Защита от утечек данных

Предотвращение утечек (англ. Data Leak Prevention, DLP ) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Используются также следующие термины, обозначающие приблизительно то же самое:

• Data Loss Prevention (DLP);
• Data Leak Prevention (DLP);
• Data Leakage Protection (DLP);
• Information Protection and Control (IPC);
• Information Leak Prevention (ILP);
• Information Leak Protection (ILP);
• Information Leak Detection & Prevention (ILDP);
• Content Monitoring and Filtering (CMF);
• Extrusion Prevention System (EPS).

Из этой группы пока не выделился один термин, который можно было бы назвать основным или самым распространённым.

Содержание

Внедрение [ править | править код ]

Необходимость защиты от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, и популярность DLP-систем возросла. Необходимость их использования стала упоминаться в стандартах и нормативных документах (например, раздел "12.5.4 Утечка информации" в стандарте ГОСТ ISO/IEC 17799-2005). Специализированные технические средства для защиты от внутренних угроз стали массово выпускаться только после 2000 года.

Методы [ править | править код ]

Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хеш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок первого рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.

Компоненты [ править | править код ]

В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.

Задачи [ править | править код ]

Основной задачей DLP-систем, что очевидно, является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Практика показывает, что большая часть ставших известными утечек (порядка 3/4) происходит не по злому умыслу, а из-за ошибок, невнимательности, безалаберности, небрежности работников [1] . Выявлять подобные утечки проще. Остальная часть связана со злым умыслом операторов и пользователей информационных систем. Понятно, что инсайдеры, как правило, стараются преодолеть средства DLP-систем. Исход этой борьбы зависит от многих факторов. Гарантировать успех здесь невозможно.

Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:

• архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
• предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.);
• предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
• предотвращение использования работниками казённых информационных ресурсов в личных целях;
• оптимизация загрузки каналов, экономия трафика;
• контроль присутствия работников на рабочем месте;
• отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.

DLP-системы и закон [ править | править код ]

Практически во всех странах охраняется законом право на тайну связи и право на тайну частной жизни (приватность, privacy). Использование DLP-систем может противоречить местным законам в некоторых режимах или требовать особого оформления отношений между работниками и работодателем. Поэтому при внедрении DLP-системы необходимо привлекать юриста на самом раннем этапе проектирования.

Взаимоотношения DLP-систем с российским законодательством рассмотрены в ряде работ [2] [3] .

Информационная безопасность также описывается в ГОСТ, например, в ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

Список DLP-систем [ править | править код ]

Существует ряд списков DLP-систем, в которых могут упоминаться некоторые из следующих продуктов [4] [5]

Как грамотно разработать архитектуру средства защиты информации от утечек именно для вашей организации? Что нужно иметь в виду, чтобы избежать типичных ошибок? В статье подробно рассматриваются и анализируются аспекты защиты важных данных от утечек — какую информацию защищать, от кого, и как именно это лучше сделать.

Введение

Конкурентоспособность организаций многих отраслей экономики напрямую зависит от сохранности их коммерческих секретов — клиентской базы, бизнес-стратегий и закупочных цен. Однако объем конфиденциальной информации в последнее время растет не по дням, а по часам, и выбрать средства защиты от утечки информации становится непросто.

Архитектурно выбор инструментов решения этой задачи определяется ответами на следующие вопросы:

• Какую информацию необходимо защищать (клиентские данные, контакты клиентов, закупочные цены, персональные данные)?
• От кого необходимо защищать информацию (модель нарушителя)?
• Какой сегмент инфраструктуры необходимо защитить — где в первом приближении расположена защищаемая информация (офис, завод, магазин, мобильные устройства)?

В статье последовательно описывается методика анализа и подготовки ответов на приведенные выше вопросы — разработки архитектуры системы защиты от утечки информации.

Какую информацию необходимо защищать?

