Системы предотвращения утечек информации DLP

 

Предотвращение утечек (англ. Data Loss Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

 

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

 

Используются также следующие термины, обозначающие приблизительно то же самое:

Data Loss Prevention (DLP),

Data Leak Prevention (DLP),

Data Leakage Protection (DLP),

Information Protection and Control (IPC),

Information Leak Prevention (ILP),

Information Leak Protection (ILP),

Information Leak Detection & Prevention (ILDP),

Content Monitoring and Filtering (CMF),

Extrusion Prevention System (EPS).

 

Из этой группы пока не выделился один термин, который можно было бы назвать основным или самым распространённым.

 

Методы

 

Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок второго рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки первого рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.

[править]

Компоненты

 

В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.

[править]

Задачи

 

Основной задачей DLP-систем, что очевидно, является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Практика показывает, что большая часть ставших известными утечек (порядка 3/4) происходит не по злому умыслу, а из-за ошибок, невнимательности, безалаберности, небрежности работников [1]. Выявлять подобные утечки проще. Остальная часть связана со злым умыслом операторов и пользователей информационных систем. Понятно, что инсайдеры, как правило, стараются преодолеть средства DLP-систем. Исход этой борьбы зависит от многих факторов. Гарантировать успех здесь невозможно.

 

Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:

архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;

предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.);

предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;

предотвращение использования работниками казённых информационных ресурсов в личных целях;

оптимизация загрузки каналов, экономия трафика;

контроль присутствия работников на рабочем месте;

отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.

[править]

DLP-системы и закон

 

Практически во всех странах охраняется законом право на тайну связи и право на тайну частной жизни (приватность, privacy). Использование DLP-систем может противоречить местным законам в некоторых режимах или требовать особого оформления отношений между работниками и работодателем. Поэтому при внедрении DLP-системы необходимо привлекать юриста на самом раннем этапе проектирования.

 

Взаимоотношения DLP-систем с российским законодательством рассмотрены в ряде работ [2][3].

 

Информационная безопасность также описывается в ГОСТ, например, в ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью".

 

 

SymantecDataLossPreventionEnforcePlatform

 

Центральным компонентом для всей линейки является платформа управления SymantecDataLossPreventionEnforcePlatform, которая позволяет определять и распространять на другие компоненты решения политики по предотвращению потери конфиденциальных данных. Данный компонент также предоставляет единый веб-интерфейс для управления и работы с решениями линейки SDLP.

 

Symantec Data Loss Prevention Network Discover

 

Компонент SymantecDataLossPreventionNetworkDiscover обнаруживает незащищенные конфиденциальные данные, сканируя такие информационные ресурсы, как файловые хранилища, базы данных, почтовые серверы, веб-серверы и т.п.

 

Symantec Data Loss Prevention Data Insight

 

Компонент SymantecDataLossPreventionDataInsight позволяет отслеживать доступ к конфиденциальной информации для автоматического определения владельцев этих данных, что позволяет повысить гибкость процессов выявления конфиденциальных данных и управления ими.

 

Symantec Data Loss Prevention Network Protect

 

Компонент SymantecDataLossPreventionNetworkProtect является дополнением, расширяющим функциональность компонента SymantecDataLossPreventionNetworkDiscover в части снижения риска потери незащищенных конфиденциальных данных путем переноса этих данных с публичных хранилищ на сетевых серверах в карантин или защищенные хранилища.

 

Компоненты SDLP NetworkDiscover и SDLP NetworkProtect осуществляют защиту от утери конфиденциальных данных со следующих информационных ресурсов:

 

· сетевые файловые системы (CIFS, NFS, DFS и др.);

 

· локальные файловые системы на рабочих станциях и ноутбуках;

 

· локальные файловые системы (Windows, Linux, AIX, Solaris);

 

· БД LotusNotes;

 

· MicrosoftExchange;

 

· MicrosoftSharePoint;

 

· Documentum и др.

 

Symantec Data Loss Prevention Endpoint Discover и Symantec Data Loss Prevention Endpoint Prevent

 

Эти компоненты представлены двумя модулями:

 

Агент SDLP Agent, который устанавливается на рабочие станции пользователей (в том числе ноутбуки) и обеспечивает выполнение следующих функций:

 

· обнаружение незащищенных конфиденциальных данных на пользовательских рабочих станциях;

 

· блокировка передачи конфиденциальных данных (съемные носители информации, CD/DVD, печать, средства обмена мгновенными сообщениями и т.п.).