Введение

Утечки информации приводят к потере конкурентных преимуществ, ухудшению репутации компании и наносят ей прямой финансовый ущерб, в частности из-за штрафов со стороны регуляторов и контрагентов. Наряду с мошенничеством в компании утечки — частный случай внутренних угроз информационной безопасности, которые можно предотвратить с помощью внедрения DLP-систем.

DLP-системы контролируют действия и коммуникации сотрудников, перехватывают трафик, осуществляют мониторинг файлов и сохраняют данные в архив. Информация обрабатывается автоматически. Это позволяет бороться с утечками и проводить глубокие расследования инцидентов с меньшими временными затратами.

В DLP-системах (помимо собственно технологии DLP) реализуются и элементы анализа поведения пользователей с помощью математических моделей (User Behaviour Analytics). Они выделяются в качестве отдельных модулей. На основании математических моделей система определяет круг общения и аномалии в поведении индивидуально для каждого сотрудника или профилирует сотрудников по группам риска.

Задачи и сценарии работы DLP-систем

Для основной группы пользователей — сотрудников служб информационной, экономической и собственной безопасности — DLP-система решает следующие задачи:

  • Защита от утечек информации.

  • Выявление, расследование, профилактика инцидентов.

  • Противодействие корпоративному мошенничеству, коррупции, экстремизму.

В свою очередь, HR-специалисты и руководители могут оценивать продуктивность сотрудников, эффективность внедрения различных методов управления и особенности климата в коллективе.

DLP-система позволяет оптимизировать сценарии работы для всех групп сотрудников, перечисленных выше. К таким сценариям относятся:

  • Оценка и мониторинг оперативной обстановки в организации.

  • Выявление аномалий поведения и профилирование сотрудников.

  • Управление событиями и инцидентами безопасности.

  • Мониторинг групп повышенного риска.

  • Контроль движения и хранения данных.

  • Проведение расследований в отношении работников и разбор инцидентов.

Принципы работы DLP-систем

Действие DLP-системы построено на основе инцидентной модели, которая предполагает перехват (обнаружение) сообщений, выявление событий согласно настроенным политикам и расследование инцидентов офицером безопасности.

Обнаружение (фиксация, перехват) сообщений охватывает интернет-трафик, содержание файловых хранилищ, обмен сообщениями по электронной почте и в мессенджерах — то есть, большинство каналов коммуникаций. Помимо каналов коммуникации DLP-система контролирует действия пользователей рабочих станций: нажатие клавиш, использование буфера обмена, запуск программ, подключение съемных носителей информации и принтеров, поиск в интернете.

После фиксации сообщений DLP-система их фильтрует, основываясь на заданных офицером безопасности политиках: в случае обнаружения конфиденциальной информации регистрируется событие безопасности. При необходимости относящееся к событию сообщение блокируется или изменяется вручную для введения адресата в заблуждение. Затем сотрудник подразделения безопасности проводит расследование выявленных нарушений, принимает ответные меры и формирует отчет.

То, как работает DLP-система, зависит от наличия в ее составе дополнительных компонентов, например UBA-модуля. Оснащенные таким модулем DLP-системы выполняют мониторинг действий сотрудников – при подозрениях данные о поведении пользователя заносятся в личное досье.

Также при помощи DLP-систем можно искать в файловых хранилищах конфиденциальные документы и строить карту сети компании — это облегчает контроль информации в состоянии покоя.

Выводы

В условиях рыночной конкуренции компании стремятся оптимизировать издержки и повысить прибыль. Этого можно добиться, предотвращая ущерб от утечек конфиденциальной информации, случаев корпоративного мошенничества, коррупции и иных инцидентов безопасности. Использование DLP-системы позволяет в автоматическом режиме контролировать бизнес-процессы организации, реагировать на нарушения политик безопасности, анализировать процессы, связанные с хранением и движением информации, а также деятельность сотрудников.