Принципы построения и функционирования DLP-систем(Принцип функционирования DLP-систем)

Содержание:

Введение

компьютерный вирус троян антивирус

Бурное развитие средств вычислительной техники, автоматизированных информационных систем, появление новых информационных технологий в нашей стране сопровождается, к сожалению, и появлением таких малоприятных явлений, как промышленный шпионаж, компьютерная преступность и, прежде всего, несанкционированный доступ (НСД) к конфиденциальной информации. Этим обуславливается актуальность и значимость проблемы защиты информации.

Острая необходимость в защите информации нашла выражение в создании Государственной системы защиты информации (ГСЗИ). Развивается правовая база информационной безопасности. Приняты и введены в действие законы «О государственной тайне», «Об информации, информатизации и защите информации», «О правовой охране программ для электронных вычислительных машин и баз данных» и др. Целями защиты информации являются: предотвращение ущерба, возникновение которого возможно в результате утери (хищения, утраты, искажения, подделки) информации в любом ее проявлении; реализация адекватных угрозам безопасности информации мер защиты в соответствии с действующими Законами и нормативными документами по безопасности информации (приложение 1), потребностями владельцев (пользователей) информации. «Защите подлежит любая документированная информация, неправомерное обращение с кото- рой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

Любое современное предприятие, независимо от вида деятельности и форм собственности, не может сегодня успешно развиваться и вести хозяйственную и иную деятельность без создания надежной системы защиты своей информации, включающейтехнические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах (АС), прежде всего, программно-аппаратные.

Глава 1. DLP-системы

1.1 Что такое DLP-системы?

Общепринятых расшифровок термина DLP несколько: DataLossPrevention, DataLeakPrevention или DataLeakageProtection, что можно перевести на русский как «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных». Этот термин получил широкое распространение и закрепился на рынке примерно в 2006 году. А первые DLP‑системы возникли несколько раньше именно как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации, опознаваемой по ключевым словам или выражениям и по заранее созданным цифровым «отпечаткам» конфиденциальных документов.

Дальнейшее развитие DLP‑систем определялось инцидентами, с одной стороны, и законодательными актами государств, с другой. Постепенно, потребности по защите от различных видов угроз привели компании к необходимости создания комплексных систем защиты. В настоящее время, развитые DLP‑продукты, кроме непосредственно защиты от утечки данных, обеспечивают защиту от внутренних и даже внешних угроз, учёт рабочего времени сотрудников, контроль всех их действий на рабочих станциях, включая удалённую работу.

При этом, блокирование передачи конфиденциальных данных, каноническая функция DLP-систем, стала отсутствовать в некоторых современных решениях, относимых разработчиками к этому рынку. Такие решения подходят исключительно для мониторинга корпоративной информационной среды, но в результате манипуляции терминологией стали именоваться DLP и относиться в этому рынку в широком понимании.

В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.

Помимо развития собственной функциональности, современные DLP‑системы предоставляют широкие возможности по интеграции с различными смежными и даже с конкурирующими продуктами. В качестве примеров можно привести распространённую поддержку протокола ICAP, предоставляемого прокси‑серверами и интеграцию модуля DeviceSniffer, входящего в  «Контур информационной безопасности SearchInform», с LumensionDeviceControl. Дальнейшее развитие DLP‑систем ведет к их интеграции с IDS/IPS-продуктами, SIEM‑решениями, системами документооборота и защите рабочих станций.

DLP‑системы различают по способу обнаружения утечки данных:

• при использовании (Data-in‑Use) — на рабочем месте пользователя;
• при передаче (Data-in‑Motion) — в сети компании;
• при хранении (Data-at‑Rest) — на серверах и рабочих станциях компании.

DLP‑системы могут распознавать критичные документы:

• по формальным признакам — это надёжно, но требует предварительной регистрации документов в системе;
• по анализу содержимого — это может давать ложные срабатывания, но позволяет обнаруживать критичную информацию в составе любых документов.

Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLPсистем. Современный рынокпредъявляет _всего к этим _текст системам _работе следующие _могут требования:

• поддержка нескольких способов обнаружения утечки данных (DatainUse, Data -inMotion, Data-atRest);
• поддержка _может всех _быть популярных _видим сетевых _кроме протоколов _спорят передачи _письма данных: _утечек HTTP, _слов SMTP, _далёк FTP, _только OSCAR, _базе XMPP, _трафик MMP, _рынка MSN, _data YMSG, Skype, _работу различных _анализ P2Pпротоколов;
• наличие _машин встроенного _часто справочника _выше веб-сайтов _данных и корректная _первым обработка _текста передаваемого _siem на них _базе трафика (веб-почта, _ошибок социальные _одних сети, _защиты форумы, _работы блоги, _можно сайты _нашей поиска _siem работы _быть и т.д.);
• желательна _именно поддержка _тайне туннелирующих _науки протоколов: _случае VLAN, _науки MPLS, PPPoE, _ядром и им подобных;
• прозрачный _рынок контроль _mpls защищенных _каналы SSL/TLS _даже протоколов: _менее HTTPS, _дает FTPS, _сильно SMTPS _доступ и других;
• поддержка _intel протоколов VoIPтелефонии: _рынке SIP, _siem SDP, _трафик H.323, _отчеты T.38, _вошли MGCP, _работы SKINNY _может и других;
• наличие _любых гибридного _может анализа — поддержки _свои нескольких _пример методов _должна распознавания _работы ценной _года информации: _рынке по формальным _логику признакам, _рынок по ключевым _рынок словам, _рынка по совпадению _защиты содержимого _защиты с регулярным _ftps выражением, _защите на основе _сети морфологического _вести анализа;
• желательна _даже возможность _одних избирательного _схема блокирования _анализ передачи _тревог критически _также важной  информации _года по любому _этого контролируемому _широко каналу _основе в режиме _работы реального _может времени;
• избирательного _вести блокирования (для _первым отдельных _smtp пользователей, _должно групп _года или _ценной устройств);
• желательна _канал возможность _систем контроля _случае действий _много пользователя _само над _время критичными _менее документами: _работе просмотр, _вида печать, _kerio копирование _data на внешние _вести носители; _себе желательна _другой возможность _далёк контролировать _первом сетевые _одних протоколы _nntp работы _siem с почтовыми _службы серверами MicrosoftExchange(MAPI), _года IBM LotusNotes, Kerio, MicrosoftLyncи _поиска т.д. для _копий анализа _годах и блокировки _если сообщений _может в реальном _всего времени _раньше по протоколам: (MAPI, _себе S/MIME, _данных NNTP, _текст SIP _модуль и т.д.);
• желателен _могут перехват, _время запись _основе и распознавание _около голосового _метод трафика: Skype, _можно IP-телефония, MicrosoftLync;
• наличие _вести модуля _поиска распознавания _прав графики (OCR) и _http анализа _должно содержимого;
• поддержка _быть анализа _далёк документов _утечек на нескольких _единый языках;
• ведение _всего подробных _совсем архивов _этапе и журналов _другой для _secaas удобства _всего расследования _любых инцидентов;
• желательно _если наличие _играют развитых _такая средств _работы анализа _трудно событий _ymsg и их связей;
• возможность _единой построения _будет различной _систем отчётности, _утечек включая _доступ графические _полку отчеты.

Благодаря _работы новым _каналы тенденциям _класс в развитии _вести информационных _этого технологий, _года становятся _быть востребованными _малого и новые _текста функции _далёк DLPпродуктов. С _этого широким _этапа распространением _можно виртуализации _текст в корпоративных _целом информационных _анализ системах _набор появилась _всего необходимость _дата её поддержки _этапе и в DLPрешениях. Повсеместное _утраты использование _своими мобильных _выше устройств _копий как _будет инструмента _менее ведения _всех бизнеса _может послужило _должна стимулом _рынке для _метода возникновения _работы мобильного _трафик DLP. Создание _только как _бывает корпоративных _единой так _каждой и публичных «облаков» потребовало _начала их защиты, _каналу в том _метода числе _сети и DLPсистемами. И, _всех как _работы логичное _ведут продолжение, _уровня привело _должна к появлению «облачных» сервисов _слов информационной _работе безопасности (securityas_именно a_усилия service — SECaaS).

1.2 Принцип функционирования DLP-систем

Современная _dlp- система _даже защиты _служб от утечки _только информации, _рынке как _года правило, _поле является _банках распределённым _vontu программноаппаратным _работы комплексом, _рынок состоящим _сети из большого _каналу числа _схеме модулей _рынок различного _службы назначения. Часть _этого модулей _помимо функционирует _года на выделенных _менее серверах, _контур часть — на _vontu рабочих _узлах станциях _один сотрудников _такие компании, _один часть — на _прежде рабочих _равно местах _работы сотрудников _работы службы _данных безопасности.

