DLP-система: что это и какие функции она выполняет

DLP-система (Data Leak Prevention) — это программное решение для защиты организации от потери конфиденциальной информации. Термин в переводе звучит как «Предотвращение утечки данных». Рассмотрим характеристики и принципы работы этих программ.

Принцип действия DLP-систем

DLP-системы тщательно проверяют данные всех информационных потоков в компании и образуют вокруг организации защитный цифровой «барьер». ПО контролирует как интернет-трафик, так и документы, которые работники загружают на внешние носители, распечатывают на принтере, передают через Bluetooth и т. д.

DLP-система перехватывает информационный поток и определяет степень секретности данных в нем, что помогает предотвращать утечки. Софт проверяет у файлов маркеры или анализирует их содержимое. Второй подход сейчас более популярен, так как он устойчив к изменению документов перед отправкой. Анализ содержимого также увеличивает число конфиденциальных файлов доступными для проверки.

Работа системы основывается на принципе data-centric security, который делает упор на обеспечение безопасности базы данных. Согласно этому подходу, информацию делят на три категории:

1. Data-in-use. Данные, с которыми работают пользователи — создают и редактируют медиаконтент, документы.
2. Data-at-rest. Информация хранится на пользовательских устройствах и в общедоступных местах.
3. Data-in-motion. Данные, которые передаются по информационным потокам — от транзакций до взаимодействия между сервером и клиентом.

Чтобы обезопасить информацию при внедрении DLP, необходимо следовать советам разработчиков и выстраивать несколько уровней защиты для получения рентабельного «барьера».

Какие задачи решает DLP-система

DLP-система — это комплексное решение, которое помогает компании справиться с целым рядом задач:

• обеспечить инфобезопасность на всех уровнях работы организации;
• предотвратить утечки корпоративных данных;
• успешно организовать расследование в случае инцидентов ИБ;
• создать надежный контур для защиты конфиденциальных сведений.

Разновидности DLP-систем

Системы можно разделить на несколько категорий по различным критериям. Относительно перехвата конфиденциальных данных выделяют два типа программ:

1. С активным контролем действий. Система блокирует передачу данных. Она эффективно защищает компанию от непреднамеренных утечек информации, но ее работа может тормозить бизнес-процессы.
2. С пассивным контролем действий. Система не обладает возможностью блокировать передачу данных. Программа предотвращает только регулярные утечки, однако при этом она не влияет на бизнес-процессы компании.

В рамках другой классификации DLP-системы разделяют по сетевой архитектуре на шлюзовые и хостовые. Первые функционируют на промежуточных серверах, а вторые используют агенты со станций персонала. Сейчас компании широко применяют сочетание шлюзовых и хостовых компонентов.

Будущее и тенденции развития DLP-систем

Основная тенденция на современном рынке инфобезопасности заключается в переходе с «заплаточных» систем, которые собирают из компонентов от различных изготовителей, к единым программным комплексам. Последние отличаются высокой универсальностью. Комплексные интегрированные системы обладают следующими преимуществами:

1. Помогают специалистам по инфобезопасности. Если применять отдельные программы, то необходимо учитывать совместимость разных компонентов, когда с единым комплексом такой проблемы не возникает.
2. Предоставляют возможность изменять настройки под крупные массивы клиентских станций.
3. Упрощают перенос данных между компонентами.

Тенденция к комплексным решениям объясняется тем, что потеря контроля хотя бы над одним каналом может привести к утечке корпоративной информации. Следовательно, все больше организаций делают выбор в пользу интегрированных систем безопасности.

В настоящее время также наблюдается рост интереса компаний к модульной структуре. Она позволяет заказчику устанавливать только нужные компоненты системы. Например, можно приобрести ОС без поддержки внешних устройств и не тратиться на их контроль.

На дальнейшее развитие DLP-сектора будет влиять специфика отрасли. Эксперты прогнозируют появление специальных версий ПО для госучреждений, банков и прочих организаций. Такой софт будет адаптирован под условия деятельности компаний и отвечать уникальным требованиям безопасности.

Направление развития DLP-систем также зависит от степени распространения рабочих ноутбуков и нетбуков. Применение лэптопов имеет свою специфику — их легко украсть вместе с корпоративной информацией. Поэтому разработчики ищут новые методы защиты ноутбуков. Сейчас создатели программного обеспечения предлагают возможность контролировать портативные устройства посредством DLP-систем.