Стандартный ответ специалиста по ИБ на вопрос «что нужно защищать» будет содержать три аспекта — конфиденциальную информацию, чувствительные данные, коммерческую тайну. Однако необходимо уточнить, что в каждом конкретном случае ответ на данный вопрос определяется тем, какую информацию предприятие рассматривает для себя в качестве имеющей высокую ценность. Для какой-то компании это может быть клиентская база, для другой — геопозиционная информация, и, наверное, для всех предприятий — это информация, связанная с их финансовой деятельностью.

При этом любое предприятие — это совокупность бизнес-подразделений и сервисных служб, руководители которых могут помочь специалисту по ИБ понять, что именно ценно для предприятия, какая конкретная информация. Например, для электросетевой компании с точки зрения финансовой службы необходимо защищать структуру себестоимости тарифа, а с точки зрения кадровой — информацию о компенсациях (зарплатах и бонусах), а также базу резюме.

После формирования общего видения, что будет отнесено к ценным данным, необходимо перейти к классификации существующего на предприятии массива данных. Снизить трудоемкость и повысить качество выполнения этого этапа работ позволяют широко представленные на рынке средства автоматизации класса Data Classification Application (или «паук», «краулер») — Digital Guardian, Forcepoint, Varonis IDU Classification Framework, Titus, Classifier360 и другие. Указанные решения обеспечивают поиск и классификацию массива данных предприятия по заданным критериям и часто используются в качестве одного из элементов комплекса средств защиты от утечек информации.

Основными принципами классификации данных являются:

• контентный анализ содержимого файлов на предмет ключевых слов (номера кредитных карт, номера договоров, данные геопозиционирования и т. п.);
• контекстный анализ (отправитель письма, дата создания и автор документа и др.);
• пользовательская классификация данных, когда присвоение меток данным, подлежащим защите, выполняется вручную.

Эту структуру данных необходимо зафиксировать во внутренних документах предприятия — описать уровни конфиденциальности чувствительной информации (перечень сведений конфиденциального характера) и определить методологию работы с этой информацией — разработать политики обеспечения информационной безопасности, регламенты работы с конфиденциальной информацией.

Ключевым элементом, обеспечивающим эффективность защиты предприятия от утечек информации, является информирование сотрудников о составе конфиденциальной информации и правилах работы с ней. Один из крупных инвестиционных фондов с активами свыше миллиарда долларов потерял контроль над конфиденциальной финансовой отчетностью, просто не доведя правила безопасности до ключевого сотрудника: отдел безопасности думал, что правилам работы с конфиденциальной информации обучает HR, а HR — что отдел безопасности. Тем временем, сотрудник унес жесткий диск домой. О данном инциденте никто бы и не узнал, это выяснилось только в процессе аудита эффективности ИТ-функций компании.

Современным подходом к задаче обучения и контроля знаний сотрудников является использование специализированных программ повышения осведомленности пользователей (например, такие решения имеются у компаний UBS, Kaspersky Lab, «Ангара Технолоджиз Груп» и др.). Обучение и контроль знаний сотрудников предприятия осуществляются интерактивно, в формате видеоуроков и тестов, а также викторин и квестов — для пользователей с высоким уровнем доступа к информации.

От кого необходимо защищать информацию?

Внешний нарушитель

Базовый подход к защите от внешнего нарушителя — это создание защищенного периметра предприятия, как информационного, так и физического. Технические средства первой необходимости — это система контроля и управления доступом (СКУД) и система видеонаблюдения, которая является незаменимым инструментом в расследовании инцидентов.

Особое внимание нужно обратить на корректное уничтожение документов на бумажном носителе. Как ни странно, не все компании используют шредеры на местах работы сотрудников: в одной крупной компании проводились обязательные тренинги и тестирования по вопросам хранения и передачи конфиденциальной информации, были введены в действие регламенты информационной безопасности, проводилась политика «чистого стола» и «закрытых ящиков». Однако в качестве системы уничтожения документов использовались картонные ящики, которые раз в неделю направлялись в промышленные шредеры. Таким образом, в периоды наполнения ящиков в них можно было найти ценные документы любого вида: договоры, счет-фактуры, конфиденциальные письма и т. д.

В качестве основных составляющих информационно защищенного периметра предприятия можно выделить наличие средств сетевой защиты и управления уязвимостями.

