Применение dlp систем как инструмента обеспечения информационной безопасности компании

Тимченко Г.В.
выпускник группы МВА CISO-01
Школы IT менеджмента
РАНХиГС при Президенте РФ

Данная работа рассматривает информационные активы Компании и их уязвимости при различных типах угроз. В случаи реализации угроз Компания несёт убытки не только финансовые, но и опасности подвергается репутация компании, что ставит под сомнение её дальнейший успех.

В рамках дипломного проекта рассматривается объект, использующий в процессе документооборота информацию, являющуюся коммерческой тайной. Таким образом, можно сделать вывод, что данный объект подлежит анализу на соответствие требованиям законодательства, и в случае не соответствия – подлежит модернизации.

Предметом исследования является защита от утечки конфиденциальной информации из Компании.

Актуальность работы связана с увеличивающимся количеством утечек информации в организациях и необходимостью защиты от таких утечек. Эти задачи выполняют так называемые DLP – системы.

Целью проекта является повышение уровня защищённости системы информационной безопасности в ООО «ХХХ».
Задачи дипломного проекта:

• Исследование понятия «информационная безопасность»;
• Классификация каналов утечки информации;
• Описание общих мероприятий по обеспечению информационной безопасности;
• Анализ особенностей DLP-систем и их места в системе информационной безопасности компании;
• Проведение сравнительного анализа DLP-систем;
• Разработка организационных мер по защите информации;
• Описание реализации проекта.

Гипотеза работы заключается в том, что при существующем положении дел после внедрения программного комплекса по защите от утечек информации количество таких утечек резко сократится либо вообще прекратится.

В первой главе рассмотрена задача построения информационной безопасности, для решения которой проводится характеристика информационной системы предприятия, угроз ИБ, и выдвижение требований к системе защиты информационной безопасности.

При этом, под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Далее рассматривается комплекс методов, применяемых для решения задачи защиты информации. Данный комплекс включает в себя: организационные, инженерно-технические, технические и программно-аппаратные методы.

Организационные методы направлены на исключение возможности тайного проникновения на территорию объектов Компании посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников, создание отдельных зон с самостоятельной системой доступа, ознакомление и изучение сотрудников, их обучение работе с защищаемой информацией, ознакомление с мерой ответственности за разглашение, контроль за действиями персонала, проведение расследований нарушений установленных правил.

Инженерно-технические методы ориентированы на оптимальное построение зданий, сооружений, сетей инженерных и транспортных коммуникаций Компании с учетом требований обеспечения безопасности информации.

Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и ориентированы на устранение угроз, связанных с действиями внешних антропогенных источников угроз по добыванию информации незаконными техническими средствами.

Программно-аппаратные методы нацелены на устранение проявления угроз, непосредственно связанных с процессом обработки и передачи информации в информационных системах.

Система обеспечения безопасности информации (СОБИ) представляет собой практическую реализацию на объекте защиты комплекса методов, способов и приёмов противодействия возможным деструктивным воздействиям при реализации значимых угроз.

Во второй главе затрагиваются общие вопросы работы DLP-систем, их роль и особенности применения, проведён сравнительный обзор существующих программных продуктов.

Существующие DLP-системы обеспечивают контроль над распространением конфиденциальной информации за пределы предприятия по всем доступным каналам. DLP-решения (Data Loss Prevention) предотвращают несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы Компании, пересохранение в альтернативные директории и т.д.) через контроль:

• отправки корпоративной и web-почты (mail.ru, gmail.com и т.п.);
• ftp-соединений;
• передачи мгновенных сообщений (ICQ, MSN, AOL и т.п.);
• печати документов на принтере;
• использования внешних USB-накопителей, CD/DVD, мобильных устройств;
• локальных соединений – Bluetooth, WiFi и т.п.

Основные преимущества систем DLP перед альтернативными решениями – продуктами шифрования, разграничения доступа, контроля доступа к сменным носителям, архивирования электронной корреспонденции, статистическими анализаторами – это:

• контроль над всеми каналами передачи конфиденциальной информации в электронном виде (включая локальные и сетевые способы), регулярно используемыми в повседневной деятельности;
• обнаружение защищаемой информации по ее содержимому (независимо от формата хранения, каналов передачи, грифов и языка);
• блокирование утечек (приостановка отправки электронных сообщений или записи на USB-накопители, если эти действия противоречат принятой в компании политике безопасности);
• автоматизация обработки потоков информации согласно установленным политикам безопасности (внедрение DLP-системы не требует расширения штата службы безопасности).