Процесс внедрения DLP-системы

Рассмотрим детально шаги по внедрению ПО.

1-й этап — подготовка

Перед установкой в компании DLP необходимо провести несколько предварительных операций:

• провести аудит уровня защиты данных;
• оценить риски;
• разработать схему разграничения доступа к информации;
• решить юридические вопросы.

Аудит даст возможность определить степень защиты информации, найти потенциальные каналы утечки данных и выявить уязвимые места в IT-«экосистеме» организации. Представитель фирмы, которая разрабатывает DLP, поможет подготовить и внедрить систему.

Оценка защиты информации включает в себя следующие действия:

• определение степени безопасности работы с внутренней документацией;
• составление списка данных, доступ к которым ограничен;
• тщательное изучение технической базы компании;
• разработка правил предоставления доступа сотрудникам;
• анализ и описание процесса создания, обработки, передачи и хранения данных.

При внедрении DLP-системы необходимо оценить риски, проинспектировать каналы утечки информации и сформировать план разграничения доступа. Если есть вероятность ущерба, то важно защитить источник потери данных.

Специалист фирмы-исполнителя подробно документирует потоки и методы обработки информации. Далее он вместе с отделом ИБ организации разрабатывает политику контроля доступа с учетом коммерческой тайны и правил обращения с секретными данными. Пользователи системы получат права в соответствии с их должностью.

Когда в организации нет ИБ-отдела по проблемам защиты данных, фирма-исполнитель согласовывает принципы предоставления доступа с представителем этой компании. В процессе также учитывают правила сохранения коммерческой тайны и протокол работы с конфиденциальными сведениями.

Обычно компании заранее не описывают свои методы ведения бизнеса. Это затягивает первичные шаги по внедрению DLP.

По завершении начального этапа формируют комплект нормативных документов, которые необходимы для интеграции системы. Этот список включает в себя:

• потенциальные варианты и каналы утечки конфиденциальных сведений;
• виды материалов, для работы с которыми нужно разрешение;
• план потоков информации с контролем допуска;
• схема взаимодействия пользователей и технических компонентов с данными ограниченного доступа.

Нормативные документы дают четкое понимание механизмов работы потоков информации. Также они помогают выбрать системы, которые лучше защитят от несанкционированного получения материалов организации и утечки корпоративных данных.

При внедрении DLP нужно соблюдать законодательство. Меры контроля не должны нарушать личные права пользователей. Важно исключить действия, которые могут посчитать слежкой. Также необходимо продумать способы контролировать работу системных администраторов.

Чтобы минимизировать возмущение персонала, стоит добавить цели внедрения DLP в информацию о функционировании системы. Руководство вправе защищать коммерческую тайну организации, а рабочие компьютеры сотрудников являются собственностью компании. Ради сохранения имущества фирмы можно использовать любую систему.

2-й этап — выбор DLP

Для правильного выбора DLP-системы следует заранее оценить важность данных, которые нужно защитить. Необходимо, чтобы она была экономически выгодна, а затраты на ее внедрение не превышали потенциальные финансовые потери от утечки информации.

После завершения начального этапа интеграции DLP исполнителю станут понятны функции, которыми должна обладать система защиты. Стоимость ее установки, настройки, тестирования и техподдержки нужно узнавать сразу.

При выборе DLP-системы необходимо проконсультироваться с разработчиком. Это поможет учесть следующие моменты:

1. Насколько сложна установка системы и поддержка ее в надлежащем состоянии. Важно узнать, включает ли она необходимый софт для работы с БД. Должна ли организация располагать персоналом, способным выполнять резервное копирование, восстановление и обновление данных и т. д.
2. Как DLP будет взаимодействовать с компьютерной системой, которая уже работает в компании.
3. Какие навыки потребуются специалистам по информационной безопасности для выполнения своих задач.

Если бюджет организации не позволяет приобрести DLP, которую рекомендует компания-разработчик, то стоит рассмотреть более простые варианты. К примеру, некоторые системы блокируют каналы передачи данных без анализа содержимого или обладают небольшим числом опций для его оценки.

