Средства защиты от утечек информации DLP

Средства защиты от утечек информации DLP (Data Loss Prevention – DLP) – программные и аппаратно-программные средства, предназначенные для обнаружения, отслеживания и защиты критичных (конфиденциальных) данных от утечки из информационной системы (сети) вовне.
Используются также следующие термины и обозначения:

  • Data Loss Prevention (DLP);
  • Data Leak Prevention (DLP);
  • Data Leakage Protection (DLP);
  • Information Protection and Control (IPC);
  • Information Leak Prevention (ILP);
  • Information Leak Protection (ILP);
  • Information Leak Detection & Prevention (ILDP);
  • Extrusion Prevention System (EPS).
В функции средств DLP входят:

  • анализ исходящих потоков данных, пересекающих границы защищаемой информационной системы с целью выявления в этом потоке критичные (конфиденциальные) данные;
  • контроль хранимых на серверах и рабочих станциях данных для выявления критичной (конфиденциальной) информации;
  • контроль действий пользователей системы для выявления фактов утечек информации, таких как сохранения критичной (конфиденциальной) информации на внешние носители или вывод на печать, монитор и другие средства вывода информации;
  • в случае выявления фактов утечки критичной (конфиденциальной) информации активирует компоненты защиты для предотвращения утечек критичных (конфиденциальных) данных;
  • фиксирование и учет выявленных инцидентов и нарушений, связанных с утечкой критичных (конфиденциальных) данных;
  • контроль жизненного цикла и движения критичных (конфиденциальных) сведений.
Средства DLP классифицируются:

  1. По способности противодействовать утечке информации выделяют средства DLP с применением активного или пассивного контроля сетевого трафика и/или действий пользователя. В средствах DLP с пассивным контролем только выявляются и фиксируются факты утечек. При активном контроле средства DLP не только выявляют, но и предотвращают утечку информации (блокируют передачу, доступ и действия).
  2. По способу обнаружения утечек данных:
    • при использовании (Data-in Use) – обнаруживаются утечки данных на рабочем месте пользователя;
    • при передаче (Data-in Motion) – обнаруживаются утечки данных в сети, путем анализа сетевого трафика;
    • при хранении (Data-at Rest) – на серверах и рабочих станциях компании.
  3. Средства DLP могут распознавать критичные (конфиденциальные) документы следующими способами:
    • по формальным признакам – это надёжно, но требует предварительной регистрации документов в системе. К формальным признакам относятся гриф документа, специально введённые метки, сравнением хэш-функции;
    • по анализу содержимого (контента) – по слову, смысловому значению контента –морфологический анализ.
Первый способ позволяет избежать ложных срабатываний, но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку критичной (конфиденциальной) информации не только среди грифованных документов, но и в составе любых документов. В средствах DLP могут сочетаться оба способа распознания критичной (конфиденциальной) информации.
DLP- системы обычно включают следующие компоненты (модули):

  1. Модули сетевого уровня или сетевые компоненты контролируют сетевой трафик (по различным сетевым протоколам), пересекающий границы информационной системы. Сетевые компоненты представляют собой анализаторы сетевого трафика (снифферы) для поиска критичной (конфиденциальной) информации в сетевом трафике (веб-трафик, почтовый и др.).
  2. Компоненты уровня хоста (агенты на рабочих станциях пользователей) устанавливаются обычно на персональных компьютерах работников и контролируют такие каналы утечки, как запись конфиденциальной информации на компакт-диски, флэш-накопители, вывод на печать и т.п.
  3. Модуль для централизованного управления, в функции которого входят:
    • установление (настройка) политики безопасности (правила действия в отношении критичной (конфиденциальной) информации);
    • сбор и анализ информации по выявленным фактам утечек для проведения расследований по инцидентам;
    • сбор и анализ информации жизненного цикла и движения критичных (конфиденциальных) сведений;
    • формирование необходимой отчетности;
    • контроль работы и администрирование (настройка) средства DLP и его компонентов.
Цель проведения тестовых испытаний средств DLP – оценка способности и эффективности защиты критичной (конфиденциальной) информации от различных внутренних угроз.
При тестовом испытании проверялись характеристики средств DLP, применяемые в них способы и средства защиты, выполнение средствами DLP своих функций, противодействие средств DLP различным внутренним угрозам.