Запобігання витоків інформації
Запобігання витокам (англ. Data Leak Prevention, DLP) — технології запобігання витоку конфіденційної інформації з інформаційної системи назовні, а також технічні пристрої (програмні або програмно-апаратні) для такого запобігання витокам.
DLP-системи будуються на аналізі потоків даних, які перетинають периметр інформаційної системи, що захищається. При детектуванні в цьому потоці конфіденційної інформації спрацьовує активна компонента системи, і передача повідомлень (пакета, потоку, сесії) блокується.
Використовуються також такі терміни, які означають приблизно те ж саме:
- Data Loss Prevention (DLP)
- Data Leak Prevention (DLP)
- Data Leakage Protection (DLP)
- Information Protection and Control (IPC)
- Information Leak Prevention (ILP)
- Information Leak Protection (ILP)
- Information Leak Detection & Prevention (ILDP)
- Content Monitoring and Filtering (CMF)
- Extrusion Prevention System (EPS)
З цієї групи поки не виділився один термін, який можна було б назвати основним або найпоширенішим.
Впровадження[ред. | ред. код]
Необхідність захисту від внутрішніх загроз була очевидна на всіх етапах розвитку засобів інформаційної безпеки. Однак спочатку зовнішні загрози вважалися більш небезпечними. В останні роки на внутрішні загрози стали звертати більше уваги, і популярність DLP-систем зросла. Необхідність їх використання стала згадуватися у стандартах та нормативних документах (наприклад, розділ «12.5.4 Витік інформації» в стандарті ДСТУ ISO/IEC 17799-2005). Спеціалізовані технічні засоби для захисту від внутрішніх загроз стали масово випускатися тільки після 2000 року.
Методи[ред. | ред. код]
Розпізнавання конфіденційної інформації DLP-системою проводиться двома способами: аналізом формальних ознак (наприклад, грифа документа, спеціально введених міток, порівнянням хеш-функції) та аналізом вмісту. Перший спосіб дозволяє уникнути похибок (похибок другого роду), натомість вимагає попередньої класифікації документів, впровадження міток, збору сигнатур тощо. Пропуски конфіденційної інформації (похибок першого роду) при цьому методі цілком імовірні, якщо конфіденційний документ не зазнав попередньої класифікації. Другий спосіб дає помилкові спрацьовування, проте дозволяє виявити пересилку конфіденційної інформації не тільки серед документів під грифом. У хороших DLP-системах обидва способи поєднуються.
Компоненти[ред. | ред. код]
До складу DLP-систем входять компоненти (модулі) мережевого рівня і компоненти рівня хосту. Мережеві компоненти контролюють трафік, що перетинає межі інформаційної системи. Зазвичай вони стоять на проксі-серверах, серверах електронної пошти, а також у вигляді окремих серверів. Компоненти рівня хосту стоять зазвичай на персональних комп'ютерах працівників і контролюють такі канали, як запис інформації на компакт-диски, флеш-накопичувачі тощо. Хостові компоненти також намагаються відстежувати зміни мережевих налаштувань, інсталяцію програм для тунелювання стеганографії та інші можливі методи для обходу контролю. DLP-система повинна мати компоненти обох зазначених типів плюс модуль для централізованого управління.
Завдання[ред. | ред. код]
Основним завданням DLP-систем, що очевидно, є запобігання передачі конфіденційної інформації за межі інформаційної системи. Така передача (витік) може бути навмисною або ненавмисною. Практика показує, що більша частина витоків (близько 3/4) відбувається не через злі наміри, а через помилки, неуважність, безтурботність, недбалість працівників[1] . Виявляти подібні витоки простіше. Інша частина пов'язана зі злим умислом операторів і користувачів інформаційних систем. Зрозуміло, що інсайдери, як правило, намагаються подолати засоби DLP-систем. Результат цієї боротьби залежить від багатьох факторів. Гарантувати успіх тут неможливо.
Крім основного, перед DLP-системою можуть стояти і вторинні (побічні) завдання. Вони такі:
- архівування повідомлень, які пересилаються, на випадок можливих у майбутньому розслідувань інцидентів;
- запобігання передачі зовні не тільки конфіденційної, але й іншої небажаної інформації (образливих повідомлень, спаму, еротики, зайвих обсягів даних тощо);
- запобігання передачі небажаної інформації не тільки зсередини назовні, але й ззовні всередину інформаційної системи;
- запобігання використанню працівниками державних інформаційних ресурсів в особистих цілях;
- оптимізація завантаження каналів, економія трафіку;
- контроль присутності працівників на робочому місці;
- відстеження лояльності співробітників, їх політичних поглядів, переконань, збір компромату.
