют мониторинг, обнаружение и блокирование конфиденциальной информации при ее использовании, движении и хранении. Утечка конфиденциальной информации, как правило, происходит по причине работы с техникой неопытных пользователей или злонамеренных действий.

Подобная информация в виде корпоративных или частных сведений, объектов интеллектуальной собственности, медицинской и финансовой информации, сведений о кредитных картах, нуждается в особых мерах защиты, предложить которые могут современные информационные технологии. Случаи утраты информации превращаются в утечку, когда источник, содержащий конфиденциальные сведения пропадает и оказывается у несанкционированной стороны. Утечка информации возможна и без потери.

Условно технологические средства, которые используются для борьбы с утечкой информации можно разделить на следующие категории:

— стандартные меры безопасности;
— интеллектуальные (продвинутые) меры;
— контроль доступа и шифрование;
— специализированные системы DLP.

Стандартные меры

К стандартным мерам безопасности относятся межсетевые экраны, системы обнаружения вторжений (IDS), антивирусное программное обеспечение. Они охраняют компьютер от аутсайдера и инсайдерских атак. Так. Например, подключение брандмауэра исключает доступ к внутренней сети посторонних лист. Система обнаружения вторжений может обнаружить попытки проникновения. Для предотвращения внутренних атак можно использовать антивирусные программы, обнаруживающие троянских коней, установленных на ПК. Также можно использовать специализированные сервисы, работающие в архитектуре клиент-сервер без какой-либо конфиденциальной или личной информации, хранящейся на компьютере.

Дополнительные меры безопасности

В дополнительных мерах безопасности используются узкоспециализированные сервисы и временные алгоритмы, которые предназначены для обнаружения ненормального доступа к данным, а точнее говоря к базам данных и информационно-поисковым системам. Также такие средства защиты позволяют обнаружить ненормальный обмен электронной почтой. Такие современные информационные технологии выявляют запросы и программы, которые поступают с вредоносными намерениями и осуществляют глубокие проверки компьютерных системы вроде распознавания звуков динамика или нажатий клавиш. Некоторые сервисы такого рода даже способны осуществлять мониторинг активности пользователей с целью обнаружения необычного доступа к данным.

Что собой представляют специально-разработанные DLP-системы?

Решения DLP, разработанные для защиты информации, служат для обнаружения и предотвращения попыток несанкционированного копирования и передачи конфиденциальной информации без разрешения или доступа со стороны пользователей, которые имеют право доступа к конфиденциальной информации. Для того чтобы классифицировать информацию определенного типа и отрегулировать доступ к ней, в этих системах используются такие механизмы, как точное соответствие данных, статистические методы, структурированная дактилоскопия, прием регулярных выражений и правил, опубликование кодовых фраз, ключевых слов, концептуальных определений. Рассмотрим основные типы и характеристики DLP-систем.

Network DLP

Данная система, как правило, представляет собой аппаратное решение или программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Такая система анализирует сетевой трафик с целью обнаружения конфиденциальной информации, отправляемой с нарушениями политики информационной безопасности.

Endpoint DLP

Системы такого типа функционируют на рабочих станциях конечных пользователей или серверах в организациях. Конечная точка, как и в других сетевых системах, может быть обращена как к внутренним, так и к внешним связям и, следовательно, может использоваться для контроля потока информации между типами и группами пользователей. Они также способны осуществлять контроль за обменом мгновенными сообщениями и электронной почтой. Происходит это следующим образом, прежде, чем данные сообщения будут загружены на устройство, они проверяются сервисом. При содержании неблагоприятного запроса сообщения будут заблокированы. Таким образом они становятся неоправленными и не попадают под действие правил хранения информации на устройстве.

