Data loss prevention, dlp

  • 26 дек. 2011 г.
  • 1792 Слова
Оглавление
Введеине 3
Возможности DLP 4
Технологии детектирования утечек 5

Введеине
Проблематика предотвращения утечек конфиденциальных данных (Data Loss Prevention, DLP) — одна из наиболее актуальных сегодня для ИТ. Тем не менее в этой сфере существует заметная понятийная путаница, которая усугубляется появлением множества похожих терминов, в частности, Data Leak Prevention (DLP),Information Leak Prevention (ILP), Information Leak Protection (ILP), Information Leak Detection & Prevention (ILDP), Content Monitoring and Filtering (CMF), Extrusion Prevention System (EPS).
Современные DLP-системы основаны на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При выявлении в потоке конфиденциальной информации срабатывает защита, и передачасообщения (пакета, потока, сессии) блокируется или отслеживается. Существует множество различных отечественных и зарубежных DLP решений.

Возможности DLP
При выборе DLP-решения особое внимание стоит обратить на заявленные возможности и реализацию ключевых функций. Важная характеристика DLP — перечень контролируемых и архивируемых каналов передачи информации. Контроль сетевых каналов, таких как HTTP, SMTPи IM, является стандартным для большинства решений, в то время как контроль HTTPS и ESMTP возможен лишь в некоторых из них. Защиты от утечек через периферийные устройства и принтеры в DLP обычно осуществляется на уровне агентов и включает в себя контроль USB и CD/DVD-дисководов, всех портов и внутренних устройств, локальных и сетевых принтеров. Различия находятся в деталях, например, подподдержкой IM западные разработчики подразумевают AOL AIM, Yahoo! Messenger, а российские — ICQ. Очевидно, что для России поддержка ICQ актуальнее всех остальных IM вместе взятых, но она навряд ли в ближайшем будущем появится в зарубежных решениях, так как доля ICQ в мире крайне мала. Похожая ситуация и функциями на конечных точках сети. С одной стороны у всех DLP заявлен контроль периферийных устройств, а сдругой — вместо гибкого персонализированного разграничения доступа к конкретному устройству или группе есть возможность простого разграничения по типам. Под контролем печати часто подразумевается лишь USB-принтеры, оставляя бреши в виде сетевых принтеров.
Возможность полноценного архивирования всех входящих и исходящих данных является отличительной особенностью российских DLP-решений. Архив позволяетболее эффективно расследовать произошедшие и предотвращать возможные в будущем утечки. Необходимость ведения архива пересылаемых данных также регламентируется различными стандартами и законами, в том числе Стандартом Банка России СТО БР ИББС-1.0-2008, SOX, Basel II и EU Data Retention Directive.
Шифрование данных при хранении является важным компонентом DLP и позволяет защитить данные в случаеутери или кражи носителей. DLP-решения дают возможность в «прозрачном» для операционной системы и приложений режиме шифровать данные в серверных хранилищах, на резервных носителях, персональных компьютерах и ноутбуках. Для шифрования данных при хранении сейчас в основном используются алгоритмы RC5 и AES, а также специально разработанный для этой задачи режим шифрования XTS. В некоторых российскихDLP есть возможность подключения криптопровайдеров, реализующих ГОСТ 28147-89, однако стоит заметить, что их скорость существенно ниже тех же RC5 и AES. Дополнительно в DLP могут быть реализованы широкие возможности по созданию, хранению и управлению ключами шифрования.
Система менеджмента и отчетности для DLP-решений является не менее важной, чем различные разрекламированные технологиидетектирования конфиденциальной информации. Стоит ли говорить, что от удобства интерфейса и наглядности отчетов напрямую зависит эффективность внутреннего контроля. Все DLP имеют достаточно наглядную отчетность, многие также позволяют использовать сторонние приложения для генерации отчетов, например, Crystal Reports. Принципиальное различие кроется в системе менеджмента, который может...
tracking img