Навіть наймодніші ІТ-терміни треба вживати до місця і максимально коректно. Хоча б для того, щоб не вводити в оману споживачів. Відносити себе до виробників DLP-рішень безумовно увійшло в моду. Наприклад, на нещодавній виставці CeBIT-2008 напис "DLP solution" часто можна було бачити на стендах виробників не тільки маловідомих у світі антивірусів і проксі-серверів, але навіть брандмауерів. Іноді виникало відчуття, що за наступним кутом можна буде побачити якийсь CD ejector (програма, що управляє відкриванням приводу CD) з гордим гаслом корпоративного DLP-рішення. І, хоч як це дивно, кожен із таких виробників, як правило, мав більш-менш логічне пояснення такому позиціонуванню свого продукту (звісно, крім бажання отримати “гешефт” від модного терміну).
Перш ніж розглядати ринок виробників DLP-систем та його основних гравців, слід визначитися з тим, що ж ми маємо на увазі під DLP-системою. Намагань дати визначення цьому класу інформаційних систембуло багато: ILD&P — Information Leakage Detection & Prevention (“виявлення та запобігання витоку інформації”, термін був запропонований IDC у 2007 р.), ILP - Information Leakage Protection (“захист від витоків інформації”, Forrester, 2006 р.), ALS - Anti-Leakage Software ("антитечне ПЗ", E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (за аналогією з Intrusion-prevention system).
Але як загальновживаний термін все ж таки утвердилася назва DLP - Data Loss Prevention (або Data Leak Prevention, захист від витоків даних), запропонована в 2005 р. В якості російської (скоріше не перекладу, а аналогічного терміна) було прийнято словосполучення "системи захисту конфіденційних" даних від внутрішніх загроз”. При цьому під внутрішніми загрозами розуміються зловживання (навмисні або випадкові) з боку співробітників організації, які мають легальні права на доступ до відповідних даних, своїми повноваженнями.
Найбільш стрункі та несуперечливі критерії приналежності до DLP-систем були висунуті дослідницьким агентством Forrester Research під час їхнього щорічного дослідження даного ринку. Вони запропонували чотири критерії, відповідно до яких систему можна віднести до класу DLP. 1.
Багатоканальність. Система має бути здатна здійснювати моніторинг кількох можливих каналів витоку даних. У мережевому оточенні це як мінімум e-mail, Web та IM (instant messengers), а не лише сканування поштового трафіку чи активності бази даних. На робочій станції – моніторинг файлових операцій, роботи з буфером обміну даними, а також контроль e-mail, Web та IM. 2.
Уніфікований менеджмент. Система повинна мати уніфіковані засоби управління політикою інформаційної безпеки, аналізом та звітами про події по всіх каналах моніторингу. 3.
Активний захист. Система повинна не тільки виявляти факти порушення політики безпеки, а й за необхідності примушувати її дотримання. Наприклад, блокувати підозрілі повідомлення. 4.
Виходячи з цих критеріїв, у 2008 р. для огляду та оцінки агентство Forrester відібрало список із 12 виробників. програмного забезпечення(нижче вони перераховані в алфавітному порядку, при цьому в дужках зазначена назва компанії, поглиненої цим вендором з метою виходу на ринок DLP-систем):
- Code Green;
- InfoWatch;
- McAfee (Onigma);
- Orchestria;
- Reconnex;
- RSA/EMC (Tablus);
- Symantec (Vontu);
- Trend Micro (Provilla);
- Verdasys;
- Vericept;
- Websense (PortAuthority);
- Workshare.
На сьогоднішній день з вищезгаданих 12 вендорів на російському ринку тією чи іншою мірою представлені лише InfoWatch та Websense. Інші або взагалі не працюють у Росії, або лише анонсували свої наміри про початок продажів DLP-рішень (Trend Micro).
Розглядаючи функціональність DLP-систем, аналітики (Forrester, Gartner, IDC) вводять категоризацію об'єктів захисту - типів інформаційних об'єктівщо підлягають моніторингу. Подібна категоризація дозволяє в першому наближенні оцінити сферу застосування тієї чи іншої системи. Виділяють три категорії об'єктів моніторингу.
1. Data-in-motion (дані в русі) - повідомлення електронної пошти, інтернет-пейджерів, мереж peer-to-peer, передача файлів, Web-трафік, також інші типи повідомлень, які можна передавати каналами зв'язку. 2. Data-at-rest (зберігаються дані) - інформація на робочих станціях, лаптопах, файлових серверах, спеціалізованих сховищах, USB-пристроях та інших типах пристроїв зберігання даних.
3. Data-in-use (дані у використанні) - інформація, що обробляється в даний момент.
Зараз на нашому ринку представлено близько двох десятків вітчизняних та зарубіжних продуктів, що мають деякі властивості DLP-систем. Короткі відомостіпро них на кшталт наведеної вище класифікації, перелічені у табл. 1 та 2. Також у табл. 1 внесений такий параметр, як “централізоване сховище даних та аудит”, що передбачає можливість системи зберігати дані в єдиному депозитарії (для всіх каналів моніторингу) для подальшого аналізу та аудиту. Цей функціонал набуває останнім часом особливої значущості не тільки через вимоги різних законодавчих актів, а й через популярність у замовників (за досвідом реалізованих проектів). Всі відомості, що містяться в цих таблицях, взяті з відкритих джерел та маркетингових матеріалів відповідних компаній.
З наведених у таблицях 1 і двох даних можна дійти невтішного висновку, що у Росії представлені лише три DLP-системи (від фірм InfoWatch, Perimetrix і WebSence). До них також можна віднести нещодавно анонсований інтегрований продукт від “Інфосистеми Джет” (СКВТ+СМАП), оскільки він покриватиме кілька каналів та матиме уніфікований менеджмент політик безпеки.
Говорити про частках ринку цих продуктів у Росії досить складно, оскільки більшість згаданих виробників не розкривають обсягів продажу, кількість клієнтів та захищених робочих станцій, обмежуючись лише маркетинговою інформацією. Точно можна сказати лише про те, що основними постачальниками на даний момент є:
- системи "Дозор", присутні на ринку з 2001 р.;
- продукти InfoWatch, які продаються з 2004 р.;
- WebSense CPS (почав продаватися в Росії та у всьому світі в 2007 р.);
- Perimetrix (молода компанія, першу версію продуктів якої анонсовано на її сайті на кінець 2008 р.).