Преимущество DLP системы заключается в том, что она может контролировать и управлять доступом к устройствам физического типа, а также получать доступ к информации до того, как она будет зашифрована. Некоторые системы, которые функционируют на основе конечных утечек, могут также обеспечить контроль приложений с целью блокировки попыток передачи конфиденциальной информации и обеспечения незамедлительной обратной связи с пользователем. Недостаток таких систем заключается в том, что они должны быть установлены на каждой рабочей станции в сети и не могут использоваться на мобильных устройствах вроде КПК или сотовых телефонов. Данное обстоятельство необходимо учитывать при выборе систем DLP для выполнения определенных задач.

Идентификация данных

Системы DLP содержат в себе несколько методов, направленных на выявление конфиденциальной и секретной информации. Данный процесс часто путают с процедурой расшифровки информации. Однако идентификация информации представляет собой процесс, при помощи которого организации используют технологию DLP для того, чтобы определить, что именно нужно искать. При этом данные классифицируются как структурированные или неструктурированные. Данные первого типа хранятся в фиксированных полях внутри файла, например, в виде электронных таблиц. Неструктурированные данные относятся к свободной форме текста. Если верить оценкам экспертов, то 80% всей обрабатываемой информации можно отнести к неструктурированным данным. Соответственно, только 20% от общего объема информации является структурированной. Для классификации информации используется контент-анализ, который ориентирован на структурированную информацию и контекстный анализ. Делается он по месту создания приложения или системы, в которой появилась информация. Таким образом, ответом на вопрос «что собой представляют DLP системы» может послужить определение алгоритма анализа информации.

Методы

Используемые в системах DLP методы описания конфиденциального содержимого на сегодняшний день очень многочисленны. Условно их можно поделить на две категории: точные и неточные. Точные – это методы, которые связаны с анализом контента и практически сводят к нулю все ложные положительные ответы на запросы. Остальные методы являются неточными. К ним относятся статистический анализ, байесовский анализ, мета-теги, расширенные регулярные выражения, ключевые слова, словари и т.д. Эффективность анализа данных напрямую будет зависеть от его точности. DLP система с высоким рейтингом имеет высокие показатели по данному параметру. Важное значение для избегания ложных срабатываний и других негативных последствий имеет точность идентификации DLP. Точность зависит от множества факторов, которые могут быть технологическими или ситуативными. Тестирование точности позволяет обеспечить надежность работы системы DLP.

Обнаружение утечек информации и их предотвращение

В некоторых случаях источник распределения данных делает доступной для третьей стороны конфиденциальную информацию. Часть этих данных скорее всего через некоторое время будет обнаружена в несанкционированном месте, например, на ноутбуке другого пользователя или в интернете. Системы DLP, стоимость которых предоставляется разработчиками по запросу, можно составлять от нескольких десятков до нескольких тысяч рублей. Системы DLP должны исследовать, как просочились данные от одного или от нескольких третьих лиц, осуществлялось ли это независимо, не была ли утечка информации обеспечена каким-то другими средствами.

Данные в состоянии покоя

Описание «данные в состоянии покоя» относится к старой архивной информации, которая хранится на любом из жестких дисков клиентского персонального компьютера, на удаленном файловом сервере, на диске сетевого хранилища. Это определение также относится к данным, которые хранятся в системе резервного копирования на компакт-дисках или флэшках. Такая информация предоставляет большой интерес для государственных учреждений или предприятий, поскольку большой объем данных содержится неиспользованным в устройствах памяти. В данном случае велика вероятность того, что доступ к информации будет получен неуполномоченными на то лицами за пределами сети.

Сегодня рынок DLP-систем являетсяодним из самых быстрорастущих среди всех средств обеспеченияинформационной безопасности . Впрочем, Беларусь пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP -систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как DataLeakPrevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и исходящую информацию. Контролируемой информацией должен быть не только интернет-трафик , но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации , DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала. Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

Контроль использования рабочего времени и рабочих ресурсов сотрудниками;
Мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
Контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
Выявление сотрудников, рассылающих резюме , для оперативного поиска специалистов на освободившуюся должность;

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников). Тем не менее, поскольку данные решения востребованы в Беларуси, они также включены в сравнительную таблицу, сопровождающую эту статью.