Основное назначение DLP — обеспечивать защиту от случайного или намеренного распространения конфиденциальной информации со стороны сотрудников, имеющих доступ к информации в силу своих должностных обязанностей. Но, помимо того, любая DLP может быть настроена и для борьбы со злонамеренными инсайдерами.

Тем не менее, DLP не могут в прямом смысле предотвратить все утечки, поскольку существуют человеческий фактор, хакерские способы обхода системы. Коммерческая целесообразность данных систем заключается в значительном снижении рисков утечки информации по неосторожности и в частичном снижении рисков преднамеренной кражи конфиденциальных сведений.

Третья  глава посвящена устранению недостатка в системе информационной безопасности предприятия, а именно описанию структуры используемой DLP-системы и внедрения программного-аппаратного комплекса для защиты информации компании.

Одной из основных организационных мер по защите информационной безопасности будет добавление в штат Компании специального сотрудника, отвечающего за разработку, внедрение и выполнение мер информационной безопасности. В качестве альтернативы, возможно наделение уже работающего сотрудниками вышеуказанными функциями.

Кроме того, в рамках организационного направления работ создаётся комплексная система защиты информации (КСЗИ), т.е. совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм её представления.

КСЗИ включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом, при создании подразделения, ответственного за защиту информации (СОК), при обучении и консультации сотрудников СОК, работы по уточнению требований к характеристикам защищённости системы, анализ информационной структуры, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.

Для развёртывания системы защиты информации потребуется установка программного комплекса на специально выделенный сервер. При этом обеспечивается такая конфигурация сети, сетевого оборудования, что весь трафик организации перенаправляется через элементы данного комплекса. Каждый элемент выполняет свои функции по анализу трафика, выделяя неразрешенный или опасный.

В дипломном проекте рассмотрено существующее положение с защитой информации в компании ООО «ХХХ» и сделан вывод, что используемых мер и средств недостаточно.

В качестве основного средства повышения информационной безопасности предлагается использовать семейство программных комплексов защиты информации в составе:

• Zgate — сетевая DLP-система для защиты от утечек корпоративной информации;
• Zlock — система, обеспечивающая  предотвращение утечек конфиденциальной информации через периферийные устройства;
• Zdisk – средство защиты от НСД для  рабочих станций.

Предлагаемый комплекс мероприятий позволит вывести обеспечение информационной безопасности обрабатываемой и передаваемой информации на качественно новый уровень.

Дальнейшее совершенствование системы защиты информации предполагается развивать в направлении конвергенции различных областей информационной безопасности, в частности в следующих направлениях:

• непрерывной модернизации системы защиты информации;
• строгом выполнении и контроле мероприятий разработанной политики  безопасности;
• создании понятия неотвратимой ответственности за нарушение требований политики безопасности у сотрудников предприятия;
• ужесточении требований, предъявляемых к персоналу;
• внедрении современных программных комплексов защиты информации.

Многофункциональные DLP-системы призваны решить задачу защиты информации, полностью исключив ее утечку за пределы компании. Сложность установки и внедрения, высокая цена некоторых программных продуктов может отпугнуть небольшой частный бизнес. Однако на российском рынке представлены DLP-решения, которые вполне способны заинтересовать эту категорию покупателей.

Необходимость защиты информации в небольших компаниях

Небольшие компании частного бизнеса далеко не всегда работают в сфере торговли. В этом формате создается большинство инновационных, внедренческих, научных предприятий, занимающихся актуальными разработками. И интерес конкурентов к их решениям способен привести к организации намеренных утечек. Кроме патентов и результатов исследований ценность для конкурентов могут иметь следующие категории данных:

• стратегические планы развития компании;
• уникальные бизнес-процессы;
• информация о ключевых сотрудниках;
• персональные данные клиентов (например, для фирм, работающих в сфере медицины).

