DLP системы - введение

Заказать услугу

Действие классических инструментов информационной безопасности, разрабатываемых и оттачиваемых уже не один десяток лет, направлено на разграничение доступа.

Классификация информации по степени конфиденциальности и грамотное применение прав доступа, средств аутентификации и групп пользователей позволяют существенно сократить риск утечки конфиденциальной информации через неавторизованных сотрудников.

Но как предотвратить утечки через сотрудников, которым доступ к конфиденциальным данным необходим для исполнения их служебных обязанностей? Возможно ли разрешить сотрудникам отдела маркетинга создавать, просматривать и редактировать конфиденциальные планы вывода на рынок новых продуктов, но ограничить возможность их отправки конкурентам?

Именно для этого предназначен новый класс технических средств информационной безопасности – DLP системы.

Аббревиатура DLP расшифровывается Data Loss Prevention, что в переводе с английского означает «предотвращение утечки данных», или «защита от утечки данных».

DLP системы позволяют гибко управлять действиями пользователей, например, разрешить или запретить копирование конфиденциальной информации на USB флешки, ее отправку по электронной почте, через системы мгновенных сообщений или интернет форумы.

На рынке представлено множество DLP систем различных производителей, но все они имеют сходный алгоритм работы, который можно схематически изобразить рисунком:

Алгоритим работы DLP систем

Этот алгоритм прост, логичен и не требует для своего понимания каких-либо специальных технических знаний.

Предположим, Вы хотите управлять передачей информации по определенному каналу, для этого вам необходимо:

  1. Перехватить передаваемую информацию, иначе Вы не только не сможете ею управлять, но даже не узнаете о факте передачи.
  2. Классифицировать передаваемую информацию – выявить золотые крупицы в бурном потоке информационного обмена Вашей огранизации.
  3. Применить правила – выловить золотые крупицы из общего потока и использовать их на благо организации.

Рассмотрим эти три этапа работы DLP систем подробнее.

  1. Понятие «перехват информации» в данной статье будем трактовать в широком смысле – это может быть как полноценное «вклинивание» в логический канал между источником и приемником информации, с возможностью разрешения или запрета дальнейшей передачи данных, так и получение копии передаваемых данных для их анализа и архивирования.
  2. После того, как передаваемые данные перехвачены, их необходимо классифицировать, т.е. определить, является ли перехваченная информация конфиденциальной или требующей специального внимания. Есть несколько основных технических подходов к определению конфиденциальных данных:
    • лингвистический и морфологический анализ
    • использование «цифровых отпечатков»
    • использование специальных меток или других внешних атрибутов
    Более подробно перечисленные методы анализа информации, а также их сильные и слабые стороны, будут рассмотрены в следующей статье цикла о DLP системах.
  3. После того, как данные перехвачены и классифицированы, настало время решить, что делать с перехваченными данными дальше, и выполнить выбранные действия. Обычно, действие в конечном итоге представляет собой какое-либо одно или комбинацию из списка:
    • пропустить данные (разрешить их дальнейшую передачу)
    • запретить передачу данных
    • сохранить передаваемые данные в архив, для обеспечения возможностей их дальнейшего анализа или проведения расследований
    • занести в журнал факт передачи (или попытки передачи) информации
    • оповестить кого-либо о передаче или попытке.
    Решение о том, какое действие следует принять, обычно принимается на основе формальных правил, например:

    « В случае, если передаваемая информация классифицирована как конфиденциальная, выполнить следующие действия:
    • сохранить копию передаваемых данных в архив для дальнейших расследований
    • передачу данных запретить
    • занести в журнал инцидентов информационной безопасности попытку передачи конфиденциальной информации
    • оповестить отправителя информации и офицера безопасности об инциденте информационной безопасности »

Итак, в первой части цикла статей о DLP системах мы попытались просто и доступно объяснить, что такое DLP системы, для чего они нужны и общий принцип их работы.

Различия между DLP системами, представленными на рынке, в основном заключаются в деталях реализации трех общих этапов, описанных выше, и будут рассмотрены подробнее в следующей статье.


Другие услуги
MCAFEE
Лаборатория Касперского
Avaya
Cisco
GFI
Citrix
MICROSOFT
SYMANTEC
VMware
Websense Inc.
Trend Micro
InfoWatch
prev next