Классификация DLP-систем

Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя. Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками. Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLPработают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

Мировой рынок DLP

В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Об щий объём мирового рынка DLP-решений оценивается в 400 млн. долларов, что совсем немного по сравнению с тем же рынком антивирусов . Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

На рынок Беларуси огромное влияние имеет рынок её восточного соседа, России, уже достаточно большой и сформировавшийся. Основными игроками на нём сегодня являются российские компании: InfoWatch, «Инфосистемы Джет», SecurIT, SearchInform, Perimetrix и ряд других. Общий объём российского рынка DLP оценивается в 12?15 млн. долларов. Растет он при этом теми же темпами, что и мировой.

Главной из таких тенденций, как полагают эксперты, является переход от «заплаточных» систем, состоящих из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам . Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности : ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

Западные производители DLP-систем, пришедшие на рынок стран СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков (в случае Беларуси, впрочем, уместно говорить о поддержке русского, а не белорусского языка). Поскольку рынок СНГ весьма интересен западным вендорам, сегодня они ведут активную работу над поддержкой русского языка, которая является основным препятствием для их успешного освоения рынка.

Ещё одной важной тенденцией в сфере DLPявляется постепенный переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика – вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

Немаловажным фактором, влияющим на развитие DLP-систем, является также распространение ноутбуков и нетбуков в корпоративных средах. Специфика лэптопов (работа вне корпоративной среды, возможность кражи информации вместе с самим устройством и т.д.) заставляет производителей DLP-систем разрабатывать принципиально новые подходы к защите портативных компьютеров. Стоит отметить, что сегодня лишь немногие вендоры готовы предложить заказчику функцию контроля ноутбуков и нетбуков своей DLP-системой.

Применение DLP в Беларуси

В Беларуси DLP-системы применяются в сравнительно небольшом числе организаций, но их количество до начала кризиса уверенно росло. Тем не менее, собранную с помощью DLP-систем информацию белорусские организации вовсе не спешат предавать огласке, преследуя виновных в утечках информации сотрудников в судебном порядке. Несмотря на то, что белорусское законодательство содержит в себе нормы, позволяющие наказывать распространителей корпоративных секретов, подавляющее большинство организаций, использующих DLP-системы, предпочитают ограничиваться внутренними разбирательствами и дисциплинарными взысканиями, в крайнем случае увольняя провинившихся в особо крупных размерах сотрудников. Впрочем, традиция «не выносить сор из избы» характерна для всего постсоветского пространства, вотличие от западных стран, где об утечке данных сообщают всем, кто мог от неё пострадать.

Вадим СТАНКЕВИЧ

С егодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала. Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

контроль использования рабочего времени и рабочих ресурсов сотрудниками;
мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками.

Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLP работают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

Мировой рынок DLP

В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Общий объём мирового рынка DLP-решений оценивается в 400 млн долларов, что совсем немного по сравнению с тем же рынком антивирусов. Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

Перспективы и тенденции

Главной тенденцией, как полагают эксперты, является переход от «заплаточных» систем, состоящих из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам. Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности: ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

Западные производители DLP-систем, пришедшие на рынок стран СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков. Поскольку рынок СНГ весьма интересен западным вендорам, сегодня они ведут активную работу над поддержкой русского языка, которая является основным препятствием для их успешного освоения рынка.

Ещё одной важной тенденцией в сфере DLP является постепенный переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика - вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.

DLP -системы: что это такое

Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.

Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?

1. Корректно настроить правила безопасности

Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор"». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.

Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.

Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.

В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5-6 действительно неотложных инцидентов в день.

2. Актуализировать правила безопасности с определенной периодичностью

Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.

Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.

3. Продумать алгоритм реагирования на инциденты

Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.

4. Проверить работу режима блокировки

Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.

5. Проверить, введен ли режим коммерческой тайны

Дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».

Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.