3-й этап — проектирование DLP

К завершению первого этапа внедрения DLP-системы станет ясна архитектура технических каналов и инфопроцессов. По мере ее проектирования более тщательно анализируют инфраструктуру и линии связи, которые требуют защиты. Это позволяет сократить сбои при установке и работе системы.

Технические специалисты компании-заказчика должны принимать участие в установке DLP для организации схемы взаимодействия модуля защиты с серверами, базами данных и прокси.

4-й этап — установка и настройка DLP

Не существует универсального алгоритма настройки DLP. Обеспечивать поддержку работы системы нужно в течение всего периода эксплуатации.

Необходимо так установить DLP, чтобы права доступа одного сотрудника можно было легко передавать другому. Еще нужно создать ряд функций для расширения технического обеспечения организации с сохранением целостности системы.

Настройка DLP даст возможность осуществить проверку функционирования и тестирование компонентов модуля защиты. Прежде всего нужно оценить точность обработки запросов сервера и правила разграничения доступа.

Альтернативы DLP для малого и среднего бизнеса

ИНСАЙДЕР

ИНСАЙДЕР — это передовая система с обширным набором инструментов для контроля утечек корпоративной информации, мониторинга коммуникации сотрудников, обнаружения мошеннических действий внутри организации и т. д.

Функционал

ИНСАЙДЕР обладает следующими возможностями:

1.Диагностика компьютеров персонала в режиме реального времени.

2.Скриншоты устройства каждого подчиненного по таймеру или при нарушении правил инфобезопасности.

3.Анализ цифровых отпечатков пользователей с помощью кейлоггера. Чтобы предоставить точную информацию с учетом контекста, ИНСАЙДЕР показывает активность работника.

Софт собирает данные на компьютере или на терминальном сервере. Агент программы функционирует даже на удаленном ПК, который не подключен к локальной сети организации. Все операции на рабочем устройстве приложение передает на сервер.

Стоимость

Стоимость DLP-программы зависит от типа тарифа и версии софта. В отличие от многих своих конкурентов, производитель открыто публикует на сайте информацию обо всех ценах.

Вывод

ИНСАЙДЕР имеет ряд плюсов:

1. Дает возможность бесплатно контролировать до пяти компьютеров.
2. Анализирует всю информацию по наличию ключевых слов.
3. Регулярно обновляется, обладает удобным и понятным интерфейсом.
4. Составляет отчеты для руководства на основе словосочетаний из «черного списка» и скрытно фиксирует нарушения. Это позволяет в дальнейшем осуществить расследование, выявить виновных и не допустить нанесение нового урона компании.

Perimetrix

Perimetrix — это DLP-решение для обеспечения режима секретности на крупных предприятиях. Система дает возможность полностью контролировать и анализировать корпоративную информацию на протяжении ее жизненного цикла — от создания до официальной ликвидации.

Функционал

Программа решает следующие задачи:

1. Установка метки на документ и ее перенос при копировании файла.
2. Блокировка любых манипуляций с материалами для пользователей, у которых нет разрешения на прямой доступ к ним.
3. Встраивание метки в глубину файловой структуры для предотвращения ее удаления сторонними личностями.
4. Контроль любых действий с документами, которые находятся под защитой. ПО сверяет каждый допуск и только после этого разрешает или запрещает операцию.

«Периметрикс» способствует росту конкурентоспособности организации.

Стоимость

Цена на DLP-систему нигде не указана. Информация о демоверсии на сайте отсутствует.

Вывод

Линейка Perimetrix включает три продукта, каждый из которых выполняет свою задачу:

• надежное хранение данных;
• формирование контролируемой среды для обработки корпоративной информации согласно требованиям безопасности;
• мониторинг каналов связи.

Компания может выбрать модуль, который наиболее соответствует ее потребностям. Применение всех трех программных продуктов обеспечит комплексную информационную безопасность предприятия.

CleverControl

Эту DLP-систему могут внедрить себе организации любого размера. Она поможет оптимизировать рабочие процессы, повысить производительность сотрудников и рационально распределить ресурсы. Программа также способствует укреплению информационной безопасности и уменьшению рисков для репутации компании.

Функционал

ПО решает ряд задач:

• мониторинг соцсетей, сайтов и приложений, которые открывают и используют подчиненные;
• перехват нажатий клавиш;
• ведение журнала запросов сотрудников в поисковиках;
• снимки экрана, а также аудио- и видеозапись через микрофон и веб-камеру;
• анализ буфера обмена;
• отслеживание устройств, которые подключает персонал.