Внедрение актуального DLP-решения (аббревиатура расшифровывается как Data Leak Prevention – предотвращение утечек данных) для малого и среднего бизнеса способно обезопасить эти сведения и от инсайдерских, и от внешних угроз. Помимо использования DLP, задача обеспечения информационной безопасности решается следующими мерами:

• разработка внутренних регламентов по работе с информационными системами;
• установка программ для антивирусной защиты;
• использование средств криптографической защиты для шифрования важных сведений;
• инструктаж персонала по работе с конфиденциальной информацией и персональными данными.

Если небольшая компания, работающая с персональными данными, например, туристическое агентство, не готова тратить средства на внедрение DLP-системы, она, скорее, приобретет одно из программных решений, которые позволяют отслеживать использование сотрудниками рабочего времени. Эти программы частично воспроизводят функционал DLP, хотя и не могут заменить их полностью. В ряде случаев есть возможность рассмотреть установку системы защиты от утечек конфиденциальной информации как сервисное решение, которое поставляется вендорами на условиях аутсорсинга.

В случае принятия решения о внедрении расходы на установку DLP будут состоять из трех категорий:

• стоимость самого программного обеспечения и его внедрения;
• доработка аппаратной части (при необходимости);
• обучение сотрудников или прием на работу новых.

Эти расходы будут оправданны, если информация, подлежащая защите, имеет высокую ценность. Серьезной сложностью для малого бизнеса станет настройка системы – ее необходимо наполнить информацией, которая сможет идентифицировать утечки именно конфиденциального контента. Эта задача часто оказывается не по силам простому системному администратору. Также в небольших фирмах часто доступ к наиболее важным файлам изначально имеет только руководство, что снижает необходимость контроля за действиями рядовых пользователей.

Установка DLP при всех ее преимуществах будет оправданна только в том случае, когда ценность обрабатываемой информации существенно выше стоимости внедрения – если данные доступны многим пользователям, и к ним может возникнуть интерес конкурентов. Примером такой информации могут стать научные разработки, выполняемые в рамках государственного контракта.

Если решение о приобретении и внедрении продукта принято, определенное время придется потратить на изучение рынка и выбор варианта, адаптированного для русскоязычной аудитории. При выборе DLP руководители компаний и ИБ-специалисты обращают внимание на следующие параметры:

• количество контролируемых каналов, на которых осуществляется защита от утечек. Среди них обязательно должны быть электронная почта, съемные носители, в том числе флеш-карты, а также запросы по протоколу HTTP, мессенджеры и вывод на печать. Некоторые компании могут заинтересоваться возможностью контроля выполнения скринов с экрана;
• наличие в системе локальных агентов;
• качество аналитического аппарата;
• многофункциональность, способность решать несколько задач одновременно;
• простота администрирования, возможность осуществления техподдержки силами штатных или приглашенных ИБ-специалистов; 
• доступность по цене;
• возможность интеграции с такими часто используемыми программами, как SIEM-системы и «ГосСОПКА»;
• наличие решения в реестре рекомендуемых программ для ЭВМ и БД, наличие у вендора требуемых законодательством сертификатов;
• способность работать с русскоязычным контентом.

Небольшой бизнес редко может позволить себе проводить длительное, многомесячное внедрение продукта, настройку его аналитики под свои запросы. Поэтому он нуждается в готовом, фактически «коробочном», решении. При его внедрении компания будет заинтересована в том, чтобы применение системы полностью соответствовало требованиям российского законодательства, не было классифицировано как слежка и нарушение прав человека.

Открытые решения

Современный рынок программных продуктов готов предложить малому и среднему бизнесу открытые решения, установка которых является бесплатной. Это такие продукты, как OpenDLP и MyDLP. По сравнению с системными вариантами, стоимость которых начинается от миллиона рублей, такие способы решения задач информационной безопасности кажутся оптимальными. MyDLP эксперты рекомендуют чаще, поскольку его функционал наиболее адекватно отвечает поставленным задачам. Разработчики предлагают два вида лицензий на продукт. Испробовав бесплатную Community, компания может перейти на недорогую и уже знакомую лицензию Enterprise. В любом случае это окажется дешевле приобретения иной системы. Существенной разницей в их использовании будет то, что, зафиксировав инцидент информационной безопасности, версия Community выдаст окно с уведомлением о тревоге, а Enterprise сохранит копию файла.

Установка программы, которую можно скачать на сайте разработчика, займет не более получаса. Инструкция по установке и подробная техническая документация также находятся на сайте. Для контроля электронной почты требуется настроить сервер, создав шлюз к proxy- и smtp-серверам. Правила контроля данных настраиваются самостоятельно, для этого нужно воспользоваться вкладкой Policy.

