DLP-системы

DLP-системы

У нашей компании накопился огромный практический опыт по работе с DLP. Мы говорим не только о процессе установки, но как и для чего использовать данную систему, какие у нее есть подводные камни.

Что такое DLP- системы?

DLP (Data Leak Prevention) система - комплекс, решающий задачу контроля потоков конфиденциальной информации и предотвращения от умышленной или случайной "утечки" за границу контролируемой зоны.

Данные системы могут быть как программные, так и аппаратные. DLP системы могут решать задачу мониторинга "общего настроения" и "лояльности" того или иного сотрудника.

Разумеется, данная сторона использования DLP-систем должна быть юридически обоснована и продумана.

Забегая вперед, ответим на наиболее популярные вопросы:

Может ли DLP перехватывать графическую информацию, например скан-копии писем, документов?

Если DLP система поддерживает OCR, то такое возможно. Оптическое распознавание символов (optical character recognition, OCR).

Является ли DLP-системы инструментов защиты данных клиентов, то есть персональных данных?

В проектах защиты персональных данных внедрение DLP-систем, скорее всего, будет избыточным решением.

В данном разделе Мы совершим обзор наиболее распространенных на рынке DLP-систем, рассмотрим основные принципы работы и расскажем о том, какую систему предлагаем сами.

Принцип работы DLP систем довольно прост:

1. Перехват данных.

2. Анализ перехваченных данных.

3. Ответная реакция на результат анализа перехваченных данных.

Если с 1 пунктом и 3 более или менее понятно, то вот как раз в анализе данных и начинаются различия методом и способов DLP-систем.

Итак, первый метод анализа перехваченных данных - цифровые отпечатки.

1. Формируется база цифровых отпечатков (цифровой отпечаток). Цифровые отпечатки - хеш-функции документов.

Хеш-функции - некая необратимая математическая функция (функция свертки).

2. При отправке документа: хеш функция отправляемого документа сравнивается с хеш-функциями базы цифровых отпечатков.

Основной минус данного метода - возможность замены символов в документе с дальнейшим выносом за информационный периметр организации.

Как провести тестирование DLP-системы?

Для тестирование Вам необходимо немного:

1) Понимание конечной цели.

2) Программное обеспечение.

3) Аппаратное обеспечение.

Компания "Инфо-Оберег" готова оказать Вам консультационные услуги, ответить на все Ваши вопросы по DLP-системам.

Компания "Инфо-Оберег" готова предоставить Вам программное обеспечение и аппаратное обеспечение для тестирования.

Во время проведения тестирования наши сотрудники готовы оказывать Вам необходимую техническую поддержку, а в случае необходимости расширять время тестирования и количество контролируемых пользователей.

Часто задаваемые вопросы по DLP-системам:

Какие существуют трудности с заменой (подменой) сертификата при перехвате шифрованного трафика?

Существуют сертификаты, которые запрещают подмену (например, системы банк-клиент, системы участия в торгах, системы оптовых рынков с ЭЦП и так далее). Поэтому, DLP система не сможет подменить данный сертификат и данный ресурс у сотрудника работать не будет.

Решение данной проблемы кроется в предварительном аудите для создания плана развертывания DLP систем, с последующей настройкой исключений для каждого пользователя.

Устанавливать ли DLP-систему явно или тайно?

Каждая организация решает сама по какому принципу устанавливать DLP-систему.

В случае, когда сотрудники не предупреждаются и не знают о таковой системе (а шила в мешке, тем более в рамках одной организации, не утаишь), могут возникнуть проблемы с юридической точки зрения.

В случае, когда система устанавливается явно, то Вы можете получить меньший эффект и вызвать миграцию сотрудников на мобильные устройства.

Но важно отметить, что и в первом и во втором случае, необходимо четко задокументировать права и обязанности сотрудников при работе с информационными ресурсами.

Какие виды DLP-систем существуют?

Специалисты компании "Инфо-Оберег" подразделяют DLP системы на несколько основных групп.

По решаемым задачам:

1) блокировка информации.

2) мониторинг действий пользователей.

3) расследование инцидентов.

По типу конечного Заказчика:

1) для малых и средних организаций.

2) для крупных организаций.

Схемы работы DLP-систем. Какую схемы выбрать?

Основные схемы работы DLP-систем:

1) Установка агентов на рабочие места пользователей.

Агент представляет собой клиентскую часть DLP-системы, которая позволяет перехватывать не только шифрованный трафик, но и управлять печатью, съемными носителями, вести активность рабочего стола и прочие возможности. Отрицательной стороной данной схемы: является возможность для продвинутого пользователя обнаружить следы работы системы, а также вероятность влияния на функционирование некоторых специфичных приложений. Но данное влияние необходимо тестировать на этапе пилотного развертывания DLP-системы.

2) "Зеркалирование" трафика.

В данной случае, трафик с порта "зеркалирования" центрального коммутатора перенаправляется на сервер DLP-системы.

В этом случае DLP-система осуществляет анализ только нешифрованного трафика. Основным плюсом данной схемы является то, что пользователи не обнаружат следы контроля.

Из чего исходить при выборе DLP-системы?

Сотрудники компании "Инфо-Оберег", исходя из личного опыта внедрения DLP-систем в организациях, советуют Вам в первую очередь определить для себя следующие моменты:

1) Что именно Вы хотите контролировать (блокировать) в организации?

Советуем Вам провести категорирование информационных ресурсов.

2) Вы хотите вести политику "закрытия" каналов передачи данных или контролирования?

Позиция компании "Инфо-Оберег" это именно контроль трафика организации.

3)Обратите внимание помимо первоначальной стоимости DLP-системы на стоимость владения.

Стоимость DLP-системы+стоимость недрения DLP-системы+стоимость продления и техническая поддержки+закупка системных программ (СУБД (платная или бесплатная), операционная система и так далее)+закупка аппаратной части=?

Если, например, система требует знание альтернативных операционных систем, то, Вы заранее готовы обречь себя на техническую поддержку?

4) Обратите внимание на фактор простоты и способности по поддержанию работы собственными силами службой информационной безопасности.

Возможно ли, чтобы систему поддерживала, настраивала и обслуживала именно служба информационной безопасности Вашей организации или сотрудник, на которого возложены задачи информационной безопасности.