Олег Нечеухин , эксперт по защите информационных систем, «Контур.Безопасность»

Стремительное развитие информационных технологий способствует глобальной информатизации современных компаний и предприятий. С каждым днем объемы информации, передаваемые через корпоративные сети больших корпораций и маленьких компаний, стремительно растут. Несомненно, что с ростом информационных потоков растут и угрозы, которые могут привести к потере важной информации, ее искажению или краже. Оказывается, потерять информацию гораздо проще, нежели какую-либо материальную вещь. Для этого не обязательно, чтобы кто-то совершал специальные действия для овладения данными – порой бывает достаточно неаккуратного поведения при работе с информационными системами или неопытности пользователей.

Возникает естественный вопрос, как же защитить себя, чтобы исключить факторы потери и утечки важной для себя информации. Оказывается, решить эту задачу вполне реально и сделать это можно на высоком профессиональном уровне. Для этой цели используются специальные DLP системы.

Определение DLP систем

DLP – это система предотвращения утечек данных в информационной среде. Она представляет собой специальный инструмент, с помощью которого системные администраторы корпоративных сетей могут отслеживать и блокировать попытки несанкционированной передачи информации. Кроме того, что такая система может предотвращать факты незаконного завладения информацией, она также позволяет отслеживать действия всех пользователей сети, которые связаны с использованием социальных сетей, общением в чатах, пересылкой e-mail сообщений и пр. Основная цель, на которую нацелены системы предотвращения утечек конфиденциальной информации DLP, является поддержка и выполнение всех требований политики конфиденциальности и безопасности информации, которые существуют в той или иной организации, компании, предприятии.

Область применения

Практическое применение DLP систем является наиболее актуальным для тех организаций, где утечка конфиденциальных данных может повлечь за собой огромные финансовые потери, существенный удар по репутации, а также потерю клиентской базы и личной информации. Наличие таких систем обязательно для тех компаний и организаций, которые устанавливают высокие требования к «информационной гигиене» своих сотрудников.

Лучшим инструментом для защиты таких данных, как номера банковских карт клиентов, их банковские счета, сведения об условиях тендеров, заказы на выполнения работ и услуг станут DLP системы – экономическая эффективность такого решение безопасности вполне очевидна.

Виды DLP-систем

Средства, применяемые для предотвращения утечек информации, можно разделить на несколько ключевых категорий:

стандартные инструменты безопасности;
интеллектуальные меры защиты данных;
шифрование данных и контроль доступа;
специализированные DLP системы безопасности.

К стандартному набору безопасности, который должен использоваться каждой компанией, относятся антивирусные программы, встроенные межсетевые экраны, системы выявления несанкционированных вторжений.

Интеллектуальные средства защиты информации предусматривают использование специальных сервисов и современных алгоритмов, которые позволят вычислить неправомерный доступ к данным, некорректное использование электронной переписки и пр. Кроме этого, такие современные инструменты безопасности позволяют анализировать запросы к информационной системе, поступающие извне от различных программ и сервисов, которые могут играть роль своего рода шпионов. Интеллектуальные средства защиты позволяют осуществлять более глубокую и детальную проверку информационной системы на предмет возможной утечки информации различными способами.

Шифрование важной информации и использование ограничения доступа к определенным данным – это еще один эффективный шаг к тому, чтобы минимизировать вероятность потери конфиденциальной информации.

Специализированная система предотвращения утечек информации DLP представляет собой сложный многофункциональный инструмент, который способен выявить и предупредить факты несанкционированного копирования и передачи важной информации за пределы корпоративной среды. Эти решения позволят выявить факты доступа к информации без наличия на это разрешения или с использованием полномочий тех лиц, которые такое разрешение имеют.

Специализированные системы используют для своей работы такие инструменты, как:

механизмы определения точного соответствия данных;
различные статистические методы анализа;
использование методик кодовых фраз и слов;
структурированная дактилоскопия и пр.;

Сравнение этих систем по функциональности

Рассмотрим сравнение DLP систем Network DLP и Endpoint DLP.