Российские предприятия используют три основных вида средств сетевой защиты:

• Межсетевые экраны, а точнее, NGFW или UTM-решения (Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). Современные межсетевые экраны уже имеют минимальные DLP-движки, позволяющие выявлять утечки по настроенным шаблонам.
• Функция Web-контроля трафика — как отдельный шлюз или в составе NGFW (Blue Coat SG, McAfee WGW, Cisco WSA, Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). В частности, полезно будет запретить использование сервисов Google (Disk, Gmail), mail.ru, yandex.ru, по крайне мере, на операцию выгрузки файлов (upload). В том числе, необходимо выполнять мониторинг действий пользователей в интернете, лимитировать объемы закачиваемой информации.
• Если предприятие использует корпоративный портал для хранения конфиденциальных документов, имеет смысл обратить внимание на решения класса Web Application Firewall (WAF) (например, такие решения имеются у компаний: Imperva, F5 Networks, A10 Networks, Positive Technologies, «Код Безопасности» и др.).

Управление уязвимостями — процесс, крайне важный для построения защищенной инфраструктуры: последние события с вирусом WannaCry и, особенно показательно, с вирусом Petya (по сути, он эксплуатирует ту же уязвимость) недвусмысленно напомнили об этом. Да, защита от вирусов-шифровальщиков ближе к области решений по защите от потери данных, чем к краже информации. Однако, например, процесс управления обновлениями программного обеспечения (Patch Management), в целом, усложнит принципиальное проникновение в информационный периметр предприятия, независимо от его цели.

Внутренний нарушитель

Защита от внутреннего нарушителя — очень актуальная и многогранная тема, которой посвящены сотни статей и исследований. В данной публикации отметим, что для эффективной защиты от утечки важной для предприятия информации необходима разработка модели внутреннего нарушителя информационной безопасности, учитывающей как минимум следующие параметры: имеет ли нарушитель легитимный доступ к данным, какие права он имеет (ограниченные или привилегированные), тип доступа к данным — только из корпоративной сети или также извне, с каких устройств возможен доступ (персональный компьютер, мобильные устройства), характер действий (умышленный или неумышленный).

Среди перспективных средств защиты от внутреннего нарушителя — не столько всем известные DLP, сколько современные средства поведенческого и событийного анализа — UEBA (User and Entity Behavioral Analysis), SIEM (Security Incidents and Event Monitoring).

В одном из коммерческих банков топ-50 (с международным капиталом), отчаявшись найти решение по карману, служба ИБ заменила DLP комплексом из SIEM, NGFW и средства по защите конечных точек (Endpoint Protection).

Какой сегмент инфраструктуры необходимо защитить?

Как и всякая изменяющаяся «живая» сущность, данные имеют свой жизненный цикл и свой путь в инфраструктуре, а именно:

• хранение и обработка данных в ЦОД или облачном ЦОД;
• хранение и обработка данных на персональном компьютере пользователя, передача между ЦОД и компьютером пользователя;
• хранение и обработка на мобильном устройстве пользователя, передача на мобильное устройство пользователя.

Защита данных в ЦОД

Ни о какой защите не может быть и речи, если нет основных мер по контролю доступа к ресурсам ЦОД. Это возможно осуществить с помощью следующих базовых средств:

• Микросегментация серверного сегмента и гранулированное разграничение доступа к нему — здесь помогут концепции SDN или более актуальная сейчас TrustSec, реализация внутреннего NGFW (в том числе виртуальные реализации).
• Аутентификация при осуществлении доступа к ресурсам, желательно двухфакторная (RSA, JaCarta, Рутокен и др.).
• Авторизация пользователя на доступ к корпоративным ресурсам: здесь можно рассмотреть глобальные системы IDM и SSO — системы наделения пользователей правами в зависимости от присвоенных им ролей, с прозрачным «наследованием» учетных данных между информационными системами. Данные системы позволяют в том числе сократить количество ошибок, обусловленных «человеческим фактором», когда пользователю назначается больше прав, чем ему необходимо, или ошибок, связанных с несвоевременным удалением отозванных прав.

