Александр Кузнецов, ведущий эксперт отдела проектных работ компании «ИНФОРИОН».

Системы предотвращения утечки данных из информационных систем (Data Leak Prevention Systems, DLP) вызывают на сегодняшний день всё больший интерес и спрос. По результатам последних исследований наибольшие опасения у владельцев информационных систем представляют именно угрозы утечки информации, а также халатность пользователей при обработке конфиденциальных данных, поскольку реализовать несанкционированный доступ к информации изнутри всегда гораздо проще, чем пытаться взломать систему извне.

Утечки конфиденциальных данных чаще всего реализуются за счет использования съёмных носителей и программ мгновенного обмена сообщениями. В связи с этим основная задача, стоящая перед DLP-системами — предоставить возможность обрабатывать конфиденциальную информацию пользователям, допущенным в установленном порядке, но при этом препятствовать её ненадлежащему распространению. DLP-системы при обнаружении в информационном потоке конфиденциальной информации производят оповещение ответственных лиц и/или блокирование действий пользователя. Отличиями DLP-систем от других систем защиты информации являются:

  • многоканальность (мониторинг нескольких возможных каналов утечки данных);
  • унифицированный менеджмент (единые централизованные средства управления по всем направлениям мониторинга);
  • активная защита;
  • учет как пословного, так и смыслового наполнения электронных документов/сообщений.

На сегодняшний день принято выделять три поколения DLP-систем в соответствии с используемыми методами идентификации конфиденциальной информации:

  • I поколение — DLP на основе вероятностных методов;
  • II поколение — DLP на основе детерминистских методов;
  • III поколение — комбинированный метод DLP.

Как правило DLP-система состоит из следующих компонентов:

  • средства предотвращения утечек на сетевом уровне, осуществляющие перехват, фильтрацию и автоматическую классификацию исходящего трафика;
  • локальные агенты для ПЭВМ, осуществляющие предотвращение утечек на съемные носители и периферийные устройства, а также шифрование локальных данных;
  • средства управления, регистрации и мониторинга.

В системах третьего поколения появляется понятие централизованного хранилища, защищенного криптографическими средствами.

Чтобы определить целесообразность и эффективность применения той или иной DLP-системы, производят категорирование объектов мониторинга (защиты). В зависимости от состояния контролируемых данных, выделяют три категории объектов:

  • data-in-motion — информация, передаваемая по каналам связи;
  • data-at-rest — информация, хранящаяся на ЭВМ и на накопителях в любом представлении;
  • data-in-use — информация, обрабатываемая в текущий момент.

При этом надо понимать, что контролю подлежат не только сами данные, но и каналы передачи этих данных, а также приложения, предназначенные для их обработки.

Очевидно, что первым этапом внедрения DLP-систем является детальный анализ информационных потоков на всех уровнях функционирования системы, категорирование объектов защиты и документирование всех процессов. Это достаточно трудоёмкая деятельность, которая требует привлечения разноплановых специалистов организации, а также внешних специалистов (аудиторов) для получения дополнительной непредвзятой оценки. Необходимо учитывать, что такой анализ — это не однократное действие, а итерационный процесс, осуществляющиеся в течение всего времени эксплуатации DLP-системы.

После определения перечня и положения объектов защиты необходимо определить, что считать утечкой в каждом конкретном случае, а затем полученные данные интерпретировать в признаки конфиденциальной информации и «загрузить» в DLP-систему, осуществляя с этого момента её непрерывное всесторонние сопровождение.

Таким образом, внедрению любой DLP-системы предшествует основательный подготовительный этап, в противном случае внедрённая «ускоренными темпами» DLP-система не только не будет справляться со своими обязанностями, но и создаст проблемы в работе существующих информационных систем.

Перейти на главную страницу обзора