На закінчення хотілося б додати, що приналежність чи ні до класу DLP-систем, не робить продукти гіршими чи кращими - це просто питання класифікації і нічого більше.
| Компанія | Продукт | Можливості продукту | |||
|---|---|---|---|---|---|
| Захист даних у русі (data-in-motion) | Захист даних у використанні (data-in-use) | Захист даних у зберіганні (data-at-rest) | Централізоване сховище та аудит | ||
| InfoWatch | IW Traffic Monitor | Так | Так | Ні | Так |
| IW CryptoStorage | Ні | Ні | Так | Ні | |
| Perimetrix | SafeSpace | Так | Так | Так | Так |
| Інфосистеми Джет | Дозор Джет (СКВТ) | Так | Ні | Ні | Так |
| Дозор Джет (СМАП) | Так | Ні | Ні | Так | |
| Смарт Лайн Інк | DeviceLock | Ні | Так | Ні | Так |
| SecurIT | Zlock | Ні | Так | Ні | Ні |
| SecrecyKeeper | Ні | Так | Ні | Ні | |
| SpectorSoft | Spector 360 | Так | Ні | Ні | Ні |
| Lumension Security | Sanctuary Device Control | Ні | Так | Ні | Ні |
| WebSense | Websense Content Protection | Так | Так | Так | Ні |
| Інформзахист | Security Studio | Ні | Так | Так | Ні |
| Праймтек | Insider | Ні | Так | Ні | Ні |
| АтомПарк Софтваре | StaffCop | Ні | Так | Ні | Ні |
| СофтІнформ | SearchInform Server | Так | Так | Ні | Ні |
| Компанія | Продукт | Критерій приналежності до DLP систем | |||
|---|---|---|---|---|---|
| Багатоканальність | Уніфікований менеджмент | Активний захист | Облік як змісту, так і контексту | ||
| InfoWatch | IW Traffic Monitor | Так | Так | Так | Так |
| Perimetrix | SafeSpace | Так | Так | Так | Так |
| "Інфосистеми Джет" | "Дозор Джет" (СКВТ) | Ні | Ні | Так | Так |
| "Дозор Джет" (СМАП) | Ні | Ні | Так | Так | |
| "Смарт Лайн Інк" | DeviceLock | Ні | Ні | Ні | Ні |
| SecurIT | Zlock | Ні | Ні | Ні | Ні |
| Smart Protection Labs Software | SecrecyKeeper | Так | Так | Так | Ні |
| SpectorSoft | Spector 360 | Так | Так | Так | Ні |
| Lumension Security | Sanctuary Device Control | Ні | Ні | Ні | Ні |
| WebSense | Websense Content Protection | Так | Так | Так | Так |
| "Інформзахист" | Security Studio | Так | Так | Так | Ні |
| "Праймтек" | Insider | Так | Так | Так | Ні |
| "АтомПарк Софтварі" | StaffCop | Так | Так | Так | Ні |
| "СофтІнформ" | SearchInform Server | Так | Так | Ні | Ні |
| "Інфооборона" | "Інфопериметр" | Так | Так | Ні | Ні |
Технологія DLP
Digital Light Processing (DLP) - передова технологія, винайдена компанією Texas Instruments. Завдяки їй виявилося можливим створювати дуже невеликі, дуже легкі (3 кг - хіба це вага?) і, тим не менш, досить потужні (більше 1000 ANSI Lm) мультимедіапроектори.
Коротка історія створення
Давним-давно, у далекій галактиці.
У 1987 році Dr. Larry J. Hornbeck винайшов цифровий мультидзеркальний пристрій(Digital Micromirror Device або DMD). Цей винахід завершив десятирічні дослідження Texas Instruments у галузі мікромеханічних. деформованих дзеркальних пристроїв(Deformable Mirror Devices або знову DMD). Суть відкриття полягала у відмові від гнучких дзеркал на користь матриці жорстких дзеркал, що мають лише два стійкі положення.
В 1989 Texas Instruments стає однією з чотирьох компаній, обраних для реалізації «проекторної» частини програми U.S. High-Definition Display, що фінансується управлінням перспективного планування науково-дослідних робіт (ARPA).
У травні 1992 року TI демонструє першу засновану на DMD систему, що підтримує стандарт дозволу для ARPA.
High-Definition TV (HDTV) версія DMD на основі трьох DMD високої роздільної здатності була показана в лютому 1994 року.
Масові продажі DMD-чіпів почалися в 1995 році.
Технологія DLP
Ключовим елементом мультимедіапроекторів, створених за технологією DLP, є матриця мікроскопічних дзеркал (DMD-елементів) з алюмінієвого сплаву, що має дуже високий коефіцієнт відображення. Кожне дзеркало кріпиться до жорсткої підкладки, яка через рухомі пластини з'єднується з основою матриці. Під протилежними кутами дзеркал розміщені електроди, з'єднані з осередками пам'яті CMOS SRAM. Під дією електричного поля підкладка з дзеркалом приймає одне з двох положень, що відрізняються точно на 20° завдяки обмежувачам, розташованим на підставі матриці.
Два цих положення відповідають відображенню світлового потоку, що надходить, відповідно в об'єктив і ефективний світлопоглинач, що забезпечує надійне відведення тепла і мінімальне відображення світла.
Шина даних і сама матриця сконструйовані так, щоб забезпечувати до 60 і більше кадрів зображення за секунду з роздільною здатністю 16 мільйонів кольорів.
Матриця дзеркал разом із CMOS SRAM і становлять DMD-кристал — основу технології DLP.
Вражають невеликі розміри кристала. Площа кожного дзеркала матриці становить 16 мікронів і менше, а відстань між дзеркалами близько 1 мікрона. Кристал, та й не один, легко вміщується на долоні.
Усього, якщо Texas Instruments нас не обманює, випускаються три види кристалів (або чіпів) з різними дозволами. Це:
- SVGA: 848 600; 508,800 дзеркал
- XGA: 1024×768 з чорною апертурою (міжщілинним простором); 786,432 дзеркал
- SXGA: 1280×1024; 1,310,720 дзеркал
 |
 |
Отже, ми маємо матрицю, що ми можемо з нею зробити? Ну звичайно, висвітлити її світловим потоком потужніше і помістити на шляху одного з напрямків дзеркал відображень оптичну систему, що фокусує зображення на екран. На шляху іншого напрямку розумним буде помістити світлопоглинач, щоб непотрібне світло не завдавало незручностей. Ось ми вже й можемо проектувати одноколірні малюнки. Але де колір? Де яскравість?
А ось у цьому, схоже, і полягав винахід товариша Larry, про який йшлося в першому абзаці розділу історії створення DLP. Якщо ви так і не зрозуміли, в чому справа, - приготуйтеся, бо зараз з вами може статися шок:), тому що це само собою елегантне і цілком очевидне рішення, що напрошується, є на сьогодні найпередовішим і технологічним в області проектування зображення.
