Защита информации


При развертывании инфраструктуры корпоративной информационной системы неизбежно встает вопрос о защищенности ее от угроз. Насколько адекватны механизмы безопасности существующим рискам? Можно ли доверять этой системе обработку конфиденциальной информации? Имеются ли в текущей конфигурации КИС ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа? Содержит ли установленное ПО уязвимости, которые могут быть использованы для взлома защиты? Как оценить уровень защищенности и как определить, достаточен ли он? Какие контрмеры позволят реально повысить уровень защищенности КИС? На какие критерии оценки защищенности следует ориентироваться?
 Услуги по защите информации +7 (495) 231-4831
 версия для печати   
  DLP-решения

DLP-решения

Контроль и защита от внутренних угроз

«Кто владеет информацией, тот владеет миром». Эта знаменитая фраза Уинстона Черчилля не только не потеряла актуальность в наши дни, но, одновременно с развитием информационных технологий, значимость ее возросла многократно. 21 век можно назвать веком электронной информации. В работе и повседневной жизни мы используем компьютеры для обработки, хранения и передачи данных. Но всегда ли наша информация — наиболее ценный ресурс — адекватно защищена?

Опасности информационных систем сродни айсбергу. Его вершина — внешние угрозы: вирусы, хакерские атаки и спам, защита от которых реализована почти на каждом предприятии. Однако под водой остается невидимая часть — внутренние угрозы: саботаж, хищение данных, неосторожные действия сотрудников. Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации таким способом.

DLP = защита от утечек данных = защита конфиденциальных данных от внутренних угроз

Прежде, чем рассуждать о DLP-решениях различных производителей, следует определиться с тем, что же принято подразумевать под «DLP-системой».

Попыток дать определение этому классу информационных систем было много:

  • ILD&P — Information Leakage Detection & Prevention («выявление и предотвращение утечек информации», термин был предложен IDC в 2007)
  • ILP — Information Leakage Protection («защита от утечек информации», Forrester, 2006)
  • ALS — Anti-Leakage Software («антиутечное ПО», E&Y)
  • Content Monitoring and Filtering (CMF, Gartner)
  • Extrusion Prevention System (по аналогии с Intrusion-prevention system)

В качестве общеупотребительного термина утвердилось название DLP — защита от утечек данных (Data Leak/Loss Prevention).

В качестве эквивалентного по смыслу термину DLP в русском варианте, по мнению специалистов экспретного совета «DLP-Expert», следует употреблять словосочетание «системы защиты конфиденциальных данных от внутренних угроз».
При этом под «внутренними угрозами» понимаются злоупотребления (намеренные или случайные) своими полномочиями сотрудниками организации, имеющими легальные права доступа к соответствующим данным.

Критерии принадлежности к DLP системам

Наиболее стройные и непротиворечивые критерии принадлежности к DLP системам были выдвинуты исследовательским агентством Forrester Research. Они предложили четыре критерия, в соответствии с которыми систему можно отнести к классу DLP.

Многоканальность.

Система должна быть способна осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это, как минимум, E-mail, Web и IM (instant messengers), а не только сканирование почтового трафика или активности базы данных. На рабочей станции — мониторинг работы файловых операций, работы с буфером обмена данными, а также контроль E-mail, Web и IM.

Унифицированный менеджмент.

Система должна обладать унифицированными средствами управления политикой информационной безопасности, анализом и отчётами о событиях по всем каналам мониторинга.

Активная защита.

Система должна не только обнаруживать факты нарушения политики безопасности, но и, при необходимости, принуждать к её соблюдению. К проимеру, блокировать подозрительные сообщения.

Учет, как содержания, так и контекста.

В процессе классификации документов, циркулирующих по возможным каналам утечки данных, необходимо учитывать не только ключевые слова и регулярные выражения, встречающиеся в этом документе, но и его общее содержание. Система также должна учитывать и контекст — тип приложения, протокол, активность, отправитель, адресат и т.п.

Категоризация объектов защиты

Рассматривая функциональность DLP систем, аналитики (Forrester, Gartner, IDC) вводят категоризацию объектов защиты — типов информационных объектов подлежащих мониторингу. Подобная категоризация позволяет в первом приближении оценить область применения той или иной системы. Выделяют три категории объектов мониторинга.

