28 ноября 2010
Что такое DLP?
DLP - Data Loss Prevention (или Data Leak Prevention, защита от утечек данных), предложенная в 2005 г. В качестве русского (скорее не перевода, а аналогичного термина) было принято словосочетание "системы защиты конфиденциальных данных от внутренних угроз". При этом под внутренними угрозами понимаются злоупотребления (намеренные или случайные) со стороны сотрудников организации, , имеющих легальные права доступа к соответствующим данным, своими полномочиями.
- Наиболее стройные и непротиворечивые критерии принадлежности к DLP-системам были выдвинуты исследовательским агентством Forrester Research в ходе их ежегодного исследования данного рынка. Они предложили четыре критерия, в соответствии с которыми систему можно отнести к классу DLP. .
- Многоканальность. Система должна быть способна осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это как минимум e-mail, Web и IM (instant messengers), а не только сканирование почтового трафика или активности базы данных. На рабочей станции - мониторинг файловых операций, работы с буфером обмена данными, а также контроль e-mail, Web и IM. .
- Унифицированный менеджмент. Система должна обладать унифицированными средствами управления политикой информационной безопасности, анализом и отчетами о событиях по всем каналам мониторинга. .
- Активная защита. Система должна не только обнаруживать факты нарушения политики безопасности, но и при необходимости принуждать к ее соблюдению. К примеру, блокировать подозрительные сообщения.
- Учет как содержания, так и контекста. В процессе классификации документов, циркулирующих по возможным каналам утечки данных, необходимо учитывать не только ключевые слова и регулярные выражения, встречающиеся в этом документе, но и его общее содержание. Система также должна учитывать и контекст - тип приложения, протокол, активность, отправитель, адресат и т. п.
Это непростая программная система, которая умеет не только собирать данные, но и распознавать подозрительную активность пользователя (например, ту, которая предшествует «сливу» сведений), а также составлять аналитические отчеты по различным информационным срезам. Если в организации есть настоящий инсайдер , он себя проявит, и тогда архив запротоколированных действий станет основой расследования.
Оценка рисков информационной безопасности, безусловна, должна предварять процесс внедрения DLP-системы. Однако даже достаточно поверхностный анализ показывает, что внедрение системы защиты от утечек информации обходится организациям гораздо дешевле, чем борьба с последствиями этих утечек. При этом, однако, необходимо помнить, что желание организации сэкономить и купить дешевую DLP-систему часто становится причиной того, что компания или государственное учреждение остаются незащищенными от утечек информации из-за того, что охватываются не все каналы передачи данных, слабый аналитический модуль не позволяет "безопасникам" оперативно получать информацию о случающихся инцидентах, и т.д.
Публикации по теме
|
|
|
31 октября 2013
Классический взгляд на использование DLP-решений требует пересмотра. Очевидно, что DLP надо позиционировать не как систему предотвращения утечек данных, а как систему предупреждения о возможном риске утечки данных. Технология DLP вряд ли способна защитить от действительно грамотного и технически подкованного инсайдера, но зато оградит сознательного сотрудника от случайного слива конфиденциального документа. А это тоже немалого стоит. К тому же, со временем работники будут лучше понимать политику информационной безопасности организации.
|
 |
23 декабря 2010
Проблема Wikileaks заставило ведущие компании пересмотреть свои позиции по поводу информационной безопасности
|
|
14 декабря 2010
10 наиболее значимых покупок на рынке безопасности в 2010 году
|
|
|
|
|
