Запобігання витокам англ Data Leak Prevention DLP технології запобігання витоку конфіденційної інформації з інформаційно

Запобігання витокам (англ. Data Leak Prevention, DLP) — технології запобігання витоку конфіденційної інформації з інформаційної системи назовні, а також технічні пристрої (програмні або програмно-апаратні) для такого запобігання витокам.

DLP-системи будуються на аналізі потоків даних, які перетинають периметр інформаційної системи, що захищається. При детектуванні в цьому потоці конфіденційної інформації спрацьовує активна компонента системи, і передача повідомлень (пакета, потоку, сесії) блокується.

Використовуються також такі терміни, які означають приблизно те ж саме:

Data Loss Prevention (DLP)
Data Leak Prevention (DLP)
Data Leakage Protection (DLP)
Information Protection and Control (IPC)
Information Leak Prevention (ILP)
Information Leak Protection (ILP)
Information Leak Detection & Prevention (ILDP)
Content Monitoring and Filtering (CMF)
Extrusion Prevention System (EPS)

З цієї групи поки не виділився один термін, який можна було б назвати основним або найпоширенішим.

Впровадження

Необхідність захисту від внутрішніх загроз була очевидна на всіх етапах розвитку засобів інформаційної безпеки. Однак спочатку зовнішні загрози вважалися більш небезпечними. В останні роки на внутрішні загрози стали звертати більше уваги, і популярність DLP-систем зросла. Необхідність їх використання стала згадуватися у стандартах та нормативних документах (наприклад, розділ «12.5.4 Витік інформації» в стандарті ДСТУ ISO/IEC 17799-2005). Спеціалізовані технічні засоби для захисту від внутрішніх загроз стали масово випускатися тільки після 2000 року.

Методи

Розпізнавання конфіденційної інформації DLP-системою проводиться двома способами: аналізом формальних ознак (наприклад, грифа документа, спеціально введених міток, порівнянням хеш-функції) та аналізом вмісту. Перший спосіб дозволяє уникнути похибок (похибок другого роду), натомість вимагає попередньої класифікації документів, впровадження міток, збору сигнатур тощо. Пропуски конфіденційної інформації (похибок першого роду) при цьому методі цілком імовірні, якщо конфіденційний документ не зазнав попередньої класифікації. Другий спосіб дає помилкові спрацьовування, проте дозволяє виявити пересилку конфіденційної інформації не тільки серед документів під грифом. У хороших DLP-системах обидва способи поєднуються.

Компоненти

До складу DLP-систем входять компоненти (модулі) мережевого рівня і компоненти рівня хосту. Мережеві компоненти контролюють трафік, що перетинає межі інформаційної системи. Зазвичай вони стоять на проксі-серверах, серверах електронної пошти, а також у вигляді окремих серверів. Компоненти рівня хосту стоять зазвичай на персональних комп'ютерах працівників і контролюють такі канали, як запис інформації на компакт-диски, флеш-накопичувачі тощо. Хостові компоненти також намагаються відстежувати зміни мережевих налаштувань, інсталяцію програм для тунелювання стеганографії та інші можливі методи для обходу контролю. DLP-система повинна мати компоненти обох зазначених типів плюс модуль для централізованого управління.

Завдання

Основним завданням DLP-систем, що очевидно, є запобігання передачі конфіденційної інформації за межі інформаційної системи. Така передача (витік) може бути навмисною або ненавмисною. Практика показує, що більша частина витоків (близько 3/4) відбувається не через злі наміри, а через помилки, неуважність, безтурботність, недбалість працівників . Виявляти подібні витоки простіше. Інша частина пов'язана зі злим умислом операторів і користувачів інформаційних систем. Зрозуміло, що інсайдери, як правило, намагаються подолати засоби DLP-систем. Результат цієї боротьби залежить від багатьох факторів. Гарантувати успіх тут неможливо.

