Контакты
Подписка 2025

DLP для эффективной работы с рисками информационной и кадровой безопасности

Константин Саматов, 26/09/23

Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат [1]. Как в решении данной проблемы может помочь DLP?

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Давайте определимся, что скрывается за этой маркетинговой трехбуквенной аббревиатурой – DLP. Расшифровывается она обычно как Data Leak Prevention (хотя есть и множество других вариантов расшифровки) и дословно означает предотвращение утечек информации и контроля за внутренними пользователями информационных ресурсов.

На практике под DLP обычно понимают программное (аппаратно-программное) средство мониторинга внутренней инфраструктуры организации с целью предотвращения утечек информации и контроля за внутренними пользователями информационных ресурсов.

Международный стандарт ISO 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements в настоящее время является единственным документом, предназначенным для широкого круга специалистов по информационной безопасности, который использует термин Data Leak Prevention. Он определяет предотвращение утечки данных (DLP) как превентивный и детективный контроль, который снижает риск путем проактивного обнаружения и предотвращения несанкционированного раскрытия данных.

Контроль A.8.12 в ISO 27001:2022 требует от организаций применять различные меры для борьбы с утечкой данных, чтобы избежать несанкционированного раскрытия конфиденциальной информации, а если такие инциденты случаются, своевременно их обнаруживать. Таким образом, в стандарте ISO 27001:2022 термин Data Leak Prevention (DLP) используется в более широком смысле, как совокупность мероприятий, направленных на предотвращение утечки информации за периметр организации. Следует также отметить, что данный стандарт еще не переведен на русский язык.

С учетом изложенного далее можно рассматривать DLP как некое решение (программное, аппаратно-программное), систему для предотвращения утечек информации за периметр организации, которая анализирует весь исходящий и входящий трафик организации, а также другие информационные потоки, такие как печать документов, копирование на внешние носители и т.д. DLP-система определяет степень конфиденциальности документов и файлов, которые передаются или хранятся в информационной системе, и применяет соответствующие правила реагирования на попытки утечки.

DLP-система может решать ряд дополнительных задач, связанных с контролем действий персонала, таких как мониторинг использования рабочего времени и ресурсов, выявление конфликтов и неэтичного поведения и т.д., хотя эти функции не имеют прямого отношения к утечке данных.

ris1-Sep-26-2023-10-16-54-4662-AM

Виды DLP-систем

Существует несколько видов DLP-систем, которые классифицируются по разным критериям. Один из наиболее распространенных критериев – это место развертывания системы в информационной инфраструктуре организации. По этому критерию можно выделить три основных вида DLP-систем:

  1. Сетевая DLP-система (Network DLP) – система, которая устанавливается на сетевом оборудовании (маршрутизаторах, коммутаторах, шлюзах и т.д.) и анализирует весь сетевой трафик организации. Сетевая DLP-система позволяет контролировать все каналы передачи данных, такие как электронная почта, Интернет, FTP, VPN и т.д. Сетевая DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени.
  2. Конечная DLP-система (Endpoint DLP) – система, которая устанавливается на конечных устройствах (компьютерах, ноутбуках, смартфонах и т.д.) и анализирует все действия пользователей с данными на этих устройствах. Конечная DLP-система позволяет контролировать все локальные операции с данными, такие как копирование, перемещение, удаление, печать, запись на внешние носители и т.д. Конечная DLPсистема может блокировать или предупреждать о попытках утечки данных в режиме реального времени или постфактум.
  3. Централизованная DLP-система (Centralized DLP) – система, которая устанавливается на центральном сервере или облачном сервисе и анализирует все данные, которые хранятся или обрабатываются на этом сервере или сервисе. Централизованная DLP-система позволяет контролировать все данные, которые находятся в базах данных, файловых системах, облачных хранилищах, корпоративных приложениях и т.д. Централизованная DLP-система может блокировать или предупреждать о попытках утечки данных в режиме реального времени или постфактум.

Каждый из этих видов DLP-систем имеет свои преимущества и недостатки, а также свои сценарии применения. В зависимости от специфики организации и ее информационной безопасности можно выбрать один или несколько видов DLP-систем, а также использовать различные комбинации и интеграции между ними. Главное – определить, какие каналы утечки необходимо закрыть.

Как применение DLP системы позволяет минимизировать риски информационной и кадровой безопасности?

В качестве основных рисков информационной и кадровой безопасности можно выделить следующие (см. табл. 1).