Приобретение системы

Если компания все же решит выбирать из решений, имеющихся на рынке, необходимо обращать внимание на отечественные продукты. Они имеют русскоязычный интерфейс, понятную документацию. Считается, что система поиска по архиву и аналитика у отечественных продуктов лучше, чем у зарубежных. При этом в архиве сохраняется весь трафик, а не только сведения об инцидентах информационной безопасности. Российская политика импортозамещения, направленная на обеспечение информационной безопасности страны, делает приобретение отечественных продуктов более экономически обусловленным. 

Так, при закупке программного обеспечения на торгах, проводимых государственными органами или компаниями с госучастием, предложения российских компаний окажутся приоритетными. Коэффициент оценки их стоимости при общей оценке заявки снизится на 15%. Условно говоря, если иностранная и российская компания предложат выполнить заказ за 100 рублей, в целях определения победителя цена в заявке отечественного разработчика будет принята за 85 рублей. 

Такая политика стимулирует активное наращивание потенциала разработок российских компаний, их надежности и удобства. Кроме того, иностранное решение может оказаться неактуальным после того, как будет принят разрабатываемый правительством законопроект о суверенном Рунете, который может создать конфликт между установленными российскими провайдерами средствами борьбы с информационными угрозами и западным программным обеспечением.

DLP для малого бизнеса окажется оптимальным решением в том случае, если расходы на его установку оправдываются ценностью охраняемых данных, а руководство и персонал хорошо понимают, какой продукт и в каких целях они приобретают.

Нужна такая же работа?

Оставь заявку и получи бесплатный расчет

Несколько простых шагов

Для предотвращения утечек SecureTower интегрируется в корпоративную сеть организации и контролирует весь внутренний и внешний трафик, такой как электронная почта, веб-активность, мессенджеры, USB-подключения и т. д. Для мониторинга применяются две схемы перехвата (рис. 1) — серверный и агентский. В первом случае решение анализирует трафик на сервере, во втором перехват происходит непосредственно на рабочих станциях. Второй способ перехвата позволяет значительно расширить перехватываемые каналы, охватив в том числе большинство мессенджеров и веб-трафик по протоколу HTTPS. В зависимости от нужд заказчика способы перехвата могут комбинироваться или использовать только определенные модули системы. Также существуют методы перехвата без установки агентов, такие как совместная работа SecureTower с proxy-устройствами при помощи ICAP-интеграции (контроль веб-трафика) и интеграция с почтовым сервером (контроль корпоративной почты).

Все перехваченные данные анализируются системой для выявления инцидентов, представляющих интерес для соответствующей службы. Их анализ происходит на основе заранее заданных правил безопасности, которые могут быть самыми разными и сколь угодно сложными: система способна, например, уведомлять о передаче большого числа файлов на печать сотрудниками определенного отдела или блокировать передачу по электронной почте документа, содержащего данные из базы конфиденциальных документов. Все уведомления о событиях отправляются ответственному лицу, которое уже принимает решение, был ли инцидент правомерным или необходимо начать расследование.

Для чего нужна DLP

Первоочередная задача, решаемая с помощью внедрения DLP-системы, — защита корпоративных данных от утечки. Использование системы — один из ключевых элементов в процессе построения эффективной системы управления информационной безопасностью. Без нее говорить о какой-либо защищенности от инсайдеров в компании бессмысленно.

Эффективность DLP проявляется не только в упреждении угроз информационной безопасности, но и в работе с бизнес-процессами. Благодаря тому что весь информационный трафик становится доступен для просмотра и оценки, появляется возможность для существенной оптимизации процессов — в том числе с точки зрения бизнес-составляющей. Задачи, на которые без DLP уходили бы значительные временные и человеческие ресурсы (например, классификация информационных активов), решаются значительно быстрее и качественнее.

DLP-система является эффективным инструментом для руководителей и HR-менеджеров. С помощью нее можно получать полную картину рабочего дня сотрудников, корректировать сроки и распределение задач, выявлять слабые места во взаимодействии персонала. В системе также возможен учет рабочего времени и активности сотрудников в рабочих программах.