Згадайте дитячий фокус з ліхтариком, що обертається, світло від якого в деякий момент зливається і перетворюється на коло, що світиться. Цей жарт нашого зору дозволяє остаточно відмовитися від аналогових систем побудови зображення на користь повністю цифрових. Адже навіть цифрові монітори на останньому етапі мають аналогову природу.
Але що станеться, якщо ми змусимо дзеркало з великою частотою перемикатися з одного положення до іншого? Якщо знехтувати часом перемикання дзеркала (а завдяки його мікроскопічним розмірам цим часом можна знехтувати), то видима яскравість впаде не інакше як у два рази. Змінюючи відношення часу, протягом якого дзеркало знаходиться в одному та іншому положенні, ми легко можемо змінювати видиму яскравість зображення. Оскільки частота циклів дуже велика, ніякого видимого мерехтіння нічого очікувати і близько. Евріка. Хоча нічого особливого, це все давно відомо:)
Ну, а тепер останній штрих. Якщо швидкість перемикання досить висока, то шляху світлового потоку ми можемо послідовно поміщати світлофільтри і цим створювати кольорове зображення.
Ось, власне, і вся технологія. Подальший її еволюційний розвиток ми простежимо з прикладу пристрою мультимедіапроекторів.
Пристрій DLP-проекторів
Texas Instruments не займається виробництвом DLP-проекторів, цим займається безліч інших компаній, таких як 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA , LIESEGANG та ін. Більшість проекторів, що випускаються, відносяться до портативних, що володіють масою від 1,3 до 8 кг і потужністю до 2000 ANSI lumens. Проектори поділяються на три типи.
Одноматричний проектор
Найпростіший тип, який ми вже описали, це одноматричний проектор, де між джерелом світла і матрицею поміщається диск, що обертається з кольоровими світлофільтрами - синім, зеленим і червоним. Частота обертання диска визначає звичну частоту кадрів.
Зображення формується почергово кожним із основних кольорів, у результаті виходить звичайне повнокольорове зображення.
Всі, або майже всі портативні проектори побудовані за одним типом.
Подальшим розвитком цього типу проекторів стало запровадження четвертого, прозорого світлофільтра, що дозволяє відчутно збільшити яскравість зображення.
Триматричний проектор
Найскладнішим типом проекторів є триматричний проекторде світло розщеплюється на три колірні потоки і відображається відразу від трьох матриць. Такий проектор має найчистіший колір та частоту кадрів, не обмежену швидкістю обертання диска, як у одноматричних проекторів.
Точна відповідність відображеного потоку від кожної матриці (відомість) забезпечується за допомогою призми, як ви можете бачити на малюнку.
Двоматричний проектор
Проміжним типом проекторів є двоматричний проектор. В даному випадкусвітло розщеплюється на два потоки: червоний відбивається від однієї DMD-матриці, а синій та зелений – від іншої. Світлофільтр, відповідно, видаляє з діапазону синю або зелену елементи послідовно.
Двоматричний проектор забезпечує проміжну якість зображення в порівнянні з одноматричним та триматричним типом.
Порівняння LCD та DLP-проекторів
У порівнянні з LCD-проекторами DLP-проектори мають ряд важливих переваг:
Чи є недоліки технології DLP?
Але теорія теорією, а на практиці ще є над чим попрацювати. Основний недолік полягає у недосконалості технології і як наслідок – проблемі залипання дзеркал.
Справа в тому, що при таких мікроскопічних розмірах дрібні деталі намагаються «злипнутися», і дзеркало з основою не виняток.
Незважаючи на прикладені компанією Texas Instruments зусилля щодо винаходу нових матеріалів, що зменшують прилипання мікродзеркал, така проблема існує, як ми побачили під час тестування мультимедіапроектора Infocus LP340. Але, маю зауважити, жити вона особливо не заважає.
Інша проблема не так очевидна і полягає в оптимальному доборі режимів перемикання дзеркал. У кожної компанії, що виробляє DLP-проектори, з цього приводу своя думка.
Та й останнє. Незважаючи на мінімальний час перемикання дзеркал з одного положення до іншого, ледь помітний шлейф на екрані цей процес залишає. Такий собі безкоштовний antialiasing.
Розвиток технології
- Крім введення прозорого світлофільтра постійно ведуться роботи зі зменшення міждзеркального простору та площі стовпчика, що кріпить дзеркало до підкладки (чорна точка посередині елемента зображення).
- Шляхом розбиття матриці на окремі блоки та розширення шини даних збільшується частота перемикання дзеркал.
- Ведуться роботи зі збільшення кількості дзеркал та зменшення розміру матриці.
- Постійно підвищується потужність та контрастність світлового потоку. В даний час вже існують триматричні проектори потужністю понад 10000 ANSI Lm і контрастністю більше 1000:1, що знайшли своє застосування в ультрасучасних кінотеатрах, що використовують цифрові носії.
- Технологія DLP повністю готова замінити CRT-технологію показу зображення у домашніх кінотеатрах.
Висновок
Це далеко не все, що можна було б розповісти про технологію DLP, наприклад, ми не торкнулися теми використання DMD-матриць у друку. Але ми зачекаємо, доки компанія Texas Instruments не підтвердить інформацію, доступну з інших джерел, щоб не підсунути вам липу. Сподіваюся, цього невеликого оповідання цілком достатньо, щоб отримати не найповніше, але достатнє уявлення про технологію і не мучити продавців розпитуваннями про перевагу DLP-проекторів над іншими.
Дякуємо Олексію Слєпінін за допомогу в оформленні матеріалу
Сьогодні ринок DLP-систем є одним з найбільш швидко зростаючих серед усіх засобів забезпечення інформаційної безпеки. Втім, вітчизняна ІБ-сфера поки що не зовсім встигає за світовими тенденціями, у зв'язку з чим ринок DLP-систем у нашій країні має свої особливості.
Що таке DLP та як вони працюють?
Перш ніж говорити про ринок DLP-систем, необхідно визначитися з тим, що, власне кажучи, мається на увазі, коли йдеться про подібні рішення. Під DLP-системами прийнято розуміти програмні продукти, що захищають організації від витоків конфіденційної інформації Сама абревіатура DLP розшифровується як Data Leak Prevention, тобто запобігання витоку даних.
Подібного роду системи створюють захищений цифровий «периметр» навколо організації, аналізуючи всю вихідну, а часом і вхідну інформацію. Контрольована інформація повинна бути не тільки інтернет-трафік, але й ряд інших інформаційних потоків: документи, які виносяться за межі захисту контуру безпеки на зовнішніх носіях, роздруковуються на принтері, що відправляються на мобільні носії через Bluetooth і т.д.
