FAQ

Справочник по информационной безопасности.
Вопросы и ответы по DLP-системам

Принцип работы DLP-системы

Задачи, решаемые DLP системой

Информация сегодня для любой компании или государственной организации стала критически важным ресурсом, требующим защиты от утечек.

DLP — это ПО, предназначенное для мониторинга перемещения корпоративных данных и блокировки файлов с конфиденциальной информацией в соответствии с политиками информационной безопасности. Кроме, того современная DLP — это решение для защиты от мошенничества и одно из средств управления корпоративными рисками, использующее для этого продвинутые механизмы предиктивной и визуальной аналитики, искусственный интеллект и т.д. Сейчас становится трендом интеграция в решение функциональности по прогнозированию и управлению рисками ИБ, а также механизмов повышения эффективности предприятия.

А еще, DLP-система — это действенный инструмент обучения сотрудников. В процессе внедрения в компании этого решения люди начинают гораздо лучше разбираться в том, что является конфиденциальной информацией, и какие существуют правила обращения с ней, что приводит к уменьшению уровня операционных рисков внутри организации.

Принцип работы DLP-системы

DLP система анализирует и перехватывает трафик компании для выявления конфиденциальной информации и, при необходимости, блокировки передачи данных.

Базовый принцип работы DLP систем – это фильтрация контента: на рабочих станциях и файловых хранилищах, при отправке за периметр организации или в облако. Принцип работы DLP систем позволяет блокировать запрещенные действия. Предварительно нужно определить объекты защиты и настроить политики безопасности, чтобы данные находились в безопасности и принцип работы DLP систем был полностью реализован.

Для конкретных бизнес-задач компаний используются разные инструменты, входящие в состав DLP системы:

  • Комплаенс —  механизм контроля соблюдения требований регуляторов, например, 152-ФЗ, приказ ФСТЭК № 21, пп. 1119, GDPR, 395‑ФЗ ст. 26, 224‑ФЗ, 49-ФЗ и т.д.;
  • Борьба с утечками — блокировка или регистрация утечек интеллектуальной собственности, коммерческой тайны и другой чувствительной информации, критичной для организации;
  • Защита от мошенничества — выявление признаков корпоративного мошенничества, например, необоснованных закупок, воровства и т. д. Для проведения расследований и сбора доказательной базы может использоваться архив собранной информации;
  • Управление рисками ИБ — на основании информации, имеющейся в DLP системе, идентифицируются сотрудники, относящиеся к группам риска, выявляются подозрительные шаблоны в их поведении. После этого формируются сообщения вероятных рисках и критичных нарушениях, а офицеры безопасности оповещаются о наличии подозрительных связей и компрометирующих интересов, которые могут привести к искам против организации, заведению административных или уголовных дел на сотрудников;
  • Повышение бизнес-эффективности — сбор статистики действий сотрудников за рабочим компьютером, анализ эффективности коммуникаций и бизнес-процессов.

Данные задачи решаются при помощи мониторинга и анализа трафика, блокировки каналов и портов, анализа действий сотрудников, контроля приложений, мониторинга файловых хранилищ и анализа прав доступа, а также использованию инструментов предиктивной и визуальной аналитики.

Повышение эффективности самой DLP-системы

При внешней простоте названных инструментов, и заявлениям различных производителей об их наличии или поддержке, принципы их работы и настройки сильно отличаются. Однако от того, как всё это работает на практике, зависит эффективность DLP-системы в целом. В частности, речь идет о точности определения конфиденциальной информации и снижении количества ложноположительных сообщений, поступающих в консоль офицера безопасности.  Критически важно и то, насколько автоматизирована работа сотрудников, работающих с  DLP-системой.

В InfoWatch TrafficMonitor используются технологии искусственного интеллекта для решения всех обозначенных проблем :

  • ИИ способен проанализировать все документы компании и «разложить» по тематикам;
  • ИИ может быстро обучиться на этих документах или изображениях без привлечения специалистов, чтобы находить в трафике файлы определённой тематики;
  • Безошибочно определить в потоке события, требующие внимания;
  • Проанализировать поведение сотрудников, чтобы оповестить о самых серьёзных рисках заранее.

В итоге: DLP-система — это сложная высокоинтеллектуальная систем, базовые принципы работы которой были существенно расширены для решения широкого спектра бизнес-потребностей заказчиков на основе анализа информации, которая уже имеется в системе. Однако максимальную эффективность DLP-система может выдать исключительно при правильном её выборе и настройке.

Вернуться в справочник по информационной безопасности

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>