По достижении определенного уровня «зрелости» возможно использовать и решения на прикладном уровне:

• Реализация концепции Virtual Data Room (VDR) — структурированное хранилище данных с реализацией гранулированного доступа к контейнерам документов или непосредственно самим документам. Как правило, интерфейс для пользователя представляет собой web-портал с виртуальным кабинетом, откуда пользователь получает доступ к документу. Самые известные варианты реализации — Microsoft SharePoint, портал Google Docs.
• Database Activity Monitoring and Prevention (DAM/DAMP) — система аудита и контроля действий с базой данных, фактически контроль запросов в базу данных. Система позволяет отслеживать, а в случае с DAMP и блокировать нелегитимные запросы в базу данных. Таким образом, возможно контролировать, не получает ли пользователь не требующийся ему для работы доступ в базу, не выполняет ли он регулярный запрос по записям, которые не нужны ему в работе. Данная система позволяет контролировать привилегированных пользователей базы данных, отслеживать на предмет утечек или блокировать осуществляемые ими выгрузки данных.
• Database Encryption — вариант более защищенный от нелегитимного пользователя с точки зрения хранения данных, чем DAM(P). В данном случае записи в базе хранятся зашифрованными, работа с ними производится через интерфейс преобразования, и поэтому кража данных нелегитимным пользователем не позволит ему их прочитать. Варианты шифрования: вся база полностью, выделенные таблицы базы, выделенные записи. Обратная сторона такого средства защиты — прямое влияние на производительность базы данных.
• Unstructured Data Management (UDM) — решение, направленное на управление данными на файловых хранилищах, порталах и других неструктурированных источниках. Иногда при использовании UDM пользователь не работает напрямую с данными, а получает доступ через интерфейс UDM-системы. В других случаях UDM выполняет поиск конфиденциальной информации, организует управление конфиденциальной информацией в соответствии с корпоративной политикой безопасности и помогает понять, «кто ел из моей миски», в сложных конфликтных ситуациях.

Безопасность в бизнес-процессах

Особую сложность в реализации представляет контроль информационных потоков и перемещения информации при хранении, обработке и передаче информации пользователями. Пользователи не всегда соблюдают правила ИБ (а то и вовсе игнорируют их), правила документооборота (грифы, метки и другие механизмы маркирования), а также хотят, чтобы сервисы и оборудование работали без задержек. Для выполнения перечисленных требований предприятия применяют три класса специализированных технологий (наборов технологий):

• Data Leak Prevention (DLP), причем DLP выступает скорее не как продукт, а как комплекс решений. Контролировать утечки необходимо на всем пути следования данных между компьютером пользователем, по всем каналам передачи данных — это и почта, и web, и внешние устройства хранения. Необходимо также контролировать отсутствие на компьютере пользователя запрещенных программ, например, программ шифрования, или подключений внешних usb-модемов. DLP-системы могут отслеживать утечки через канал корпоративной, контролируя ключевые слова, теги документа, его метаданные. Аналогично отслеживаются утечки через web-канал с обязательным раскрытием SSL-трафика (потребуется интеграция с web-шлюзом). DLP-система должна иметь агентское программное обеспечение, отслеживающее перемещение файлов на файловой системе пользователя. Иногда установку DLP-системы осуществляют в режиме «тихого мониторинга», незаметно для пользователя. В этом случае пользователя, который решил забрать с предприятия интересующие его данные, проще обнаружить, так как он, как правило, пользуется для своих целей простыми средствами.
• Без использования комплексного подхода к обеспечению информационной безопасности внедрение DLP-системы может не принести ожидаемых результатов. Например, если пользователи имеют возможность копировать информацию на USB-носители или передавать зашифрованные архивы по электронной почте, то утечка документов, даже с внедренной системой DLP, обнаружена не будет. Именно такая ситуация сложилась во время пилотного проекта внедрения DLP-системы у одного из ритейлеров розничной сети.
• Решения класса Information Rights Management (IRM) / Digital Rights Management (DRM) осуществляют контейнеризацию каждого защищаемого документа индивидуально. Таким образом, информация о правах доступа, ключах шифрования документа привязывается непосредственно к самому документу. Поэтому даже если документ попадет в чужие руки, он не будет вскрыт и прочитан. С точки зрения защиты документа данное решение выполняет свою задачу практически в любом варианте его кражи. Недостатком таких решений является сложность их внедрения, как технические (требования к компьютерам пользователей, доступности серверов авторизации), так и организационные (необходимо обучить сотрудников работе с системой, корректному назначению прав, требуется осуществлять поддержку системы).
• Для мобильных пользователей с высоким уровнем доступа к ценным документам лучше всего использовать полное шифрование файловой системы ноутбука — Full Disk Encryption (FDE). Тогда забытый в аэропорту ноутбук не станет «катастрофой» для компании. В прессе появлялись сообщения о том, что Национальное управление по аэронавтике и исследованию космического пространства (NASA) потеряла уже 4 ноутбука с данными о космических программах и десятках тысяч сотрудников.