Network DLP – это специальное решение на аппаратном или программном уровне, которое применяется в тех точках сетевой структуры, которые расположены вблизи «периметра информационной среды». С помощью этого набора инструментов происходит тщательный анализ конфиденциальной информации, которую стараются отправить за пределы корпоративной информационной среды с нарушением установленных правил информационной безопасности.

Endpoint DLP представляют собой специальные системы, которые применяются на рабочей станции конечного пользователя, а также на серверных системах небольших организаций. Конечная информационная точка для этих систем может применяться для контроля как с внутренней, так и внешней стороны «периметра информационной среды». Система позволяет анализировать информационный трафик, посредством которого происходит обмен данными как между отдельными пользователями, так и группами пользователей. Защита DLP систем такого типа ориентирована на комплексную проверку процесса обмена данными, включая электронные сообщения, общение в социальных сетях и прочую информационную активность.

Нужно ли внедрять эти системы на предприятия?

Внедрение DLP систем является обязательным для всех компаний, которые дорожат своей информацией и стараются сделать все возможное, чтобы предотвратить случаи ее утечки и потери. Наличие таких инновационных инструментов безопасности позволит компаниям исключить распространение важных данных за пределы корпоративной информационной среды по всем доступным каналам обмена данными. Установив у себя DLP-систему, компания получит возможность контролировать:

отправку сообщений с использованием корпоративной Web-почты;
использование FTP-соединений;
локальные соединения с использованием таких технологий беспроводной связи, как WiFi, Bluetooth, GPRS;
обмен мгновенными сообщениями при помощи таких клиентов, как MSN, ICQ, AOL и пр.;
применение внешних накопителей – USB, SSD, CD/DVD и пр..
документацию, которая отправляется на печать с применением корпоративных устройств печати.

В отличие от стандартных решений безопасности, компания, у которой установлена DLP система Securetower или ей подобная, сможет:

контролировать все виды каналов обмена важной информацией;
выявлять передачу конфиденциальной информации в независимости от того, каким способом и в каком формате она передается за пределы корпоративной сети;
блокировать утечку информации в любой момент времени;
автоматизировать процесс обработки данных в соответствии принятой на предприятии политикой безопасности.

Использование DLP-систем будет гарантировать предприятиям эффективное развитие и сохранение своих производственных секретов от конкурентов и недоброжелателей.

Как происходит внедрение?

Чтобы установить у себя на предприятии в 2017 году DLP систему следует пройти несколько этапов, после реализации которых предприятие получит эффективную защиту своей информационной среды от внешних и внутренних угроз.

На первом этапе внедрения осуществляется обследование информационной среды предприятия, что включает в себя следующие действия:

изучение организационно-распорядительной документации, которая регламентирует информационную политику на предприятии;
изучение информационных ресурсов, которые используются предприятием и его сотрудниками;
согласование перечня информации, которая может относиться к категории данных с ограниченным доступом;
обследование существующих способов и каналов передачи и приема данных.

По итогам обследования составляется техническое задание, которое будет описывать те политики безопасности, которые нужно будет реализовать, используя DLP-систему.

На следующем этапе следует регламентировать юридическую сторону использования DLP-систем на предприятии. Важно исключить все тонкие моменты, чтобы потом не было судебных исков со стороны сотрудников в плане того, что компания за ними следит.

Уладив все юридические формальности, можно приступать к выбору продукта информационной безопасности – это может быть, например, DLP система Infowatch или любая иная с подобного рода функциональными возможностями.

После выбора подходящей системы можно приступать к ее установке и настройке для продуктивной работы. Настраивать систему следует таким образом, чтобы обеспечить выполнение всех задач безопасности, обусловленных в техническом задании.

Заключение

Внедрение DLP-систем достаточно сложное и кропотливое занятие, которое требует достаточно много времени и ресурсов. Но не стоит останавливаться на полпути – важно пройти все этапы в полной мере и получить высокоэффективную и многофункциональную систему защиты своей конфиденциальной информации. Ведь потеря данных может обернуться огромным ущербом для предприятия или компании как в финансовом плане, так и в плане ее имиджа и репутации в потребительской среде.