Предотвращение утечек информации

Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Используются также следующие термины, обозначающие приблизительно то же самое:

• Data Loss Prevention (DLP);
• Data Leak Prevention (DLP);
• Data Leakage Protection (DLP);
• Information Protection and Control (IPC);
• Information Leak Prevention (ILP);
• Information Leak Protection (ILP);
• Information Leak Detection & Prevention (ILDP);
• Content Monitoring and Filtering (CMF);
• Extrusion Prevention System (EPS).

Из этой группы пока не выделился один термин, который можно было бы назвать основным или самым распространённым.

Необходимость защиты от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, и популярность DLP-систем возросла. Необходимость их использования стала упоминаться в стандартах и нормативных документах (например, раздел «12.5.4 Утечка информации» в стандарте ГОСТ Р ИСО/МЭК 27002-2012 (Документ утратил силу или отменен по данным КонсультантПлюс)) . Специализированные технические средства для защиты от внутренних угроз стали массово выпускаться только после 2000 года.

Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хеш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок первого рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т. д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.

В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т. п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.

Основной задачей DLP-систем, что очевидно, является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Практика показывает, что большая часть ставших известными утечек (порядка 75%) происходит не по злому умыслу, а из-за ошибок, невнимательности, безалаберности, небрежности работников^[1]. Выявлять подобные утечки проще. Остальная часть связана со злым умыслом операторов и пользователей информационных систем. Понятно, что инсайдеры, как правило, стараются преодолеть средства DLP-систем. Исход этой борьбы зависит от многих факторов. Гарантировать успех здесь невозможно.

Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:

• архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
• предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т. п.);
• предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
• предотвращение использования работниками казённых информационных ресурсов в личных целях;
• оптимизация загрузки каналов, экономия трафика;
• контроль присутствия работников на рабочем месте.

Практически во всех странах охраняется законом право на тайну связи и право на тайну частной жизни (приватность, privacy). Использование DLP-систем может противоречить местным законам в некоторых режимах или требовать особого оформления отношений между работниками и работодателем. Поэтому при внедрении DLP-системы необходимо привлекать юриста на самом раннем этапе проектирования.

Взаимоотношения DLP-систем с российским законодательством рассмотрены в ряде работ^[2][3].

Информационная безопасность также описывается в ГОСТ, например, в ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» (Документ утратил силу или отменен по данным КонсультантПлюс).

Согласно обзору «Российский рынок DLP-систем 2021. Проблемы и решения» от ICT-Online.ru основные игроки и решения на российском рынке DLP^[4]:

• StaffCop Enterprise
• КиберПротект Кибер Протего ( ранее DeviceLock DLP)
• Falcongaze SecureTower
• DeviceLock DLP
• Infowatch Traffic Monitor DLP
• Zecurion DLP
• Ростелеком Solar Dozor DLP
• SearchInform DLP
• Гарда Предприятие
• Kaspersky DLP

Зарубежные решения:

• Symantec DLP
• Forcepoint DLP
• McAfee DLP
• Sophos Endpoint Protection
• Digital Guardian

• IPC-подход в защите от утечек
• Информационная безопасность
• Защита персональных данных
• Шифрование
• Физическая изоляция

• Барьеры на пути утечек данных | Открытые системы. СУБД | Издательство «Открытые системы» Архивная копия от 18 февраля 2019 на Wayback Machine osp.ru
• Защита информации от инсайдеров с помощью программных средств Архивная копия от 4 марта 2016 на Wayback Machine, securitylab.ru, 23 января 2007 г — достаточно интересная статья, несмотря на рекламную направленность, см. также её обсуждение Архивная копия от 28 мая 2015 на Wayback Machine
• Проблемы защиты и мониторинга информации в корпоративной локальной сети Архивная копия от 4 марта 2016 на Wayback Machine — статья в спецвыпуске-приложении «Безопасность», вышедшим вместе с июньским номером журнала «Мамка Кирилла Лобанова» в 2010 г.
• Находка для шпиона Архивная копия от 1 декабря 2017 на Wayback Machine — статья о наиболее популярных каналах кражи информации // Российская Бизнес-газета, 2012-06-26
• Статистика и динамический анализ утечек по годам, странам и каналам Архивная копия от 4 мая 2012 на Wayback Machine // Infowatch
• Рейтинг самых громких утечек данных 2011 г. Архивная копия от 16 апреля 2021 на Wayback Machine // SearchInform
• Александр Панасенко, Илья Шабанов. Сравнение систем защиты от утечек (DLP) — часть 1 Архивная копия от 5 марта 2022 на Wayback Machine, 2011
• Кому нужны DLP-системы? — обзор в Bankir.ru дополнительных возможностей DLP-систем для бизнеса.
• Сравнение систем защиты от утечек (DLP) 2014 — часть 1 Архивная копия от 29 января 2022 на Wayback Machine 
• Сравнение систем защиты от утечек (DLP) 2014 — часть 2 Архивная копия от 24 октября 2021 на Wayback Machine 
• Обзор DLP-систем на мировом и российском рынке Архивная копия от 7 марта 2022 на Wayback Machine