Оскільки DLP-система повинна перешкоджати витокам конфіденційної інформації, вона обов'язково має вбудовані механізми визначення ступеня конфіденційності документа, виявленого в перехопленому трафіку. Як правило, найбільш поширені два способи: шляхом аналізу спеціальних маркерів документа та шляхом аналізу вмісту документа. В даний час більш поширений другий варіант, оскільки він стійкий перед модифікаціями, що вносяться до документа перед його відправкою, а також дозволяє легко розширювати число конфіденційних документів, з якими може працювати система.
"Побічні" завдання DLP
Крім свого основного завдання, пов'язаного із запобіганням витоків інформації, DLP-системи також добре підходять для вирішення низки інших завдань, пов'язаних із контролем дій персоналу.
Найчастіше DLP-системи застосовуються на вирішення наступних неосновних собі задач:
- контроль використання робочого часу та робочих ресурсів співробітниками;
- моніторинг спілкування працівників з метою виявлення «підкилимової» боротьби, яка може зашкодити організації;
- контроль правомірності дій співробітників (запобігання друку підроблених документів та ін.);
- виявлення співробітників, що розсилають резюме, для оперативного пошуку фахівців на посаду, що звільнилася.
За рахунок того, що багато організацій вважають ряд цих завдань (особливо контроль використання робочого часу) більш пріоритетними, ніж захист від витоків інформації, виникла ціла низка програм, призначених саме для цього, проте здатних у ряді випадків працювати і як засіб захисту організації від витоків. . Від повноцінних DLP-систем такі програми відрізняє відсутність розвинених засобів аналізу перехоплених даних, який повинен проводитися фахівцем з інформаційної безпеки вручну, що зручно лише для невеликих організацій (до десяти контрольованих співробітників).
Каналами витоку, що призводять до виведення інформації за межі інформаційної системи компанії, можуть стати мережні витоки (наприклад, електронна пошта або ICQ), локальні (використання зовнішніх USB-накопичувачів), дані (бази даних), що зберігаються. Окремо можна назвати втрату носія (флеш-пам'ять, ноутбук). До класу DLP систему можна віднести, якщо вона відповідає наступним критеріям: - багатоканальність (моніторинг кількох можливих каналів витоку даних); уніфікований менеджмент (уніфіковані засоби управління на всіх каналах моніторингу); активний захист (дотримання безпекової політики); облік як змісту, і контексту.
Конкурентною перевагою більшості систем є модуль аналізу. Виробники настільки випинають цей модуль, що часто називають свої продукти, наприклад «DLP-рішення на базі міток». Тому користувач вибирає рішення часто не за продуктивністю, масштабованістю або іншим, традиційним для корпоративного ринку інформаційної безпеки критеріям, а саме на основі типу аналізу документів, що використовується.
Очевидно, що оскільки кожен метод має свої переваги і недоліки, використання тільки одного методу аналізу документів ставить рішення в технологічну залежність від нього. Більшість виробників використовують кілька методів, хоча один із них зазвичай є «флагманським». Ця стаття є спробою класифікації методів, що використовуються при аналізі документів. Дається оцінка їх сильних та слабких сторін на досвіді практичного застосуваннякількох типів продуктів. У статті не розглядаються конкретні товари, т.к. основним завданням користувача при їх виборі є відсівання маркетингових гасел типу «ми захистимо все від усього», «унікальна запатентована технологія» та усвідомлення того, з чим він залишиться, коли підуть продавці.
Контейнерний аналіз
Цей метод аналізує властивості файлу або іншого контейнера (архіву, криптодиску тощо), у якому міститься інформація. Просторова назва таких методів – «рішення на мітках», що досить повно відображає їхню суть. Кожен контейнер містить якусь мітку, яка однозначно визначає тип контенту, що міститься всередині контейнера. Згадані методи практично не вимагають обчислювальних ресурсів для аналізу інформації, що переміщується, оскільки мітка повністю визначає права користувача на переміщення контенту по будь-якому маршруту. У спрощеному вигляді такий алгоритм звучить так: «є мітка – забороняємо, немає мітки – пропускаємо».
Плюси такого підходу очевидні: швидкість аналізу та повна відсутність помилок другого роду (коли відкритий документсистема помилково детектує як конфіденційну). Такі методи в деяких джерелах називають детерміністськими.
Очевидні і мінуси - система дбає лише про помічену інформацію: якщо мітка не поставлена, контент не захищений. Необхідно розробляти процедуру розміщення міток на нові та вхідні документи, а також систему протидії перенесення інформації з позначеного контейнера в непомічений за допомогою операцій з буфером, файлових операцій, копіювання інформації з тимчасових файлів тощо.
Слабкість таких систем проявляється і в організації розміщення міток. Якщо їх розставляє автор документа, то за злим наміром він може не помітити інформацію, яку збирається викрасти. За відсутності злого наміру рано чи пізно виявляться недбалість чи безтурботність. Якщо зобов'язати розставляти мітки певного співробітника, наприклад офіцера інформаційної безпеки або системного адміністратора, він не завжди зможе відрізнити конфіденційний контент від відкритого, оскільки не знає досконально всіх процесів у компанії. Так, «білий» баланс має бути викладений на сайті компанії, а «сірий» чи «чорний» не можна виносити за межі інформаційної системи. Але одне одного може відрізнити лише головбух, тобто. один із авторів.
Мітки зазвичай поділяють на атрибутні, форматні та зовнішні. Як випливає з назви, перші розміщуються в атрибутах файлів, другі - у полях самого файлу і треті - прикріплюються до файлу (асоціюються з ним) зовнішніми програмами.
Контейнерні структури в ІБ
Іноді плюсами рішень на мітках вважаються також низькі вимоги до продуктивності перехоплювачів, адже лише перевіряють мітки, тобто. діють як турнікети у метро: «є квиток - проходь». Однак не варто забувати, що чудес не буває – обчислювальне навантаження у цьому випадку перекладається на робочі станції.
Місце рішень на мітках, хоч би якими вони були - захист документних сховищ. Коли компанія має документне сховище, яке, з одного боку, поповнюється досить рідко, а з іншого боку - точно відомі категорія та рівень конфіденційності кожного документа, то організувати його захист найпростіше з використанням міток. Організувати розміщення міток на документах, що надходять до сховища, можна за допомогою організаційної процедури. Наприклад, перед тим, як надіслати документ до сховища, співробітник, який відповідає за його функціонування, може звернутися до автора та фахівця з питанням, який рівень конфіденційності документу виставити. Особливо успішно це завдання вирішується з допомогою форматних міток, тобто. кожен вхідний документ зберігається в захищеному форматі і потім видається на запит співробітника із зазначенням його як допущеного до читання. Сучасні рішення дозволяють надавати право доступу на обмежений час, а після закінчення дії ключа документ просто не читається. Саме за цією схемою організована, наприклад, видача документації на конкурси з держзакупівель у США: система управління закупівлями генерує документ, який можуть прочитати без можливості змінити або скопіювати вміст лише перелічені у цьому документі учасники конкурсу. Ключ доступу діє лише до терміну подачі документів на конкурс, після чого документ перестає читатися.
