DLP-система — это система предотвращения утечек данных в информационной среде, представляющая собой специализированный инструментальный набор, при помощи которого системные администраторы корпоративных сетей способны отследить и заблокировать попытки несанкционированной передачи информации.
Общие сведения о DLP-системе
DLP-система (Data Leak Prevention, то есть, предотвращение утечки данных) является комплексным программным продуктом, цель которого состоит в предотвращении кражи, изменения и распространения конфиденциальной информации. Принцип работы DLP-систем состоит в осуществлении анализа всего трафика, находящегося в границах защищаемой корпоративной сети. Использование DLP-системы способно помочь в реализации контроля входящих и исходящих потоков информационных данных и блокировки попыток несанкционированной трансляции секретных корпоративных данных.
DLP использует в своей работе принцип data-centric security, данный принцип предполагает не защиту серверов, программного обеспечения или сетей, а наличие контроля безопасности данных, обрабатываемых в системе. В соответствии с этим принципом, все информационные потоки подразделяются на следующие категории:
- Data-in-use, то есть, данные в использовании, под которыми понимается весь информационный набор, используемый пользователями (формирование и корректирование документации, медиа-контента).
- Data-at-rest, то есть, это информация, статично хранящаяся на конечных устройствах пользователей и в местах общего доступа.
- Data-in-motion, то есть, информационные данные, находящиеся в процессе передвижения, транслируемые информационные потоки (транзакции, информация об авторизации, запросы «сервер-клиент» и так далее).
Внедрение DLP-системы на предприятии
Для того чтобы обеспечить максимально возможную защиту информации, в процессе внедрения DLP необходимо исполнить всю совокупность рекомендаций и применять сразу целый ряд защитных блоков. Это предоставит возможность создания экономически выгодного, рабочего защитного контура. Внедрение DLP-системы следует выполнять пошагово, то есть, от подготовки до формирования и настройки элементов для функционирования под нагрузкой на предприятии.
На начальном этапе внедрения DLP является очень важным проведение подготовительных процедур. Процесс подготовки предприятия к установке системы защиты состоит из следующих моментов:
- Выполнение аудита информационной защищенности.
- Осуществление оценки рисков.
- Формирование схемной организации разграничения доступа к данным.
- Проработка юридических вопросов.
Аудит предполагает оценку реального уровня информационной защиты. На этом этапе подготовки осуществляется поиск всех вероятных каналов утечки данных и уязвимостей в информационной системе. Обычно подготовка и внедрение системы должно сопровождаться специалистами компании, производящей DLP, хотя в данной роли могут выступать и различные посредники, предоставляющие услуги интегрирования DLP.
При любых раскладах исследование информационных потоков предприятия должно включать:
- Выполнение оценки уровня безопасности при обработке внутренних документов предприятия.
- Реализация детального изучения всего набора технических ресурсов предприятия, начиная от серверов, и до сетевых потоков.
- Формирование списка данных, относящихся к категории информации, имеющей ограниченный доступ.
- Формирование совокупности правил по разграничению доступа.
- Исследование и формирование описания процессов обработки, создания, трансляции и сохранения информации в границах предприятия.
Оценка риска и формирование совокупности правил по разграничению доступа являются обязательными шагами на этапе внедрения экономически эффективной DLP-системы. Риски должны оцениваться вместе с обследованием потенциальных каналов утечки. В зависимости от возможного ущерба, должно приниматься решение о необходимости защиты канала, где вероятна утечка данных.
Исполнители должны составить схему или подробное описание информационных потоков предприятия и методов обработки данных. Затем исполнители и специалисты отдела информационной безопасности предприятия совместно должны сформировать совокупность правил по разграничению доступа, а также перечень прав, которые может получить пользователь системы в зависимости от того, какую должность он занимает.
Если на предприятии нет отдела информационной безопасности, занимающегося проблемами информационной защиты, то исполнители должны согласовать правила разграничения доступа с уполномоченными лицами предприятия. В процессе формирования следует учитывать условия коммерческой тайны и регламенты работы с конфиденциальной информацией.
Наиболее часто, как следует из практики, у заказчиков не имеется заранее приготовленного описания процессов бизнеса, по этой причине начальный этап внедрения DLP-системы может занять больше всего времени. Признаком окончания первого этапа может служить список нормативной документации, без которой невозможно выполнить последующее внедрение системы. Список должен включать документацию, в которой описаны:
- Вероятные сценарии и каналы информационной утечки.
- Перечень типов и видов информационных данных, имеющих ограниченный доступ.
- Схемы потоков информации, к которым ограничен доступ.
- Взаимодействие пользователей и технических элементов с информацией, имеющей ограниченный доступ.
Отображенные в документах особенности жизненного цикла конфиденциальной информации в предприятии предоставляют возможность понимания того, как осуществляется работа с потоками данных и какие системы требуются для их защиты от несанкционированного доступа или утечки.
При внедрении DLP-системы следует соблюдать не только принципы информационной информации, но и законодательных норм.