Выделенные _mcafee сервера _трафик могут _поле потребоваться _описан для _года таких _дает модулей _можно как _только база _имели данных _текста и, иногда, _рынке для _однако модулей _должна анализа _были информации. Эти _тайне модули, _кроме по сути, _каждой являются _этого ядром _гсзи и без _года них _всех не обходится _ценной ни одна _текст DLPсистема.

База _поиска данных _одних необходима _ошибок для _потери хранения _малого информации, _ввод начиная _кроме от правил _утечек контроля _рынке и подробной _узлах информации _иные об инцидентах _защиту и заканчивая _своими всеми _угроз документами, _целом попавшими _время в поле _должна зрения _единой системы _было за определённый _защиты период. В _вошли некоторых _само случаях, _рынке система _было даже _kerio может _данные хранить _систем копию _систем всего _сети сетевого _рода трафика _модуль компании, _прав перехваченного _свои в течение _узлах заданного _такое периода _широко времени.

Модули _время анализа _кроме информации _dlp- отвечают _также за анализ _имеет текстов, _также извлечённых _vontu другими _иногда модулями _систем из различных _каналы источников: _рода сетевой _правда трафик, _своего документы _данном на любых _сути устройствах _сети хранения _сети информации _защите в пределах _года компании. В _выше некоторых _всего системах _угроз есть _версию возможность _много извлечения _всех текста _основе из изображений _вести и распознавание _имели перехваченных _текста голосовых _случае сообщений. Все _дает анализируемые _рисков тексты _больше сопоставляются _того с заранее _http заданными _может правилами _работы и отмечаются _рынке соответствующим _дает образом _себе при _http обнаружении _набор совпадения.

Для _ложных контроля _одних действий _слов сотрудников _более на их рабочие _данных станции _время могут _может быть _каждой установлены _утечек специальные _защиты агенты. Такой _вести агент _более должен _данных быть _метод защищён _однако от вмешательства _службы пользователя _утечек в свою _текста работу (на _канал практике _данных это _каналы не всегда _smtp так) и _должна может _mcafee вести _была как _момент пассивное _данном наблюдение _может за его _новые действиями, _видим так _правда и активно _список препятствовать _момент тем _рода из них, _много которые _иной пользователю _малого запрещены _утечек политикой _текст безопасности _систем компании. Перечень _менее контролируемых _нашей действий _утечек может _менее ограничиваться _secaas входом/выходом _более пользователя _полку из системы _дата и подключением _рынок USBустройств, _dlp- а может _рынка включать _утечек перехват _модуль и блокировку _своей сетевых протоколов, _часто теневое _часто копирование _данных документов _рынке на любые _были внешние _работе носители, _часть печать _каналы документов _начал на локальные _отчеты и сетевые _можно принтеры, _служб передачу _этом информации _рынок по WiFi и Bluetoothи _сильно много _само другое. Некоторые _письма DLP-системы _рынок способны _более записывать _всех все _nntp нажатия _канал на клавиатуре (keylogging) и _будут сохранять _своего копий _доступ экрана (screenshots), _байеса но это _утечек выходит _сразу за рамки _было общепринятых _можно практик.

Обычно, _может в составе _играет DLP-системы _данные присутствует _волна модуль _трудно управления, _было предназначенный _будем для  мониторинга _может работы _утечки системы _icap и её администрирования. Этот _текст модуль _угроз позволяет _текста следить _можно за работоспособностью _больше всех _контур других _лучшие модулей _байеса системы _свою и производить _всех их настройку.

Для _таких удобства _http работы _данных аналитика _описан службы _всего безопасности _защиты в DLP-системе _работы может _целый быть _циклом отдельный _слов модуль, _число позволяющий _работы настраивать _отчеты политику _года безопасности _были компании, _форумы отслеживать _данных её нарушения, _трафик проводить _база их детальное _слов расследование _может и формировать _прав необходимую _этом отчётность. Как _кроме ни странно, _должно при _рынку прочих _защиты равных _банках именно _канал возможности _рынке анализа _момент инцидентов, _правил проведения _часть полноценного _будут расследования _работы и отчетность _может выходят _данном на первый _утечек план _доступ по важности _этого в современной _работы DLP-системе.

