Система DLP с общей структуре безопасности уже стала обычным и незаменимым элементом, что называется, must have.
Но очень часто, приобретая и устанавливая её, руководители служб безопасности подчас не имеют чёткого представления о том, какие задачи можно с её помощью решать, и какие задачи требуется решить в их конкретном случае. Естественно, поэтому трудно определиться с разработчиком и названием программы.
Современные системы DLP достаточно сложны и многофункциональны. Только для описания работы с ними может потребоваться многочасовой обучающий курс. И даже после его прохождения, пользователем будет применяться не более половины возможностей.
При этом, для решения большинства задач, возникающих перед сотрудниками информационной безопасности предприятий, можно обойтись сравнительно небольшим списком возможностей программ DLP.
Рассмотрим конкретные, наиболее распространённые задачи, которые на практике решаются применением этих программ.
Прежде всего, необходимо напомнить, что все системы DLP, в первую очередь, предназначены для борьбы с угрозами не снаружи, а внутри информационного периметра предприятия. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.
Самый распространённый случай – вредоносные действия собственных сотрудников предприятия, которые могут носить неумышленный и целенаправленный характер. В первом случае, утечка конфиденциальной информации может происходить из-за халатного отношения к обязанностям, невнимательности, низкой компетенции работников. Во втором случае, сотрудники, по своим личным или корыстным мотивам, тоже часто передают конфиденциальную информацию конкурентам или выкладывают в общий доступ.
Системы DLP, отслеживая каналы передачи информации такие, как электронная почта, социальные сети, форумы, файлообменные сервисы, файловые хранилища, копирование на внешние носители, печать документов или Web -доступ к электронной почте, перехватывают и анализируют передаваемую информацию. Используют они и самые распространённые способы контроля рередаваемой информации: снятие скриншотов с экрана монитора и кейлоггинг (клавиатурный шпион - keylogger) – перехват нажатия клавищ компьютерной клавиатуры.
Это позволяет заранее обнаружить и предотвратить инциденты утечки информации и своевременно принять необходимые меры. Одновременно происходит и выявление недобросовестных сотрудников, а так же и сбор необходимой для расследования инцидентов доказательной базы.
Аналитические функции системы настраиваются на выявление, по ключевым словам, или фразам документов и файлов, содержащих информацию конфиденциального характера. В зависимости от рода деятельности предприятия это могут быть персональные данные, специфические термины, номера электронных карт, чертежи и т.д.
Контроль объема и содержания переписки, возросший объём документов, отправляемых на печать или увеличение объёма копируемых файлов, любое нетипичное поведение пользователя не останутся без внимания системы DLP, которая просигнализирует о нарушениях работнику службы безопасности.
Система автоматически архивирует и сохраняет накопленные сведения и в удобном виде предоставляет для доказательной базы при расследовании инцидентов нарушения политики конфиденциальности компании.
Кроме этого, системы DLP помогут ответить на вопросы:
- кто из сотрудников ищет новую работу (поиск работы на сайтах, рассылка резюме по почте, обсуждение предложений);
- кто из сотрудников использует вычислительную технику и рабочее время компании в личных интересах (печать на принтере личных документов и фотографий, посещение непродуктивных сайтов, зависание в соцсетях, компьютерные игры);
- кто из сотрудников в рабочее время выполняет побочную работу или занят личными делами;
- кто из сотрудников ведёт себя нелояльно по отношению к руководству, бизнесу или другим работникам.
Снижение риска утечек информации с помощью систем DLP достигается на только за счёт контроля, но и за счёт избирательного ограничения для пользователей компьютеров возможных каналов утечки. Это может выражаться в блокировании портов ввода-вывода данных, запрет доступа к определённым категориям сайтов, ресурсов, разрешение только чтения документов и файлов без возможности скачивания, разрешения подключения только заранее прописанных внешних носителей информации и так далее.
Важным качеством хорошей программы DLP является её стабильность работы без торможения оборудования и снижения скорости передачи информации в сети предприятия. Необходимо и то, чтобы программа своими запрещающими или анализирующими действиями на нарушала бизнес-процесс предприятия.
Хорошая программа DLP, как правило, кроме контроля за утечками информации снабжена в виде полезного бонуса функциями контроля и учёта рабочего времени сотрудников, основным инструментом которых в производственном процессе является компьютер.
Это позволяет заметно улучшить производственную дисциплину и рационализировать использование рабочего времени сотрудников.
Принимая решение о приобретении программы, всегда приходится решать вопрос о его экономической целесообразности. Для этого, например, сравните стоимость бессрочных лицензий программы LanAgent и стоимость «утекшей» к конкурентам или попавшей в общий или злоумышленный доступ конфиденциальной информации предприятия. Немалую пользу принесёт и возможность контроля рабочего времени и повышения производительности труда, благодаря использованию отчётов программы.