Також за допомогою рішень, що базуються на мітках, компанії організують документообіг у закритих сегментах мережі, в якій звертаються інтелектуальна власність та державна таємниця. Ймовірно, тепер за вимогами ФЗ «Про персональні дані» буде організовано документообіг у відділах кадрів великих компаній.
Контентний аналіз
При реалізації описаних у розділі технологій, на відміну описаних раніше, навпаки, абсолютно байдуже, у якому контейнері зберігається контент. Завдання цих технологій - отримати значний контент з контейнера або перехопити передачу по каналу зв'язку і проаналізувати інформацію на наявність забороненого вмісту.
Основними технологіями визначення забороненого контенту в контейнерах є контроль сигнатур, контроль на основі хеш-функцій і лінгвістичні методи.
Сигнатури
Найпростіший метод контролю – пошук у потоці даних деякої послідовності символів. Іноді заборонену послідовність символів називають «стоп-словом», але у загальному випадку вона може бути не словом, а довільним набором символів, наприклад тієї ж міткою. Взагалі цей метод не у всіх його реалізаціях можна зарахувати до контентного аналізу. Наприклад, у більшості пристроїв класу UTM пошук заборонених сигнатур у потоці даних відбувається без вилучення тексту з контейнера, аналізуючи поток «as is». Або, якщо система налаштована лише одне слово, результат її роботи - визначення 100%-го збігу, тобто. Метод можна зарахувати до детерміністським.
Однак частіше пошук певної послідовності символів все ж таки застосовують при аналізі тексту. У переважній більшості випадків сигнатурні системи налаштовані на пошук кількох слів і частоту термінів, тобто термінів. ми все ж таки відноситимемо цю систему до систем аналізу контенту.
До переваг цього методу можна віднести незалежність від мови та простоту поповнення словника заборонених термінів: якщо ви хочете скористатися цим методом для пошуку в потоці даних слова мовою пушту, вам не обов'язково володіти цією мовою, достатньо знати, як воно пишеться. Також легко додається, наприклад, транслітерований російський текст або «олбанська» мова, що важливо, наприклад, при аналізі SMS-текстів, повідомлень ICQ або постів у блогах.
Недоліки стають очевидними при використанні неанглійської мови. На жаль, більшість виробників систем аналізу текстів працюють для американського ринку, а англійська мова дуже «сигнатурна» - форми слів найчастіше утворюються за допомогою прийменників без зміни самого слова. У російській мові все набагато складніше. Візьмемо, наприклад, миле серцю співробітника інформаційної безпеки слово "secret" (секрет). В англійському воно означає і іменник «секрет», і прикметник «секретний», і дієслово «засекретити». У російській з кореня «секрет» можна утворити кілька десятків різних слів. Тобто. якщо в англомовній організації співробітнику інформаційної безпеки достатньо ввести одне слово, в російськомовній доведеться вводити пару десятків слів і потім змінювати їх у шести різних кодуваннях.
Крім того, такі методи нестійкі до примітивного кодування. Практично всі вони пасують перед улюбленим прийомом спамерів-початківців - заміною символів на схожі за накресленням. Автор неодноразово демонстрував офіцерам безпеки елементарний прийом – прохід конфіденційного тексту через сигнатурні фільтри. Береться текст, що містить, наприклад, фразу «цілком таємно», і поштовий перехоплювач, налаштований на цю фразу. Якщо текст відкрити в MS Word, то двосекундна операція: Ctrl+F, "знайти "o" (російської розкладки)", "замінити на "o" (англійської розкладки)", "замінити все", "відіслати документ" - робить документ абсолютно невидимий для цього фільтр. Тим більше прикро, що така заміна проводиться штатними засобами MS Word або будь-якого іншого текстового редактора, тобто. вони доступні користувачеві, навіть якщо у нього немає прав локального адміністратора та можливості запускати програми шифрування.
Найчастіше сигнатурний контроль потоків входить у функціонал UTM-пристроїв, тобто. рішень, що очищають трафік від вірусів, спаму, вторгнень та інших загроз, детектування яких відбувається за сигнатурами. Оскільки ця функція є «безкоштовною», часто користувачі вважають, що цього достатньо. Такі рішення справді захищають від випадкових витоків, тобто. у тих випадках, коли вихідний текст не змінюється відправником з метою обійти фільтр, але проти зловмисних користувачів вони безсилі.
Маски
Розширенням функціоналу пошуку сигнатур "стоп-слів" є пошук їх масок. Він є пошуком такого змісту, яке неможливо точно вказати в базі «стоп-слів», але можна вказати його елемент або структуру. До такої інформації слід віднести будь-які коди, що характеризують персону чи підприємство: ІПН, номери рахунків, документів тощо. Шукати їх за допомогою сигнатури неможливо.
Нерозумно ставити номер конкретної банківської карткияк об'єкт пошуку, а хочеться знаходити будь-який номер кредитної карткиЯк би він не був написаний - з пробілами або разом. Це не просто бажання, а вимога стандарту PCI DSS: незашифровані номери пластикових карток заборонено посилати по електронній пошті, тобто. обов'язком користувача є знаходити такі номери в електронній пошті та скидати заборонені повідомлення.
Ось, наприклад, маска, що задає таке стоп-слово, як назва конфіденційного чи секретного наказу, номер якого починається з нуля. Маска враховує як довільний номер, а й будь-який регістр і навіть підміну російських букв латинськими. Маска записана в стандартній нотації «REGEXP», хоча різні DLP-системи можуть мати власні, більш гнучкі нотації. Ще гірша справа з номерами телефонів. Ця інформація віднесена до персональних даних, а писати її можна десятком способів - з використанням різних поєднань прогалин, різних типівдужок, плюса та мінуса і т.д. Тут, мабуть, єдиною маскою не обійтись. Наприклад, в антиспамових системах, де доводиться вирішувати подібне завдання, для детектування телефонного номеравикористовують кілька десятків масок одночасно.
Безліч різних кодів, вписаних у діяльність підприємств та її співробітників, охороняються багатьма законами і є комерційну таємницю, банківську таємницю, персональні дані та іншу інформацію, що захищається законом, тому проблема детектування їх у трафіку є обов'язковою умовою будь-якого рішення.