Data-in-motion (данные в движении) — сообщения электронной почты, интернет пейджеров, peer-to-peer сетей, передача файлов, Web трафик, а также другие типы сообщений, котрые можно передавать по каналам связи.

Data-at-rest (хранящиеся данные) — информация на рабочих станциях, лаптопах, файловых серверах, специализированных хранилищах, USB драйвах, и других типах депозитариях данных.

Data-in-use (данные в использовании) — информация обрабатываемая в данный момент.

Российский рынок DLP систем

В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Краткие сведения о них, в духе приведенной выше классификации, перечислены в таблицах 1 и 2. Так же в Табл.1 внесен такой параметр как «централизованное хранилище данных и аудит», подразумевающий возможность системы сохранять данные в едином депозитарии (для всех каналов мониторинга) для их дальнейшего анализа и аудита. Этот функционал приобретает в последнее время особенную значимость не только в силу требований различных законодательных актов, но и в силу популярности у заказчиков (по опыту реализованных проектов).

Таблица 1

Продукты, представленные на российском рынке и обладающие определёнными свойствами DLP-cистем


Вендор Продукт Возможности продукта
Защита
data-in-motion
Защита
data-in-use
Защита
data-at-rest
Централи-
зованное
хранилище
и аудит
1 InfoWatch IW Traffic Monitor да да нет да
IW CryptoStorage нет нет да нет
2 Perimetrix SafeSpace да да да да
3 Инфосистемы Джет Дозор Джет (СКВТ) да нет нет да
Дозор Джет (СМАП) да нет нет да
4 Смарт Лайн Инк DeviceLock нет да нет да
5 SecurIT Zlock нет да нет нет
6 Smart Protection Labs Software SecrecyKeeper нет да нет нет
7 SpectorSoft Spector 360 да нет нет нет
8 Lumension Security Sanctuary Device Control нет да нет нет
9 WebSense Websense Content Protection да да да нет
10 Информзащита Security Studio нет да да нет
11 Праймтех Insider нет да нет нет
12 АтомПарк Софтваре StuffCop нет да нет нет
13 СофтИнформ SearchInform Server да да нет нет


Таблица 2

Соответствие продуктов представленных на российском рынке критериям принадлежности к классу DLP систем


Вендор Продукт Критерий принадлежности к DLP системам
Много-
канальность
Унифици-
рованный
менеджмент
Активная
защита
Содержание
+ контекст
1 InfoWatch IW Traffic Monitor да да да да
2 Perimetrix SafeSpace да да да да
3 Инфосистемы Джет Дозор Джет (СКВТ) нет нет да да
Дозор Джет (СМАП) нет нет да да
4 Смарт Лайн Инк DeviceLock нет нет нет нет
5 SecurIT Zlock да да да нет
6 Smart Protection Labs Software SecrecyKeeper да да да нет
7 SpectorSoft Spector 360 да нет нет нет
8 Lumension Security Sanctuary Device Control нет нет нет нет
9 WebSense Websense Content Protection да да да да
10 Информзащита Security Studio да да да нет
11 Праймтех Insider да да да нет
12 АтомПарк Софтваре StuffCop да да да нет
13 СофтИнформ SearchInform Server да да нет нет
14 Инфооборона Инфопериметр да да нет нет

По приведенным выше данным можно сделать вывод, что на сегодня в России представлены только три DLP системы от компаний InfoWatch, Perimetrix, WebSence. К ним также можно отнести недавно анонсированный интегрированный продукт от «Инфосистемы Джет» (СКВТ+СМАП), т.к. он будет покрывать несколько каналов и иметь унифицированный менеджмент политик безопасности.

Основными поставщиками на данный момент являются:

  • системы «Дозор», присутствующие на рынке с 2001 года;
  • продукты InfoWatch продающиеся с 2004 года;
  • WebSense CPS — начал продаваться в России и во всем мире в 2007 году;
  • Perimetrix — молодая компания, первая версия продуктов которой, анонсирована на её сайте на конец 2008 года.

В заключение хотелось бы добавить, что принадлежность или нет к классу DLP систем, не делает продукты хуже или лучше — это просто вопрос классификации и ничего более.



Данный раздел подготовлен с использованием материалов исследования,
опубликованного Дмитрием Харченко (компания InfoWatch) в PC Week/RE.
  © 2008-2009, ProtectMe  +7 (495) 231-4831  
  «Лаборатория защиты» E-mail: info@protectme.ru