Экспертный совет DLP Expert, образованный летом этого года для консультаций по вопросам защиты информации от утечек, организовал 6 ноября свою первую конференцию — DLP Russia 2008. На ней собрались производители, системные интеграторы и клиенты, чтобы вместе согласовать позиции по различным аспектам защиты информации, от технологических до юридических.
Решения категории DLP (Data Loss Prevention) предназначены для обеспечения защиты данных от кражи. Заложенную в них концепцию на конференции представил один из ее авторов, Рич Могул, в прошлом аналитик Gartner, а теперь глава компании Securosis. Он выделил три аспекта предотвращения утечек информации — при передаче, при использовании и во время хранения.
Для контроля утечек при передаче информации DLP-инструментарий должен иметь сведения о передаваемых по сети данных, об их печати или передаче по факсу. Во время использования данных пользователем DLP обязан контролировать операции с буфером обмена и самого приложения при работе с несколькими файлами. Этот же компонент защиты должен уметь автоматически классифицировать данные с выделением признаков конфиденциальной информации. Аналогично поиск защищаемых от утечек данных должен вестись и при их сохранении на съемный носитель или в корпоративное хранилище. Настоящим DLP-решением можно считать только тот продукт, который позволяет контролировать информацию на всех указанных стадиях работы с ней.
Хорошая DLP-система, по мнению Могула, должна быть централизованной, управляться предопределенными политиками, позволять идентифицировать злоумышленника, готовить исчерпывающие отчеты и реально предотвращать утечки, а не просто фиксировать их факт. При работе с такой системой может быть использован следующий набор ролей: системный администратор, разработчик политики защиты, специалист по разбору инцидентов, исследователь общей ситуации, менеджер, контролер отдела защиты от утечек.
Администратор отвечает за настройку и работоспособность продуктов, но не вмешивается в работу самой защиты. Разработчик политики должен определить набор конфиденциальных данных, их расположение, пользователей, санкционированных на доступ к данным, и другие компоненты политики безопасности. Отдельно должен быть специалист для разбора инцидентов, который будет анализировать конкретные события и искать виновных. Аналитик или исследователь выявляет общие проблемы системы, решение которых часто требует изменения политики безопасности. Менеджер и контролер обеспечивают общее руководство подразделением.
Из нарисованной Могулом картины следует, что DLP-решения должны быть модульными с централизованным управлением. При этом они обязаны содержать в себе наборы модулей для контроля различных сетевых протоколов, агентов для рабочих станций и компонент для сканирования хранилищ данных. Далеко не все продукты, которые сейчас продаются на российском рынке как DLP-решения, отвечают концепции, представленной Могулом. Правда, надо признать, концепция избыточна, и внедрение решений, которые ей соответствуют в полной мере, как правило, обходятся предприятию достаточно дорого. В некоторых случаях организационными мерами можно упростить систему и тем самым сделать ее дешевле. Рынок решений такого типа находится в стадии формирования, поэтому пока непонятно, насколько концепция DLP соответствует реальным требованиям заказчиков.