DLP – это специализированный комплекс программных решений, направленный на защиту организации от утечек информации. В основе всего лежит принцип анализа всей информации, которая циркулирует в компании – входящей, исходящей и внутренней. При помощи особых алгоритмов IT-система определяет тип информации, и если она направляется туда, куда ей “не положено”, то передача либо блокируется, либо отсылается уведомление сотруднику службы информационной безопасности.

Для обозначения технологии использовалась различная терминология. Среди самых распространенных:

• ILP (Information Leakage Protection/Information Leak Protection);
• ILDP (Information Leakage Detection & Prevention);
• EPS  (Extrusion Prevention System).

Наиболее точным термином считается аббревиатура DLP от Data Leak Prevention, дословный перевод – “предотвращение утечек данных”.

История

Эксперты считают, что первое понимание важности защиты внутренней информации от утечек появилось в начале XXI века у крупного бизнеса. В тоже время стали зарождаться и развиваться нормативы, которые были направлены на защиту персональных данных. Объемы информации росли, как и запросы предприятий.

Первые DLP-продукты сформировались из уже существующих и активно используемых на тот момент технологий антивирусных систем и решений по фильтрации спама. Технологии действовали по принципу контентно-контекстного подхода: алгоритм начинал оценивать определенный файл на основе его содержания и метаданных. Метод настолько укоренился, что, несмотря на все недостатки, до сих пор является основным для решений класса DLP.

Особенности DLP-инструментов

Работа любой системы строится на анализе данных, которые циркулируют внутри организации и за ее пределами. Создавая “защитный экран”, программное решение изучает исходящую информацию (в определенных случаях – и входящую). Основная особенность строится не только на оценке интернет-трафика, но и анализе документов на физических носителях (флэшках, жестких дисках), напечатанных на принтере, отправленных через мобильные устройства и т.д. Система при помощи встроенных механизмов определяет степень конфиденциальности документа в перехваченном трафике. Например, DLP, анализируя отправление на печать служебной записки для региональной командировки и договора с клиентом, будет оценивать эти операции по-разному. В случае сигнализирования прописанного правила, которое определяет факт передачи критически важной информации, система либо сразу блокирует пересылку данных, либо мгновенно извещает о прецеденте службу безопасности.

Как правило, DLP-система состоит из следующих блоков:

• Компоненты для рабочих станций и ноутбуков.

Позволяет контролировать и оценивать все каналы, по которым может произойти потенциальная утечка: копирование на различные носители или отправление данных в облако, печать документов, пересылка по электронной почте, веб-сервисам или FTP-серверам, даже если компьютер отключен от общей локальной сети.

• Компоненты для сетевого уровня.

Дополнительный уровень защиты, распространяющийся на мобильные телефоны, гостевые ноутбуки, различные операционные среды (MAC, Linux).

• Компоненты для баз данных и корпоративных хранилищ.

Глобальный поиск конфиденциальной информации не только на рабочих машинах, но и среди баз данных, веб- и файл-серверов, баз знаний и других источников.

Кроме того, в список задач DLP могут входить:

• защита интеллектуальной собственности и персональных данных;
• выявление случаев мошенничества;
• определение групп риска среди персонала и контроль настроений внутри коллектива;
• анализ продуктивности сотрудников.

Российские разработчики DLP-решений

• InfoWatch – инструмент InfoWatch Traffic Monitor;
• SearchInform – инструмент  КИБ SearchInform;
• FalconGaze – инструмент Falcongaze SecureTower;
• Zecurion – инструмент Zecurion DLP;
• Symantec – инструмент DLP-система Symantec;
• Ростелеком-Солар – инструмент Solar Dozor.