Снимок экрана 2023-09-26 в 13.09.56

На риски кадровой безопасности, не связанные с утечкой информации, – уход к конкурентам ключевых сотрудников организации, высокая текучесть кадров, отсутствие кадров нужной квалификации на рынке труда DLP-система влияния не оказывает. Некоторые смежные функции, связанные с мониторингом активности сотрудников, которые часто интегрируют в отечественные решения DLP, могут помочь в раннем выявлении желающих сменить место работы и "портящих" морально-психологический климат в коллективе, что позволит нейтрализовать такие риски, как текучесть кадров и уход работников к конкурентам. Очевидно, что риск отсутствия на рынке квалифицированных кадров никакое решение по информационной безопасности минимизировать (а уж тем более нейтрализовать) не может.

Все остальные риски, перечисленные в табл. 1, могут быть минимизированы посредством применения DLP-систем. Давайте попробуем разобраться, каким образом.

  1. Блокировка исходящих из информационной инфраструктуры потоков информации позволяет предотвратить утечку конфиденциальных данных, несанкционированное неумышленное распространение (передачу) информации, хищение информации и, как следствие, ущерб репутации организации в случае появления сведений об инциденте в средствах массовой информации. Включения функций блокировки в DLP-cистеме на практике стараются избегать, чтобы не произошла блокировка нужного информационного сообщения. Моя практика показывает, что указанный подход имеет право на существование. В ряде случаев блокировка может проявлять себя как эффективный элемент для помощи не только специалисту по информационной безопасности, но и самому работнику. Например, встречаются организации, которые настраивают DLP-систему таким образом, чтобы при блокировании информационного сообщения она отправляла уведомление не только специалисту по информационной безопасности, но и самому работнику для проверки правильности отправления информации нужному адресату. В этом случае DLP-система выступает как помощник, защищающий работника от ошибок (например, случайной отправки почты и т.п.). Кроме того, функциями DLP-системы, как правило, можно заблокировать доступ к потенциально опасным объектам во внешней сети.
  2. Мониторинг информационных потоков внутри инфраструктуры позволяет минимизировать утечки информации, в том числе вызванные умышленными действиями сотрудников, и такие их последствия, как ущерб репутации организации и финансовый ущерб от действий работников. Кроме того, мониторинг информационных потоков помогает при выявлении внешних атак и активности вредоносного программного обеспечения. Конечно, это лишь некая вспомогательная функция DLP, которая не заменит системы класса SIEM, EDR и XDR. Мониторинг информационных потоков, в отличие от блокировки, сопряжен с рисками для самого специалиста по информационной безопасности, занимающегося таким мониторингом. Дело в том, что действия специалиста по информационной безопасности при использовании DLP-системы могут нарушать конституционные права и свободы человека, гражданина. Уголовная ответственность предусмотрена за:
    - незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, совершенные лицом с использованием своего служебного положения (ч. 2 ст. 137 УК РФ). Максимальная санкция: лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;
    - нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное лицом с использованием своего служебного положения (ч. 2 ст. 138 УК РФ). Максимальная санкция: лишение свободы на срок до четырех лет.

Таким образом, применение DLP-системы, особенно для "работы" с рисками кадровой безопасности, когда первичен мониторинг и контроль за сотрудниками, неизбежно приводит к необходимости обезопасить себя при помощи так называемой легализации этой системы.

Вопрос легализации DLP на сегодняшний день является достаточно дискуссионным: некоторые специалисты считают, что полная легализация невозможна. По моему мнению, следует опираться на толкование судами правоприменительной практики, а именно на постановление пленума Верховного Суда РФ от 25.12.2018 г. № 46 "О некоторых вопросах судебной практики по делам о преступлениях против конституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 Уголовного кодекса Российской Федерации)". Из него следует, что специалисту по информационной безопасности, работающему с DLP-системой, нужно обратить внимание на моменты, связанные с особенностями правоприменения, указанные в табл. 2.

Снимок экрана 2023-09-26 в 13.12.09

Таким образом, первое, на что рекомендуется обращать внимание специалисту по информационной безопасности при начале использования DLP (или при ее внедрении), – это наличие оформленного согласия пользователей информационной инфраструктуры на проведение подобного рода мониторинга их активности.


  1. Alavi, R., Islam, S., Jahankhani, H., & Al-Nemrat, A. (2013). Analyzing Human Factors for an Effective Information Security Management System. Int. J. Secur. Softw. Eng. https://doi.org/10.4018/jsse.2013010104
Темы:DLPЖурнал "Информационная безопасность" №3, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...