Защита от утечек при работе привилегированных пользователей — это в первую очередь решения класса Privileged User Management (PUM), реализующее «проксирование» работы привилегированного пользователя с целевой системой. В рамках работы системы возможно контролировать вводимые пользователем команды, блокировать запрещенные действия и протоколировать буквально видеосъемкой все выполняемые пользователем действия. Также в целях контроля и ограничения полномочий привилегированных пользователей используется упомянутое выше решение DRM или маскирование данных в базе данных.

Безопасность мобильных вычислений

В 2017 году нельзя не упомянуть еще один важный контекст работы с ценными документами — мобильные телефоны и планшеты. На первый план выходят вопросы защищенной публикации данных в интернете и хранения данных на устройствах пользователей. Перечислим основные решения, которые успешно применяются российским бизнесом в данном контексте:

• SSL-порталы — многие производители шлюзов NGFW или Web-GW предлагают реализацию программных модулей — web-порталов, реализующих, во-первых, SSL-шифрование, во-вторых, аутентификацию и авторизацию пользователя при подключении, журналирование действий пользователя, и, что самое важное в данном случае, — реализацию мобильного клиента для работы с порталом и полученными через него документами. Варианты реализации включают как решения, осуществляющие только защиту данных при передаче, так и решения с минимальной защитой данных также при хранении на устройстве, включая контейнеризацию и запрет доступа к файлам внешних мобильных приложений, аутентификацию пользователя при доступе к документам и, в ряде случаев, шифрование контейнера с данными (Check Point Сapsule).
• Решения класса Mobile Device Management (MDM): если с мобильных устройств пользователей доступна работа с ценными документами и на предприятии используется концепция BYOD (Bring Your Own Device), то внедрение MDM-системы представляется очень актуальным.

Выводы

Утечка ценной информации влечет за собой не только финансовые, но репутационные потери для предприятия, которые оценить в денежном выражении часто не представляется возможным. Поэтому внедрение на предприятии решений по защите от утечек информации требует не только комплексного подхода и тщательной технической проработки, но и стратегического видения и поддержи руководства компании. Если компания собирается занимать ведущие места на рынке и работает с прицелом на долгосрочное развитие, ей следует подумать о защите своих секретов.

Однако защита может не стоить охраняемых секретов, а то и вовсе быть бесполезной, если осуществляется бессистемно, без тщательного планирования системы защиты от утечки конфиденциальной информации предприятия.

Согласно большинству определений, утечкой информации является несанкционированное распространение данных ограниченного доступа, не контролируемое собственником этих данных. При этом подразумевается, что лицо, допустившее утечку, обладает правами доступа к информации.

Защитой информации от утечки признается деятельность, направленная на предотвращение неконтролируемого предоставления или распространения конфиденциальной информации. Ключевым здесь является термин «предотвращение», поскольку ни мониторинг передачи данных, ни последующее расследование инцидентов, ни любая другая активность по факту уже случившейся утечки не могут называться защитой от утечки информации.