Для создания полной картины информационных потоков DLP сохраняет все переданные и полученные данные. Это позволяет использовать SecureTower как инструмент ведения архивов бизнес-коммуникации. Любой диалог, а также переданный или полученный документ, можно восстановить из архива.

Как работать с DLP

Для работы с системой предусмотрены две консоли — для администратора и для клиента. Первая позволяет взаимодействовать с серверными компонентами, а вторая предназначена для непосредственной работы с продуктом.

В клиентской консоли для работы с системой доступны семь модулей: модуль активности пользователей, модуль поиска информации, мониторинг файловых систем, модуль комбинированного поиска, центр обеспечения безопасности, центр отчетности и мониторинг в режиме реального времени.

Активность пользователей

Система в автоматическом режиме сохраняет всю перехваченную пользовательскую информацию. Данный модуль обеспечивает возможность ее просмотра и ретроспективного анализа. Здесь можно увидеть всю активность работника за любой период времени. Для каждого сотрудника в системе заводится профайл, в который можно экспортировать данные из Active Directory, а также дополнить его почтовыми адресами, аккаунтами в мессенджерах и т. д. В ходе работы системы профайлы могут заводиться и на всех внешних абонентов, с которыми сотрудник ведет общение, т. е. если сотрудник общается с каким-то внешним контактом, есть возможность посмотреть, с кем еще из работников организации ведет переписку этот контакт. Для удобства все эти данные визуализированы в граф-анализаторе (рис. 2).

Пользователей можно структурировать по группам, в зависимости, например, от отдела. Доступна статистика по активности каждого сотрудника в течение рабочего дня: количество полученных и отправленных писем, пересылаемых документов, использование принтера и т. д. Все документы можно просмотреть непосредственно в системе или сохранить их на локальный компьютер. В этом же модуле можно увидеть скриншоты рабочего стола пользователя, автоматически создаваемые через заданные промежутки времени.

Поиск информации/ комбинированный поиск/ мониторинг файловых систем

Данные модули позволяют осуществлять поиск нужных документов в перехваченной информации и на компьютерах пользователей. С помощью простого поиска можно находить нужные файлы среди перехваченных документов. Параметры запроса можно конфигурировать, а в результатах поиска просмотреть, когда и какими сотрудниками был передан искомый документ.

Мониторинг файловых систем позволяет выявлять конфиденциальные корпоративные документы, которые по какой-то причине оказались на компьютерах сотрудников. Для контроля передвижения критически важных данных в системе можно создать банк эталонных документов, оборот которых необходимо контролировать. Мониторинг рабочих станций сотрудников осуществляется автоматически: настроенные в системе правила безопасности срабатывают при появлении на компьютере того или иного работника документа, совпадающего с образцом, хранящимся в банке данных.

При комбинированном поиске можно использовать сложные правила и задавать несколько условий: например, вести поиск среди перехваченной информации определенного отдела документа определенного формата, более чем на 70% совпадающего с конфиденциальным.

Центр обеспечения безопасности

В этом разделе можно задать правила безопасности и просматривать архив уведомлений об их нарушениях. Правила устанавливаются как обычные, так и статистические. Также существует возможность задания правил безопасности с контролем по словарю (словари создаются предварительно в системе) или цифровым отпечаткам (базы данных цифровых отпечатков основаны на конфиденциальных документах). Для каждого установленного правила можно назначать подписчиков на уведомления — как сотрудников службы безопасности, так и, например, руководителей отделов.

Центр отчетности

В этом модуле можно просмотреть отчеты за произвольный промежуток времени по всем пользователям (или группам пользователей) и перехватываемым каналам. Отчеты полностью настраиваемые и дают возможность как оценить ежедневную работу сотрудников, так и получить актуальную информацию по инцидентам безопасности. Здесь же можно настроить автоматическое создание отчетов по расписанию и отправку их на электронную почту.

Мониторинг в режиме реального времени

В данном модуле можно в режиме реального времени подключиться к компьютеру работника. Доступен как аудиомониторинг (через подключенную к компьютеру гарнитуру), так и режим просмотра рабочего стола сотрудника.

Внедрение DLP

На первом этапе компании, решившей внедрить у себя DLP-систему, следует провести пилотное тестирование выбранного продукта. Для его проведения предоставляется бесплатная триальная версия на ограниченное количество рабочих мест. Уже во время тестирования становятся видны первые результаты работы системы — выявляются остававшиеся до этого незаметными нарушители. Полученные результаты чаще всего обеспечивают окупаемость системы уже на стадии пилота.