Крім основного, перед DLP-системою можуть стояти і вторинні (побічні) завдання. Вони такі:

архівування повідомлень, які пересилаються, на випадок можливих у майбутньому розслідувань інцидентів;
запобігання передачі зовні не тільки конфіденційної, але й іншої небажаної інформації (образливих повідомлень, спаму, еротики, зайвих обсягів даних тощо);
запобігання передачі небажаної інформації не тільки зсередини назовні, але й ззовні всередину інформаційної системи;
запобігання використанню працівниками державних інформаційних ресурсів в особистих цілях;
оптимізація завантаження каналів, економія трафіку;
контроль присутності працівників на робочому місці;
відстеження лояльності співробітників, їх політичних поглядів, переконань, збір компромату.

DLP-системи та закон

Практично у всіх країнах охороняється законом право на таємницю зв'язку і право на таємницю приватного життя (приватність, privacy). Використання DLP-систем може суперечити місцевим законам в деяких режимах або вимагати особливого оформлення відносин між працівниками і роботодавцем. Тому при впровадженні DLP-системи необхідно залучати юриста на самому ранньому етапі проектування.

Взаємовідносини DLP-систем з російським законодавством розглянуті в ряді робіт.

Інформаційна безпека також описується в ГОСТ, наприклад, ГОСТ Р ІСО/МЕК 17799-2005 «Інформаційна технологія. Практичні правила управління безпекою інформації».

У 2016—2017 році СБУ проводить обшуки у зв'язку з використанням DLP-систем російського походження. Тільки 26 квітня 2017 обшуки проведено у 8 компаніях. СБУ класифікувала таке ПЗ як «шпигунське».

Див. також

Примітки

. Архів оригіналу за 28 травня 2015. Процитовано 28 травня 2015.
Таємниця зв'язку проти технічних засобів захисту інформації в Інтернеті [ 4 березня 2016 у Wayback Machine.], Микола Миколайович Федотов
Полікарпова О.М, , 07.04.2004
. Архів оригіналу за 26 квітня 2017. Процитовано 26 квітня 2017.

Посилання

Інформаційно-пошукова система СЕП (ІПС) // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 316. — .
Захист інформації від інсайдерів за допомогою програмних засобів [ 4 березня 2016 у Wayback Machine.], securitylab.ru, 23 січня 2007 р — досить цікава стаття, незважаючи на рекламну спрямованість, див. також її обговорення [ 28 травня 2015 у Wayback Machine.]
— стаття у спецвипуску-додатку «Безпека», що вийшов разом з червневим номером журналу «Системний адміністратор» в 2010 р
Знахідка для шпигуна [ 1 грудня 2017 у Wayback Machine.] — стаття про найбільш популярних каналах крадіжки інформації // Російська Бізнес-газета
Статистика та динамічний аналіз витоків по роках, країнам і каналах [ 4 травня 2012 у Wayback Machine.] //
Рейтинг найгучніших витоків даних 2011 [ 16 квітня 2021 у Wayback Machine.] //
Олександр Панасенко, Ілля Шабанов. Порівняння систем захисту від витоків (DLP) — частина 1 [ 5 березня 2022 у Wayback Machine.]
Кому потрібні DLP-системи-? — Огляд в Bankir.ru додаткових можливостей DLP-систем для бізнесу.
П'ятірка лідерів російського ринку DLP-систем- [ 4 березня 2016 у Wayback Machine.] — стаття ComNews.ru від 13.12.2012
Порівняння систем захисту від витоків (DLP) 2014 — частина 1 [ 29 січня 2022 у Wayback Machine.]
Порівняння систем захисту від витоків (DLP) 2014 — частина 2 [ 24 жовтня 2021 у Wayback Machine.]
Огляд DLP-систем на світовому і російському ринку [ 7 березня 2022 у Wayback Machine.]

[IW_analit1-1] . Архів оригіналу за 28 травня 2015. Процитовано 28 травня 2015.

[fnn_tszi-2] Таємниця зв'язку проти технічних засобів захисту інформації в Інтернеті [ 4 березня 2016 у Wayback Machine.], Микола Миколайович Федотов

[polik-3] Полікарпова О.М, , 07.04.2004

[4] . Архів оригіналу за 26 квітня 2017. Процитовано 26 квітня 2017.