Хеш-функції
Різного типу хеш-функції зразків конфіденційних документів у свій час вважалися новим словом на ринку захисту від витоків, хоча сама технологія існує з 1970-х років. На Заході цей метод іноді називається "digital fingerprints", тобто. "цифрові відбитки пальців", або "шиндли" на науковому сленгу.
Суть усіх методів та сама, хоча конкретні алгоритми в кожного виробника можуть істотно відрізнятися. Деякі алгоритми навіть патентуються, що свідчить про унікальність реалізації. Загальний сценарій дії такий: набирається основа зразків конфіденційних документів. З кожного їх знімається «відбиток», тобто. з документа вилучається значний вміст, що приводиться до деякого нормального, наприклад (але не обов'язково) текстового вигляду, потім знімаються хеші всього вмісту та його частин, наприклад абзаців, речень, п'ятірок слів тощо, деталізація залежить від конкретної реалізації. Ці відбитки зберігаються у спеціальній базі даних.
Перехоплений документ так само очищається від службової інформації і приводиться до нормального вигляду, потім з нього за тим же алгоритмом знімаються відбитки-шіндли. Отримані відбитки шукаються у базі даних відбитків конфіденційних документів, і якщо є - документ вважається конфіденційним. Оскільки цей метод застосовується для знаходження прямих цитат із документа-зразка, технологія іноді називається «антиплагіатною».
Більшість переваг такого методу є одночасно його недоліками. Насамперед, це вимога використання зразків документів. З одного боку, користувачеві не треба турбуватися про стоп-слова, значущі терміни та іншої інформації, абсолютно неспецифічної для офіцерів безпеки діяльності. З іншого боку, «немає зразка - немає захисту», що породжує ті ж проблеми з новими та вхідними документами, що і при зверненні до технологій, що базуються на мітках. Дуже важливим плюсом такої технології є її націленість працювати з довільними послідовностями символів. З цього випливає насамперед незалежність від мови тексту - хоч ієрогліфи, хоч пушту. Далі, одне з основних наслідків цієї якості - можливість зняття відбитків з нетекстової інформації - баз даних, креслень, медіафайлів. Саме ці технології застосовують голлівудські студії та світові студії звукозапису для захисту медіаконтенту у своїх цифрових сховищах.
На жаль, низькорівневі хеш-функції нестійкі до примітивного кодування, що розглядалося у прикладі із сигнатурами. Вони легко справляються зі зміною порядку слів, перестановкою абзаців та іншими хитрощами «плагіаторів», але, наприклад, зміна букв по всьому документу руйнує хеш-зразок і такий документ стає невидимим для перехоплювача.
Використання цього методу ускладнює роботу з формами. Так, порожня форма заяви на кредит є документом, що вільно розповсюджується, а заповнена - конфіденційним, оскільки містить персональні дані. Якщо легко зняти відбиток із порожньої форми, то перехоплений заповнений документ міститиме всю інформацію з порожньої форми, тобто. відбитки багато в чому співпадатимуть. Таким чином, система або пропустить конфіденційну інформацію, або перешкоджатиме вільному поширенню порожніх форм.
Незважаючи на згадані недоліки, цей метод має широке поширення, особливо в такому бізнесі, який не може собі дозволити кваліфікованих співробітників, а діє за принципом «склади всю конфіденційну інформацію в цю папку та спи спокійно». В цьому сенсі вимога конкретних документів для їх захисту чимось схожа на рішення, що базуються на мітках, що тільки зберігаються окремо від зразків і зберігаються при зміні формату файлу, копіюванні частини файлу і т.д. Однак великий бізнес, що має в обороті сотні тисяч документів, часто просто не в змозі надати зразки конфіденційних документів, т.к. бізнес-процеси компанії цього не вимагають. Єдине, що є (або, чесніше, має бути) на кожному підприємстві, – «Перелік інформації, яка становить комерційну таємницю». Зробити з неї зразки – нетривіальне завдання.
Простота додавання зразків до бази контрольованого контенту найчастіше грає з користувачами злий жарт. Це веде до поступового збільшення бази відбитків, що впливає на продуктивність системи: чим більше зразків, тим більше порівнянь кожного перехопленого повідомлення. Оскільки кожен відбиток посідає від 5 до 20% оригіналу, база відбитків поступово розростається. Користувачі відзначають різке падіння продуктивності, коли база починає перевищувати обсяг оперативної пам'ятіфільтруючого сервера. Зазвичай проблема вирішується регулярним аудитом зразків документів та видаленням застарілих чи дублюючих зразків, тобто. економлячи на запровадження, користувачі втрачають експлуатації.
Лінгвістичні методи
Найпоширенішим на сьогоднішній день методом аналізу є лінгвістичний аналіз тексту. Він настільки популярний, що найчастіше саме він просторіччя називається «контентною фільтрацією», тобто. несе у собі характеристику всього класу методів аналізу вмісту. З погляду класифікації і хеш-аналіз, і аналіз сигнатур, і аналіз масок є «контентною фільтрацією», тобто. фільтрування трафіку на основі аналізу вмісту.
Як відомо з назви, метод працює лише з текстами. Ви не захистите з його допомогою базу даних, що складається лише з чисел і дат, тим більше – креслення, малюнки та колекцію улюблених пісень. Натомість із текстами цей метод творить дива.
Лінгвістика як наука складається з багатьох дисциплін – від морфології до семантики. Тому лінгвістичні методи аналізу також різняться між собою. Є методи, що використовують лише стоп-слова, що тільки вводяться на рівні коріння, а сама система вже складає повний словник; є що базуються на розставленні терезів які у тексті термінів. Є у лінгвістичних методах та свої відбитки, що базуються на статистиці; наприклад, береться документ, вважаються п'ятдесят найуживаніших слів, потім вибирається по 10 найуживаніших у кожному абзаці. Такий «словник» є практично унікальною характеристикою тексту і дозволяє знаходити в «клонах» значущі цитати.
Аналіз усіх тонкощів лінгвістичного аналізу не входить у рамки цієї статті, тому зосередимося на перевагах та недоліках.
Перевагою способу є повна нечутливість до кількості документів, тобто. рідкісна для корпоративної інформаційної безпеки масштабованість. База контентної фільтрації (набір ключових словникових класів та правил) не змінюється у розмірі від появи нових документів чи процесів у компанії.