Отличительной чертой внедрения SecureTower является простота этого процесса. Для установки этой системы не требуется привлечение консалтинга или наличие специального оборудования, настройка производится из одной консоли, а развертывание и запуск системы занимает считанные часы.

После внедрения работа с DLP становится частью ежедневных процессов службы безопасности. Постоянное улучшение правил безопасности и выявление критических мест позволяет обеспечить должный уровень защищенности организации.

Библиографическое описание:

Баранов, А. С. Использование систем предотвращения утечек данных в организациях / А. С. Баранов. — Текст : непосредственный // Молодой ученый. — 2020. — № 48 (338). — С. 15-16. — URL: https://moluch.ru/archive/338/75562/ (дата обращения: 22.03.2023).

Data loss prevention (DLP) — предотвращение утечек данных. DLP-системы — программные и программно-аппаратные средства, которые защищают конфиденциальные данные от утечки за пределы информационной системы организации. В данной статье рассматриваются вопросы, связанные с основными функциями DLP-систем и угрозами, которые способны обнаружить данные системы.

Ключевые слова:

DLP-системы, информационная безопасность, утечка конфиденциальной информации.

Информация в большинстве компаний является одним из самых важных активов, поэтому утечка конфиденциальных данных от несанкционированных действий является актуальной угрозой. Большинство потерь ценной информации связано с внутренними угрозами. Нарушение конфиденциальности информации может серьезно повлиять на репутацию компании, вплоть до ее закрытия.

Рассмотрим три распространенные причины утечки данных:

– Инсайдерские угрозы, при которых злоумышленник, скомпрометировавший привилегированную учетную запись пользователя, злоупотребляет своими правами доступа и пытается переместить данные за пределы организации.

– Угрозы злоумышленника, целью кибератак которого являются конфиденциальные данные. Злоумышленники проникают через периметр безопасности, используя такие методы, как фишинг, вредоносное ПО или внедрение кода, и получают доступ к конфиденциальным данным.

– Непреднамеренное или небрежное раскрытие данных, происходящее в результате того, что сотрудники теряют конфиденциальные данные публично, предоставляют открытый доступ к данным в Интернете или не ограничивают доступ в соответствии с политикой организации.

Традиционные средства защиты информации, такие как антивирусы, межсетевые экраны и др. неспособны противостоять внутренним нарушителям.

Проблема потери конфиденциальных данных может быть решена с помощью систем предотвращения утечек/потерь (DLP). DLP-решения помогают выявлять, контролировать, защищать и снижать риски утечки конфиденциальных данных. Их используют для обнаружения и предотвращения несанкционированного доступа пользователей к конфиденциальным данным, а также для защиты тех данных, которые могут быть случайно или преднамеренно переданы третьим лицам.

Функции, распространенные в DLP-решениях, включают в себя:

– Мониторинг — обеспечивает видимость данных и доступ к системе.

– Фильтрация— фильтруются потоки данных, чтобы ограничить подозрительную или неизвестную активность.

– Отчеты — обеспечивают ведение журнала, полезные для реагирования на инциденты и аудита.

– Анализ — может выявлять уязвимости и подозрительное поведение и предоставлять данные операторам системы.

При внедрении DLP-системы в информационную систему организации необходимо произвести правильную настройку политики безопасности DLP-системы, чтобы проводимые меры, направленные на избежание утечки конфиденциальной информации, не противоречили требованиям законодательства в сфере защиты личной и семейной тайны, а также праву граждан на тайну переписки

Необходимо, чтобы DLP-система самостоятельно сканировала почтовый трафик и выявляла письма, связанные с возможной утечкой конфиденциальной информации. В таком случае оператор DLP-системы видит только оповещение о возможном наличии конфиденциальных данных в отправленном письме, а не его содержание, и поскольку анализ письма производит программа, которая не является субъектом права, не нарушается ни право работников на тайну переписки, ни положения законодательства. Дальнейшие действия оператора DLP-систем в случае появления подобного оповещения зависят от принятых в организации регламентирующих документов.

