Обычно информация, которые обрабатывается и пересылается в корпоративной сети компании, носит конфиденциальный характер, поэтому хранение и недопустимость ее утечки является залогом успешности бизнеса. Для решения подобной задачи используются как организационные методы, так и технические средства, которые следует рассматривать в едином контексте.

Прежде всего, необходимо отметить, что при решении задачи охраны секретных данных компании зачастую сталкиваются с проблемой определения конфиденциальности информации. Согласно закону Украины «Об Информации» Конфиденциальная информация — это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию согласно с предусмотренными ними условиями. К тайной относится информация, которая содержит сведения, составляющие государственную и иную предусмотренную законом тайну, разглашение которой причиняет ущерб лицу, обществу или государству. И хотя в нормах закона четко не указано, что к тайной информации принадлежит коммерческая тайна, в Гражданском кодексе Украины в ст. 505 дается следующее определение: «Коммерческой тайной есть информация, которая является секретной в том смысле, что она в целом или в определенной форме и совокупности ее составных есть неизвестной и не есть легкодоступной для лиц, которые обычно имеют дело с видом информации, к которому она принадлежит, в связи с этим имеет коммерческую ценность и была предметом адекватных существующим обстоятельствам средств относительно сохранения ее секретности, принятых лицом, которое законно контролирует эту информацию». 

Как правило, организации относят к коммерческой тайне следующие сведения: производство, управление, планы, финансы, контракты, цены, научно-технические достижения, информацию о держателях платежных карт и другие подобные данные. После определения того, какая информация является коммерческой тайной, ее группируют и составляют к ней матрицу доступа. 

На втором этапе, после выполнения организационных методов, происходит внедрение технических средств, которые контролируют доступ к данным и осуществляют мониторинг ЛВС компании, предотвращая утечку. В международной практике подобные решения называются Data Loss Prevention (DLP). В основном, такие системы состоят из трех основных модулей:

1) Агент, инсталлируемый на рабочую станцию

2) Сканирующий модуль

3) Сетевой модуль

Агент на рабочей станции контролирует действия, которые сотрудник выполняет с конфиденциальной информацией. Каждый агент DLP-решения оснащен своим функционалом, однако есть базовый набор функций, который присущ всем решениям:

- блокирование или аудит на запись для USB-устройств;

- блокирование или аудит на запись CD/DVD-дисков;

- блокирование или аудит на перемещение конфиденциальных документов на файловые серверы;

- блокирование или аудит при печати на локальном или сетевом принтере.

Следует различать DLP-агентов и агентские модули таких решений как Device Lock, GFI Endpoint и т.д. DLP агент не блокирует USB-порты, не запрещает запись на CD/DVD-устройства или печать на принтере, а осуществляет контроль этих операций. Это означает, что он может заблокировать передачу информации, если она отмечена в системе как конфиденциальная, и есть соответствующая политика, которая запрещает определенному человеку выполнять именно такую операцию. В этом подходе и заключается принципиальная разница между DLP-агентом и другими агентскими решениями для контроля рабочих станций.

Сканирующий модуль — это приложение, которое поможет определить местонахождение конфиденциальной информации в сети предприятия. С помощью этого модуля выполняется сканирование рабочих станций сотрудников, файловых серверов, баз данных и т. д. После завершения процесса выводится детальный отчет по каждому компьютеру или каталогу с общим доступом. Кроме того, если создать соответствующую политику, такой модуль сможет перемещать найденную конфиденциальную информацию с рабочих станций сотрудников, каталогов с общим доступом и других ресурсов в место, заданное администратором. Например, это может специальный файловый сервер, где должна храниться подобная информация. То есть, данный модуль не только оптимизирует работу администратора, но и упорядочивает хранение данных на серверах компании.

Сетевой модуль анализирует весь исходящий трафик предприятия. Именно благодаря ему сотрудники отдела ИТ-безопасности могут контролировать, какая информация «утекает» в интернет из корпоративной сети. Несомненно, что такие веб-сервисы как корпоративная почта, электронная почта с веб-доступом и системы мгновенных сообщений являются основным каналом для передачи «секретов». Сетевой модуль выполняет не только аудит утечек конфиденциальной информации, но и способен заблокировать подобные попытки.
 
Отметим, что на рынке Украины представлены практически все лидирующие DLP-решения – RSA, Websense и Symantec. Принцип работы всех DLP-систем очень похож между собой, основные отличия заключаются в масштабируемости, «тонких» настройках и системе лицензирования. Еще одним немаловажным фактором является поддержка со стороны разработчика. Например, компании RSA и Symantec имеют расширенные представительства в СНГ, которые осуществляют локализацию и поддержку своих продуктов. 

В заключении хотелось бы сказать, что «слепое» внедрение DLP-решений без подготовки политики информационной безопасности и категоризации информации обречено на неудачу. Поэтому перед внедрением любой технической системы обязательно нужно иметь четко прописанные документы.  

Материалы подготовлены отделом ИТ- безопасности компании «ИТ Лэнд».
Комментарии и вопросы Вы можете адресовать support@itland.com.ua с пометкой «DLP»