Крім того, користувачі відзначають у цьому методі схожість зі «стоп-словами» у тій частині, що якщо документ затриманий, то одразу видно, через що це сталося. Якщо система, що базується на відбитках, повідомляє, що якийсь документ схожий на інший, то офіцеру безпеки доведеться самому порівнювати два документи, а за лінгвістичного аналізу він отримає вже розмічений контент. Лінгвістичні системи поряд з сигнатурною фільтрацією настільки поширені, оскільки дозволяють почати працювати без змін у компанії відразу після інсталяції. Немає потреби возитися з розставлянням міток та зняттям відбитків, інвентаризувати документи та виконувати іншу неспецифічну для офіцера безпеки роботу.
Недоліки настільки ж очевидні, і перша - залежність від мови. У кожній країні, мова якої підтримується виробником, це не є недоліком, однак з точки зору глобальних компаній, які мають крім єдиної мови корпоративного спілкування (наприклад, англійської), ще безліч документів локальними мовами в кожній країні, це явний недолік.
Ще один недолік - високий відсоток помилок другого роду, для зниження якого потрібна кваліфікація в галузі лінгвістики (для тонкого налаштуванняоснови фільтрації). Стандартні галузеві основи зазвичай дають точність фільтрації 80-85%. Це означає, що кожен п'ятий-шостий лист перехоплений помилково. Налаштування бази до прийнятних 95-97% точності спрацьовування пов'язане з втручанням спеціально навченого лінгвіста. І хоча для навчання коригування бази фільтрації достатньо мати два дні вільного часу та володіти мовою на рівні випускника середньої школи, цю роботу, крім офіцера безпеки, робити нікому, а він зазвичай вважає таку роботу непрофільною. Залучати ж людину збоку завжди ризиковано – адже працювати їй доведеться з конфіденційною інформацією. Виходом із цієї ситуації зазвичай є покупка додаткового модуля- самонавченого «автолінгвіста», якому «годуються» помилкові спрацьовування, і він автоматично адаптує стандартну галузеву базу.
Лінгвістичні методи вибирають тоді, коли хочуть мінімізувати втручання у бізнес, коли служба захисту не має адміністративного ресурсу змінити існуючі процеси створення та зберігання документів. Вони працюють завжди і скрізь, хоч і зі згаданими недоліками.
Популярні канали випадкових витоків мобільні носії інформації
Аналітики InfoWatch вважають, що найбільш популярним каналом для випадкових витоків залишаються мобільні носії інформації (ноутбуки, флеш-накопичувачі, мобільні комунікатори та ін), оскільки користувачі подібних пристроїв найчастіше нехтують засобами шифрування даних.
Іншою частою причиною випадкових витоків стає паперовий носій: його проконтролювати складніше, ніж електронний, тому що, наприклад, після виходу аркуша з принтера слідкувати за ним можна лише «вручну»: контроль за паперовими носіями слабший за контроль за комп'ютерною інформацією. Багато засобів захисту від витоків (назвати їх повноцінними DLP-системами не можна) не контролюють канал виведення інформації на принтер – так конфіденційні дані легко виходять за межі організації.
Вирішити цю проблемудозволяють багатофункціональні DLP-системи, які блокують відправку на друк недозволеної інформації та перевіряють відповідність поштової адреси та адресата.
Крім цього, забезпечення захисту від витоків значно ускладнюється популярністю мобільних пристроїв, адже відповідних DLP-клієнтів поки що немає. Крім того, дуже важко виявити витік у разі застосування криптографії або стеганографії. Інсайдер, щоб обійти якийсь фільтр, завжди може звернутися за «кращими практиками» до Інтернету. Тобто від організованого навмисного витоку DLP-засоби захищають досить погано.
Ефективності інструментів DLP можуть заважати їхні очевидні вади: сучасні рішеннязахисту від витоків не дозволяють контролювати та перекривати всі наявні інформаційні канали. Системи DLP проконтролюють корпоративну пошту, використання веб-ресурсів, миттєвий обмін повідомленнями, роботу з зовнішніми носіями, друк документів та вміст жорстких дисків. Але не підконтрольним для систем DLP поки що залишається Skype. Тільки Trend Micro встигла сказати, що вміє контролювати роботу цієї програми комунікації. Інші розробники обіцяють, що відповідний функціонал буде забезпечено в наступній версії їхнього захисного ПЗ.
Але якщо Skype обіцяє відкрити свої протоколи для розробників DLP, інші рішення, наприклад Microsoft Collaboration Tools для організації спільної праці, залишаються закритими для сторонніх програмістів Як контролювати передачу інформації цим каналом? Тим часом у сучасному світі розвивається практика, коли фахівці віддалено об'єднуються в команди для роботи над загальним проектом і розпадаються після його завершення.
Основними джерелами витоків конфіденційної інформації у першій половині 2010 року, як і раніше, залишаються комерційні (73,8%) та державні (16%) організації. Близько 8% витоків походять із освітніх закладів. Характер конфіденційної інформації - персональні дані (майже 90% всіх інформаційних витоків).
Лідерами по витокам у світі традиційно є США та Великобританія (також до п'ятірки країн за найбільшою кількістю витоків увійшли Канада, Росія та Німеччина з значно нижчими показниками), що пов'язано з особливістю законодавства цих країн, що наказує повідомляти про всі інциденти витоку конфіденційних даних. Аналітики Infowatch прогнозують наступного року скорочення частки випадкових витоків та зростання частки умисних.
Проблеми застосування
Крім очевидних труднощів запровадження DLP перешкоджає і складність вибору відповідного рішенняОскільки різні постачальники систем DLP сповідують власні підходи до організації захисту. В одних запатентовані алгоритми аналізу контенту ключовим словама хтось пропонує метод цифрових відбитків. Як у цих умовах вибрати оптимальний продукт? Що ефективніше? Відповісти на ці питання дуже складно, тому що впроваджень систем DLP на сьогодні дуже мало, а реальних практик їх використання (на які можна було б покладатися) ще менше. Але ті проекти, які все ж таки були реалізовані, показали, що більше половини обсягу робіт і бюджету в них становить консалтинг, і це зазвичай викликає великий скепсис у керівництва. Крім того, як правило, під вимоги DLP доводиться перебудовувати існуючі бізнес-процеси підприємства, але на це компанії йдуть насилу.
Наскільки впровадження DLP допомагає відповідати чинним вимогам регуляторів? На Заході використання DLP-систем мотивують закони, стандарти, галузеві вимоги та інші нормативні акти. На думку експертів, наявні за кордоном чіткі вимоги законодавства, методичні вказівки щодо забезпечення вимог є реальним двигуном ринку DLP, оскільки використання спеціальних рішень виключає претензії з боку регуляторів. У нас у цій сфері становище зовсім інше, і використання DLP-систем не допомагає відповідати законодавству.