В качестве классических примеров утечки информации можно привести несанкционированное копирование конфиденциальной информации на съемные накопители (напр., USB flash) и вынос её за пределы контролируемой территории организации, вывод конфиденциальной информации на печать и вынос распечатанных документов, несанкционированную передачу конфиденциальной информации по каналам сетевых коммуникаций на внешние серверы, расположенные вне контролируемой территории предприятия (напр., по электронной почте, через внешние файловые серверы, через мессенджеры и т.д.).

Способы предотвращения утечек информации

Наиболее эффективным способом обеспечения безопасности данных на корпоративных компьютерах сегодня является применение специализированных средств предотвращения утечек данных (Data Leak Prevention или DLP). DLP-решения призваны устранять «человеческий фактор» и пресекать нарушения дисциплины, предотвращая (и фиксируя) утечки данных с компьютера для максимально возможного числа их сценариев.

Электронная почта и почтовые веб-сервисы, службы мгновенных сообщений, социальные сети и форумы, облачные файловые хранилища, FTP-серверы – все эти блага сети Интернет могут в любой момент оказаться каналом утечки корпоративной информации, разглашение которой может быть нежелательным или даже опасным для бизнеса.

Не стоит сбрасывать со счетов и традиционные локальные каналы – устройства хранения данных (флешки, диски, карты памяти), принтеры и интерфейсы передачи данных, синхронизацию со смартфонами.

Эффективное DLP-решение должно контролировать максимально широкий спектр каналов сетевых коммуникаций, локальных устройств и интерфейсов. При этом эффективность DLP-решения определяется гибкостью настроек и возможностью обеспечить успешное сочетание интересов бизнеса и безопасности.

Ключевой для DLP-решений термин «контроль» в своем полном смысле обозначает всю совокупность возможных действий и функций в отношении операции передачи данных, включая разрешение или запрет на передачу данных (в том числе с применением механизмов контентного анализа для принятия решения о возможности передачи данных), событийное протоколирование и создание теневой копии передаваемых данных, отправку тревожного оповещения, а также превентивные действия по устранению нарушений политики безопасного хранения данных.

К сожалению, маркетинговые усилия подавляющего большинства российских DLP-вендоров деградируют значение термина «контроль» до ограниченного уровня, когда в качестве «контроля» подразумевается только возможность перехвата и архивирования перемещаемых данных (сообщений и файлов) без возможности их анализа в реальном времени для принятия решения о блокировании (или разрешении) непосредственно в момент совершения пользователем действия с данными. Это означает, что при использовании целого ряда продуктов, позиционируемых как DLP-решения, если в пересылаемых файлах обнаружилась критичная информация, которая не должна покинуть периметр компании, вы об этом узнаете постфактум – когда данные уже будут переданы, а следовательно, состоится утечка и останется только прикладывать усилия для снижения ее последствий.

Какие задачи призваны решать системы предотвращения утечек информации?

Защита стратегически важной информации от утери и хищения.

Тотальный или выборочный контроль всех возможных технических каналов утечки информации.

Блокирование утечек – остановка недопустимых попыток передачи данных.

Минимизация рисков репутационного ущерба. Соответствие требованиям регуляторов (Compliance).

Обеспечение соответствия требованиям законова 152-ФЗ и GDPR, стандартов PCI DSS, SOX, HIPAA, Basel II и т.д. за счет полноценного контроля каналов передачи данных и устройств хранения информации, журналирования событий и инструментария расследования инцидентов.

Архивирование и анализ передаваемой информации. Выявление инцидентов постфактум и в реальном времени.

Повышение эффективности службы информационной безопасности – реагирование в реальном масштабе времени на события, связанные с вопросами защиты данных.

Аудит архива перехваченного трафика и передаваемых/печатаемых/сохраняемых файлов и документов, попыток и/или фактов передачи данных, включая проверку содержимого переданных и/или заблокированных файлов и документов.

Выявление инсайдеров-злоумышленников. Выявление нелояльных сотрудников.

Контроль исполнения корпоративной политики безопасного хранения данных.

Превентивная защита данных, размещенных в сетевых хранилищах и общих сетевых ресурсах, файловых системах на пользовательских компьютерах.