Введение
Утечки информации приводят к потере конкурентных преимуществ, ухудшению репутации компании и наносят ей прямой финансовый ущерб, в частности из-за штрафов со стороны регуляторов и контрагентов. Наряду с мошенничеством в компании утечки — частный случай внутренних угроз информационной безопасности, которые можно предотвратить с помощью внедрения DLP-систем.
DLP-системы контролируют действия и коммуникации сотрудников, перехватывают трафик, осуществляют мониторинг файлов и сохраняют данные в архив. Информация обрабатывается автоматически. Это позволяет бороться с утечками и проводить глубокие расследования инцидентов с меньшими временными затратами.
В DLP-системах (помимо собственно технологии DLP) реализуются и элементы анализа поведения пользователей с помощью математических моделей (User Behaviour Analytics). Они выделяются в качестве отдельных модулей. На основании математических моделей система определяет круг общения и аномалии в поведении индивидуально для каждого сотрудника или профилирует сотрудников по группам риска.
Задачи и сценарии работы DLP-систем
Для основной группы пользователей — сотрудников служб информационной, экономической и собственной безопасности — DLP-система решает следующие задачи:
-
Защита от утечек информации.
-
Выявление, расследование, профилактика инцидентов.
-
Противодействие корпоративному мошенничеству, коррупции, экстремизму.
В свою очередь, HR-специалисты и руководители могут оценивать продуктивность сотрудников, эффективность внедрения различных методов управления и особенности климата в коллективе.
DLP-система позволяет оптимизировать сценарии работы для всех групп сотрудников, перечисленных выше. К таким сценариям относятся:
-
Оценка и мониторинг оперативной обстановки в организации.
-
Выявление аномалий поведения и профилирование сотрудников.
-
Управление событиями и инцидентами безопасности.
-
Мониторинг групп повышенного риска.
-
Контроль движения и хранения данных.
-
Проведение расследований в отношении работников и разбор инцидентов.
Принципы работы DLP-систем
Действие DLP-системы построено на основе инцидентной модели, которая предполагает перехват (обнаружение) сообщений, выявление событий согласно настроенным политикам и расследование инцидентов офицером безопасности.
Обнаружение (фиксация, перехват) сообщений охватывает интернет-трафик, содержание файловых хранилищ, обмен сообщениями по электронной почте и в мессенджерах — то есть, большинство каналов коммуникаций. Помимо каналов коммуникации DLP-система контролирует действия пользователей рабочих станций: нажатие клавиш, использование буфера обмена, запуск программ, подключение съемных носителей информации и принтеров, поиск в интернете.
После фиксации сообщений DLP-система их фильтрует, основываясь на заданных офицером безопасности политиках: в случае обнаружения конфиденциальной информации регистрируется событие безопасности. При необходимости относящееся к событию сообщение блокируется или изменяется вручную для введения адресата в заблуждение. Затем сотрудник подразделения безопасности проводит расследование выявленных нарушений, принимает ответные меры и формирует отчет.
То, как работает DLP-система, зависит от наличия в ее составе дополнительных компонентов, например UBA-модуля. Оснащенные таким модулем DLP-системы выполняют мониторинг действий сотрудников – при подозрениях данные о поведении пользователя заносятся в личное досье.
Также при помощи DLP-систем можно искать в файловых хранилищах конфиденциальные документы и строить карту сети компании — это облегчает контроль информации в состоянии покоя.
Выводы
В условиях рыночной конкуренции компании стремятся оптимизировать издержки и повысить прибыль. Этого можно добиться, предотвращая ущерб от утечек конфиденциальной информации, случаев корпоративного мошенничества, коррупции и иных инцидентов безопасности. Использование DLP-системы позволяет в автоматическом режиме контролировать бизнес-процессы организации, реагировать на нарушения политик безопасности, анализировать процессы, связанные с хранением и движением информации, а также деятельность сотрудников.