Data loss prevention (DLP) — предотвращение утечек данных. DLP-системы — программные и программно-аппаратные средства, которые защищают конфиденциальные данные от утечки за пределы информационной системы организации. В данной статье рассматриваются вопросы, связанные с основными функциями DLP-систем и угрозами, которые способны обнаружить данные системы.
Ключевые слова: DLP-системы, информационная безопасность, утечка конфиденциальной информации.
Информация в большинстве компаний является одним из самых важных активов, поэтому утечка конфиденциальных данных от несанкционированных действий является актуальной угрозой. Большинство потерь ценной информации связано с внутренними угрозами. Нарушение конфиденциальности информации может серьезно повлиять на репутацию компании, вплоть до ее закрытия.
Рассмотрим три распространенные причины утечки данных:
– Инсайдерские угрозы, при которых злоумышленник, скомпрометировавший привилегированную учетную запись пользователя, злоупотребляет своими правами доступа и пытается переместить данные за пределы организации.
– Угрозы злоумышленника, целью кибератак которого являются конфиденциальные данные. Злоумышленники проникают через периметр безопасности, используя такие методы, как фишинг, вредоносное ПО или внедрение кода, и получают доступ к конфиденциальным данным.
– Непреднамеренное или небрежное раскрытие данных, происходящее в результате того, что сотрудники теряют конфиденциальные данные публично, предоставляют открытый доступ к данным в Интернете или не ограничивают доступ в соответствии с политикой организации.
Традиционные средства защиты информации, такие как антивирусы, межсетевые экраны и др. неспособны противостоять внутренним нарушителям.
Проблема потери конфиденциальных данных может быть решена с помощью систем предотвращения утечек/потерь (DLP). DLP-решения помогают выявлять, контролировать, защищать и снижать риски утечки конфиденциальных данных. Их используют для обнаружения и предотвращения несанкционированного доступа пользователей к конфиденциальным данным, а также для защиты тех данных, которые могут быть случайно или преднамеренно переданы третьим лицам.
Функции, распространенные в DLP-решениях, включают в себя:
– Мониторинг — обеспечивает видимость данных и доступ к системе.
– Фильтрация— фильтруются потоки данных, чтобы ограничить подозрительную или неизвестную активность.
– Отчеты — обеспечивают ведение журнала, полезные для реагирования на инциденты и аудита.
– Анализ — может выявлять уязвимости и подозрительное поведение и предоставлять данные операторам системы.
При внедрении DLP-системы в информационную систему организации необходимо произвести правильную настройку политики безопасности DLP-системы, чтобы проводимые меры, направленные на избежание утечки конфиденциальной информации, не противоречили требованиям законодательства в сфере защиты личной и семейной тайны, а также праву граждан на тайну переписки
Необходимо, чтобы DLP-система самостоятельно сканировала почтовый трафик и выявляла письма, связанные с возможной утечкой конфиденциальной информации. В таком случае оператор DLP-системы видит только оповещение о возможном наличии конфиденциальных данных в отправленном письме, а не его содержание, и поскольку анализ письма производит программа, которая не является субъектом права, не нарушается ни право работников на тайну переписки, ни положения законодательства. Дальнейшие действия оператора DLP-систем в случае появления подобного оповещения зависят от принятых в организации регламентирующих документов.
Также требуется внести информацию в политику безопасности организации о недопустимости использования корпоративной почтовой системы в личных целях, что позволит переложить на работников ответственность за использование корпоративной почты для нерабочих целей, поскольку почтовые ресурсы и их содержимое принадлежат организации. Однако в данном пункте необходимо уточнить, что организация не имеет умысла читать переписку и не будет ей пользоваться при обнаружении.
Внедряя DLP-систему в информационную систему организации, важно проинформировать работников, что позволяет предотвратить утечки конфиденциальной информации и носит профилактический характер [1].
Королев В. В. рассмотрел основные методы контекстного контроля в DLC-системах: сигнатуры, регулярные выражения, Database Fingerprinting, Partial Document Matching, статический анализ, концептуальный анализ, категоризации. Автор выделил две серьезные проблемы DLP-решений, построенных на технологиях контентной фильтрации. Первая — невысокая точность фильтрации, которая не позволяет обнаружить все конфиденциальные документы, покидающие корпоративную сеть, вторая — подавляющее большинство механизмов фильтрации является ресурсоемким и потому, как правило, реализуется на специальном сервере. Такой подход автоматически сопровождается проблемами, связанными с копированием информации на различные мобильные носители информации (прежде всего флэш-карты) [2].
В. С. Чуб и Галушка В. В. рассмотрели методы использования стенографии в DLP-системах, использование которых позволяет находить зашифрованную информацию [4].
DLP-системы возможно использовать во многих сферах.
А. А. Киздермишов и С. Х. Киздермишова рассмотрели вопросы, связанные с функциональными возможностями современных отечественных DLP-систем (InfoWatch и Zecurion DLP), обратили внимание на связь ввода в эксплуатацию DLP-системы с решением организационно-правовых вопросов, привели рекомендации по внесению изменений в локальные нормативные акты, предложили алгоритм внедрения DLP-системы в организации [5].
Т. А. Андриянова и С. Б. Саломатин рассмотрели применение DLP-системы для уменьшения уровня утечки конфиденциальной информации финансовой организации и предложили методику адаптации DLP-системы к специфике деятельности банка, представили сравнительный анализ результатов работы стандартной и адаптированной DLP-систем в финансовой организации. [5]
В настоящее время существует несколько крупных производителей DLP-продуктов: Websense, McAfee, RSA (EMC), Symantec, Raytheon, Trend Micro, IBM, Cisco. В странах СНГ представлены такие вендоры, как InfoWatch, McAfee, Websense, Symantec [6].
Вывод
(DLP)-системы — это набор инструментов и процессов, используемых для защиты конфиденциальной информации от потери и доступа неавторизованным пользователям. Программное обеспечение DLP позволяет классифицировать конфиденциальную информацию и выявлять нарушения политик, определенных организациями. Как только эти нарушения обнаружены, DLP совершает необходимые защитные действия, чтобы предотвратить случайное или злонамеренное совместное использование данных, которые могут подвергнуть организацию риску.
Литература:
- Мавринская Т. В. DLP-системы и тайна личных переписок / Т. В. Мавринская, А. В. Лошкарёв, Е. Н. Чуракова. — Текст: непосредственный // Интерактивная наука. — 2017. — № 4(14). — С. 181–183.
- Королев В. В. Использование методов анализа контента в DLP системах / В. В. Королев. — Текст: непосредственный // Проблемы науки. — 2016. — № 10(11). — С. 16–20.
- Чуб В. С. Исследование реализации применения стенографических методов в DLP системе / В. С. Чуб, В. В. Галушка. — Текст: непосредственный // Молодой исследователь Дона. — 2019. — № 3(18). — С. 101–102.
- Киздермишов, А. А. К вопросу о вводе в эксплуатацию DLP-систем / А. А. Киздермишов, С. Х. Киздермишова. — Текст: непосредственный // Вестник АГУ. — 2017. — № 3(206). — С. 128–133.
- Андриянова Т. А. DLP: снижение риска утечки конфиденциальной информации банка / Т. А. Андриянова, С. Б. Саломатин. — Текст: непосредственный // Системный анализ и прикладная информатика. — 2017. — № 3. — С. 76–81.
- Гречанная А. Ю. DLP-системы и их роль в защите от утечек конфиденциальной информации / А. Ю. Гречанная, А. Д. Тастенов. — Текст: непосредственный // Наука и техника Казахстана. — 2015. — № 3–4. — С. 23–27.