Пробная версия программы демонстрирует весь функционал варианта для коммерческого использования. Это позволяет клиентам заранее оценить и испытать на практике возможности системы. Для получения доступа к пробной версии нужно подать заявку на сайте поставщика.

Стоимость

У софта нет стандартных тарифных планов. Цена программы зависит дополнительных опций, которые выберет заказчик.

Вывод

CleverControl помогает руководству повысить продуктивность коллектива и предотвратить возможные утечки конфиденциальных данных. Масса информации, которую собирает система, также позволяет разрешать различные инциденты и проблемы на рабочем месте.

Касперский

В состав Kaspersky Security 9.0 входит DLP-модуль для мониторинга действий персонала — Cloud Discovery. Он определяет присутствие личных данных в информации, а также анализирует сведения о банковских картах и финансах.

Функционал

DLP-модуль Kaspersky имеет следующие опции:

1. Добавление персональных слов и фраз, которые встречаются в конфиденциальных данных.
2. Создание цифровых отпечатков информации с четкой структурой.
3. Проверка всех материалов на наличие персональных данных.
4. Отслеживание использования развлекательных приложений и интернет-ресурсов.
5. Составление отчета о нецелевой трате рабочего времени для начальства.

Система регистрирует во внутреннем журнале инциденты, которые связаны с передачей подобных данных. Это может помочь в будущем при расследовании нарушений инфобезопасности компании.

Стоимость

Цена на KES Cloud зависит от числа пользователей. Для получения более подробной информации или покупки лицензии необходимо обратиться к партнерам. Kaspersky предлагает 30-дневную демоверсию, чтобы оценить возможности модуля.

Вывод

Всеми функциями KES Cloud можно управлять через одну общую консоль. Чтобы получить доступ к DLP-системе, потребуется купить антивирус Kaspersky. ПО защищает и контролирует безопасность личных, юридических и финансовых данных. Локально развернуть программу нельзя, поэтому для функционирования и управления модулем нужен доступ в Интернет.

McAfee Enterprise Security Manager

По заявлениям разработчиков, эта программа превосходит большинство аналогов в скорости и доскональности анализа данных.

Систему можно развернуть в «облаке» или локальной сети. Это решение подойдет компаниям и предприятиям, которым нужно обрабатывать большие объемы информации.

Функционал

ПО имеет следующие возможности:

• контроль работы внутренних служб Windows;
• обнаружение и предупреждение об угрозах в онлайн-режиме;
• отслеживание потоков данных в облачных и локальных сетях;
• сбор и кластеризация информации о событиях с автоматической генерацией отчетов.

Стоимость

Минимальная стоимость одной бессрочной лицензии составляет 1400 рублей. Новые клиенты могут воспользоваться двухнедельной бесплатной пробной версией.

Вывод

Софт легко интегрировать с другим ПО без использования API. Это позволяет компаниям внедрять оптимальные программы для создания корпоративной системы ИБ.

Сейчас McAfee Enterprise Security Manager доступен в России только через дистрибьюторов. Напрямую приобрести ПО на официальном сайте невозможно.

Заключение

Внедрение DLP — это разумное решение для компаний, которые ставят во главу угла свою репутацию и сохранность корпоративной информации. Такая система позволит контролировать потоки данных, оперативно выявлять и нейтрализовать угрозы безопасности. Однако эффективность DLP зависит от потребностей организации и контекста работы. Интегрирование и обслуживание подобной системы требуют больших финансовых вложений.

Существуют бюджетные альтернативы DLP, которые также подойдут и для контроля удаленных работников. Например, система мониторинга «ИНСАЙДЕР». Она позволяет отслеживать действия сотрудников, вести учет рабочего времени в автоматическом режиме, не допускать инцидентов, оберегать интеллектуальную собственность и обеспечивать информационную безопасность организации.

Вы можете бесплатно протестировать систему «ИНСАЙДЕР» с помощью trial-версии, которая включает все базовые функции программы. Она длится 14 дней и позволяет ознакомиться с достоинствами приложения перед покупкой. Получить доступ к trial-версии можно здесь.