DLP-системи та закон[ред. | ред. код]
Практично у всіх країнах охороняється законом право на таємницю зв'язку і право на таємницю приватного життя (приватність, privacy). Використання DLP-систем може суперечити місцевим законам в деяких режимах або вимагати особливого оформлення відносин між працівниками і роботодавцем. Тому при впровадженні DLP-системи необхідно залучати юриста на самому ранньому етапі проектування.
Взаємовідносини DLP-систем з російським законодавством розглянуті в ряді робіт[2][3].
Інформаційна безпека також описується в ГОСТ, наприклад, ГОСТ Р ІСО/МЕК 17799-2005 «Інформаційна технологія. Практичні правила управління безпекою інформації».
У 2016—2017 році СБУ проводить обшуки у зв'язку з використанням DLP-систем російського походження. Тільки 26 квітня 2017 обшуки проведено у 8 компаніях[4]. СБУ класифікувала таке ПЗ як «шпигунське».
Див. також[ред. | ред. код]
- МПК-підхід в захисті від витоків[ru]
- Інформаційна безпека
- Захист персональних даних[ru]
- Шифрування
- Фізична ізоляція
Примітки[ред. | ред. код]
- ↑ Глобальні дослідження витоків інформації, починаючи з 2007 року. Архів оригіналу за 28 травня 2015. Процитовано 28 травня 2015.
- ↑ Таємниця зв'язку проти технічних засобів захисту інформації в Інтернеті [Архівовано 4 березня 2016 у Wayback Machine.], Микола Миколайович Федотов
- ↑ Полікарпова О.М, Законодавчі основи захисту прав та інтересів працівника і роботодавця в процесі забезпечення інформаційної безпеки підприємства, 07.04.2004
- ↑ СБУ: 8 компаній використовували шпигунське ПЗ з Росії. Архів оригіналу за 26 квітня 2017. Процитовано 26 квітня 2017.
Посилання[ред. | ред. код]
- Інформаційно-пошукова система СЕП (ІПС) // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 316. — ISBN 978-617-7627-10-3.
- Захист інформації від інсайдерів за допомогою програмних засобів [Архівовано 4 березня 2016 у Wayback Machine.], securitylab.ru, 23 січня 2007 р — досить цікава стаття, незважаючи на рекламну спрямованість, див. також її обговорення [Архівовано 28 травня 2015 у Wayback Machine.]
- Проблеми захисту та моніторингу інформації в корпоративній локальній мережі — стаття у спецвипуску-додатку «Безпека», що вийшов разом з червневим номером журналу «Системний адміністратор» в 2010 р
- Знахідка для шпигуна [Архівовано 1 грудня 2017 у Wayback Machine.] — стаття про найбільш популярних каналах крадіжки інформації // Російська Бізнес-газета
- Статистика та динамічний аналіз витоків по роках, країнам і каналах [Архівовано 4 травня 2012 у Wayback Machine.] // Infowatch
- Рейтинг найгучніших витоків даних 2011 [Архівовано 16 квітня 2021 у Wayback Machine.] // SearchInform
- Олександр Панасенко, Ілля Шабанов. Порівняння систем захисту від витоків (DLP) — частина 1 [Архівовано 5 березня 2022 у Wayback Machine.]
- Кому потрібні DLP-системи-? — Огляд в Bankir.ru додаткових можливостей DLP-систем для бізнесу.
- П'ятірка лідерів російського ринку DLP-систем- [Архівовано 4 березня 2016 у Wayback Machine.] — стаття ComNews.ru від 13.12.2012
- Порівняння систем захисту від витоків (DLP) 2014 — частина 1 [Архівовано 29 січня 2022 у Wayback Machine.]
- Порівняння систем захисту від витоків (DLP) 2014 — частина 2 [Архівовано 24 жовтня 2021 у Wayback Machine.]
- Огляд DLP-систем на світовому і російському ринку [Архівовано 7 березня 2022 у Wayback Machine.]
| ||||||||||||||||||||