Также требуется внести информацию в политику безопасности организации о недопустимости использования корпоративной почтовой системы в личных целях, что позволит переложить на работников ответственность за использование корпоративной почты для нерабочих целей, поскольку почтовые ресурсы и их содержимое принадлежат организации. Однако в данном пункте необходимо уточнить, что организация не имеет умысла читать переписку и не будет ей пользоваться при обнаружении.

Внедряя DLP-систему в информационную систему организации, важно проинформировать работников, что позволяет предотвратить утечки конфиденциальной информации и носит профилактический характер [1].

Королев В. В. рассмотрел основные методы контекстного контроля в DLC-системах: сигнатуры, регулярные выражения, Database Fingerprinting, Partial Document Matching, статический анализ, концептуальный анализ, категоризации. Автор выделил две серьезные проблемы DLP-решений, построенных на технологиях контентной фильтрации. Первая — невысокая точность фильтрации, которая не позволяет обнаружить все конфиденциальные документы, покидающие корпоративную сеть, вторая — подавляющее большинство механизмов фильтрации является ресурсоемким и потому, как правило, реализуется на специальном сервере. Такой подход автоматически сопровождается проблемами, связанными с копированием информации на различные мобильные носители информации (прежде всего флэш-карты) [2].

В. С. Чуб и Галушка В. В. рассмотрели методы использования стенографии в DLP-системах, использование которых позволяет находить зашифрованную информацию [4].

DLP-системы возможно использовать во многих сферах.

А. А. Киздермишов и С. Х. Киздермишова рассмотрели вопросы, связанные с функциональными возможностями современных отечественных DLP-систем (InfoWatch и Zecurion DLP), обратили внимание на связь ввода в эксплуатацию DLP-системы с решением организационно-правовых вопросов, привели рекомендации по внесению изменений в локальные нормативные акты, предложили алгоритм внедрения DLP-системы в организации [5].

Т. А. Андриянова и С. Б. Саломатин рассмотрели применение DLP-системы для уменьшения уровня утечки конфиденциальной информации финансовой организации и предложили методику адаптации DLP-системы к специфике деятельности банка, представили сравнительный анализ результатов работы стандартной и адаптированной DLP-систем в финансовой организации. [5]

В настоящее время существует несколько крупных производителей DLP-продуктов: Websense, McAfee, RSA (EMC), Symantec, Raytheon, Trend Micro, IBM, Cisco. В странах СНГ представлены такие вендоры, как InfoWatch, McAfee, Websense, Symantec [6].

Вывод

(DLP)-системы — это набор инструментов и процессов, используемых для защиты конфиденциальной информации от потери и доступа неавторизованным пользователям. Программное обеспечение DLP позволяет классифицировать конфиденциальную информацию и выявлять нарушения политик, определенных организациями. Как только эти нарушения обнаружены, DLP совершает необходимые защитные действия, чтобы предотвратить случайное или злонамеренное совместное использование данных, которые могут подвергнуть организацию риску.

Литература:

1. Мавринская Т. В. DLP-системы и тайна личных переписок / Т. В. Мавринская, А. В. Лошкарёв, Е. Н. Чуракова. — Текст: непосредственный // Интерактивная наука. — 2017. — № 4(14). — С. 181–183.
2. Королев В. В. Использование методов анализа контента в DLP системах / В. В. Королев. — Текст: непосредственный // Проблемы науки. — 2016. — № 10(11). — С. 16–20.
3. Чуб В. С. Исследование реализации применения стенографических методов в DLP системе / В. С. Чуб, В. В. Галушка. — Текст: непосредственный // Молодой исследователь Дона. — 2019. — № 3(18). — С. 101–102.
4. Киздермишов, А. А. К вопросу о вводе в эксплуатацию DLP-систем / А. А. Киздермишов, С. Х. Киздермишова. — Текст: непосредственный // Вестник АГУ. — 2017. — № 3(206). — С. 128–133.
5. Андриянова Т. А. DLP: снижение риска утечки конфиденциальной информации банка / Т. А. Андриянова, С. Б. Саломатин. — Текст: непосредственный // Системный анализ и прикладная информатика. — 2017. — № 3. — С. 76–81.
6. Гречанная А. Ю. DLP-системы и их роль в защите от утечек конфиденциальной информации / А. Ю. Гречанная, А. Д. Тастенов. — Текст: непосредственный // Наука и техника Казахстана. — 2015. — № 3–4. — С. 23–27.