Деяким стимулом застосування та використання DLP в корпоративному середовищі може бути необхідність захищати комерційні секрети підприємств і виконати вимоги федерального закону «Про комерційну таємницю».
Майже на кожному підприємстві прийнято такі документи, як «Положення про комерційну таємницю» та «Перелік відомостей, що становлять комерційну таємницю», та їх вимоги слід виконувати. Існує думка, що закон "Про комерційну таємницю" (98-ФЗ) не працює, проте керівники компаній добре усвідомлюють, що їм важливо і потрібно захищати свої комерційні секрети. Причому це усвідомлення набагато вище за розуміння важливості закону «Про персональні дані» (152-ФЗ), і будь-якому керівнику набагато простіше пояснити необхідність запровадити конфіденційний документообіг, ніж розповідати про захист персональних даних.
Що заважає використати DLP у процесах автоматизації захисту комерційної таємниці? За Цивільним кодексом РФ, для введення режиму захисту комерційної таємниці необхідно лише, щоб інформація мала певну цінність і була включена у відповідний перелік. І тут власник такої інформації згідно із законом зобов'язаний вжити заходів для охорони конфіденційних відомостей.
Разом з тим, очевидно, що і DLP не зможе вирішити всіх питань. Зокрема, закрити доступ до конфіденційної інформації третім особам. Але для цього є інші технології. Багато сучасних DLP-рішень вміють з ними інтегруватися. Тоді при вибудовуванні цього технологічного ланцюжка може вийти працююча система захисту комерційної таємниці. Така система буде більш зрозумілою для бізнесу і саме бізнес зможе виступити замовником системи захисту від витоків.
Росія та Захід
На думку аналітиків, у Росії інше ставлення до безпеки та інший рівень зрілості компаній, що постачають рішення DLP. Ринок Росії орієнтується на фахівців з безпеки та вузькоспеціалізовані проблеми. Люди, які займаються запобіганням витоку даних, не завжди розуміють, які дані мають цінність. У Росії «мілітаристський» підхід до організації систем безпеки: міцний периметр із міжмережевими екранами та всі зусилля додаються до того, щоб не допустити проникнення всередину.
Але якщо працівник компанії має доступ до кількості інформації, яка не потрібна для виконання його обов'язків? З іншого боку, якщо подивитися, який підхід формувався на Заході останні 10-15 років, то можна сказати, що більше уваги приділяється цінності інформації. Ресурси прямують туди, де є цінна інформація, а чи не всю інформацію поспіль. Мабуть, це найбільша культурологічна різниця між Заходом та Росією. Проте, кажуть аналітики, ситуація змінюється. Інформація починає сприйматися як діловий актив, але в еволюцію знадобиться якийсь час.
Немає всеосяжного рішення
Стовідсоткового захисту від витоку ще не розробив жоден виробник. Проблеми з використанням DLP-продуктів деякі експерти формулюють приблизно так: ефективне використання досвіду боротьби з витоками, що застосовується в DLP-системах, вимагає розуміння, що значна робота із забезпечення захисту від витоків має бути проведена на стороні замовника, оскільки ніхто краще за нього не знає власних. інформаційних потоків
Інші вважають, що захиститися від витоків не можна: запобігти витоку інформації неможливо. Оскільки інформація має для когось цінність, вона буде отримана раніше чи пізніше. Програмні засобиможуть зробити отримання інформації більш дорогим і потребують великих тимчасових витрат процесом. Це може значно знизити користь володіння інформацією, її актуальність. Отже, ефективність роботи DLP-систем слід контролювати.
»Вибір конкретної DLP-системи залежить від необхідного рівня безпеки даних і завжди вибирається індивідуально. Для допомоги у виборі DLP-системи та розрахунку вартості її впровадження в ІТ-інфраструктуру компанії залиште заявку, і ми зв'яжемося з вами найближчим часом.
Що таке DLP-система
DLP-система(Data Leak Prevention у перекладі з англійської - засоби запобігання витоку даних) - це технології та технічні пристрої, які запобігають витоку конфіденційної інформації з інформаційних систем.
DLP-системи аналізують потоки даних і контролюють їхнє переміщення всередині певного периметра інформаційної системи, який є захищеним. Це можуть бути ftp-з'єднання, корпоративна та web-пошта, локальні з'єднання, а також надсилання миттєвих повідомлень та даних на принтер. У разі перетворення конфіденційної інформації в потоці активується компонента системи, яка і блокує передачу потоку даних.
Іншими словами, DLP-системистоять на варті конфіденційних і стратегічно важливих документів, витік яких з інформаційних систем назовні може принести непоправну шкоду компанії, а також, порушити Федеральні закони № 98-ФЗ «Про комерційну таємницю» та № 152-ФЗ «Про персональні дані». Захист інформації від витоку також згадується в ГОСТ. « Інформаційна технологія. Практичні правила управління інформаційною безпекою» - ГОСТ Р ІСО/МЕК 17799-2005.
Як правило, витік конфіденційної інформації може здійснюватися як після злому і проникнення, так і внаслідок неуважності, недбалості співробітників підприємства, а також зусиль інсайдерів - навмисна передача конфіденційної інформації співробітниками підприємства. Тому, DLP-системи є найбільш надійними технологіями захисту від витоку конфіденційної інформації - вони виявляють інформацію, що захищається за змістом, незалежно від мови документа, грифа, каналів передачі і формату.
Також, DLP-системаконтролює всі канали, які використовуються повсякденно для передачі інформації в електронному вигляді. Потік інформації автоматично обробляються на основі встановленої політики безпеки. Якщо ж, дії конфіденційної інформації входять у протиріччя з, встановленої компанією, політикою безпеки, то передача даних блокується. При цьому довірена особа компанії, яка відповідає за інформаційну безпеку, отримує миттєве повідомлення з попередженням про спробу передачі конфіденційної інформації.
Використання DLP-системи, насамперед, забезпечує відповідність до низки вимог стандарту PCI DSS щодо рівня інформаційної безпеки підприємства. Також, DLP-системи здійснюють автоматичний аудит захищеної інформації, згідно з її місцезнаходженням та забезпечують автоматизований контроль, згідно з правилами переміщення конфіденційної інформації в компанії, обробляючи та запобігаючи інцидентам неправомірного розголошення секретних відомостей. Система запобігання витоку даних, на підставі звітів щодо інцидентів, відстежує загальний рівень ризиків, а також у режимах ретроспективного аналізу та негайного реагування контролює витік інформації.
DLP-системи встановлюються як на невеликих, так і великих підприємствах, запобігаючи витоку інформації, тим самим захищаючи компанію від фінансових та юридичних ризиків, що виникають при втраті або передачі важливої корпоративної або конфіденційної інформації.