Типовая _такие схема _может функционирования _такие современных _своими DLP-систем:

Рис.1

Можно _года выделить 3 основных _фстэк подсистемы _файлов DLP-систем: 

1) Средства _рамки перехвата _утечке информации, _дата передаваемой _более по внешним _текста каналам (за _вести пределы _почти защищаемой _сети автоматизированной _рода системы). К _службы данной _{_toc} категории _быть относятся _служб драйверы _играет для _будет контроля _утечки вывода _имеет информации _утечки на печать, _первом драйвера _сети для _этого контроля _схему подключаемых _равно устройств, _один межсетевые _работы экраны, _другой контролирующие _тайне сетевой _также трафик _широко и т.д. 

2) Категоризатор, _этого составляющий _текст ядро _сильно DLP-системы. Его _иногда работа _свою заключается _этого в анализе _хуже передаваемой _рынке информации, _data в результате _более которого _более однозначно _вошли определяется _тайне категория (степень _утечки конфиденциальности _текст информации). Процесс _байеса определения _уровне категории _всего и конфиденциальности _само информации _даже на основе _иногда смысловой _раньше близости _описан принято _будем называть категоризацией _ftps информации. 

3) Средства _поле реагирования _иные и регистрации. На _текст основании _данных определенной категоризаторомстепени _должно конфиденциальности _более DLP-система _более реагирует _схему в соответствии _письма с системными _утечек настройками - производится блокирование _secaas передачи _рамки конфиденциальной _рынке информации, _момент либо _может производится _рынке оповещение (сигнализация) администратора _правда безопасности _вошли о несанкционированной _поле передаче (утечке) информации.

Типовая _служб схема _часть работы категоризатора DLP-системы:

Рис.2

Выделим _только основные _ложных элементы категоризатора: 

1) Словари _систем категорий _более предметной _своего области предназначены _иногда для _задачи категорирования _может информации _сети по нахождению _лучшие в анализируемом _отчеты тексте _более определенного _защите количества _этим слов _поиска из словаря _чаще определенной _базе категории. При _voip создании _данной словарей _позже необходимо _других привлечение _быть специалистов _защите по лингвистическому _начала анализу. 

2) Анализатор - ключевой _угроз элемент категоризатора, _должно проводящий _именно поиск _ymsg в анализируемом _http тексте _равно ключевых _данной слов _свою по словарям _состав для _secaas определения _текст принадлежности _nntp к той _данных или _играет иной _занять категории. Современные _работы DLP-системы _работы предлагают _более для _рынке повышения _этим эффективности _siem поиска _сети ввод _начала весовых _года коэффициентов _более для _случае отдельных _байеса ключевых _должно слов _только в словаре. При _ложных анализе _тайне используются _само статистические _года и вероятностные _выше методы. Как _схему правило, _метод используется _счет метод _момент Байеса _систем для _слов подсчета _иногда вероятности _момент того, _иному что _ценной анализируемый _первым текст _первом относится _должен к определенной _утечек категории. Чаще _менее всего _метод анализ _data сводится, _логику в лучшем _mpls случае, _прежде к поиску _дает в тексте _слов ключевых _менее слов _были по тематическому _всего словарю _быть и категорированию _отчеты с помощью _данных байесовского _спрос метода _smtp по заранее _данных установленным _более весовым _начала коэффициентам. 

3) Обработчик _данных результатов предназначен _всего для _данных обработки _случае и вывода _такое результатов _утечек работы категоризатораинформации. Выделение _уровня данного _видим элемента _рода обусловлено _правда тем, _единый что _рынке возможна _vontu ситуация, _иные когда _были анализируемый _работы текст _более будет _печать отнесен _этого сразу _момент к нескольким _совсем категориям. В _будем этом _другой случае _данной обработчик _слов результатов _данных и должен _видим обеспечить _утечки гибкую _время логику _контур работы _года в зависимости _утечки от пользовательских _свои настроек.

Оценку _быть эффективности _дает будем _и/или производить _чаще по следующим _науки критериям: 

• количество _время ложных _можно срабатываний _анализ или _таких ложных _отчеты тревог (ошибки _далёк первого _будет рода); 
• пропущенные (необнаруженные) утечки _вошли информации (ошибки _сети второго _версию рода); 
• трудоемкость (быстродействие) DLP-системы. 

Высокое _своими количество _быть ложных _стали срабатываний - главная _можно проблема _всего описанной _рынок выше _того схемы. Это _случае связано _рамки со сложностями _года при _secaas работе _угроз с отдельными _равно словами _класс естественного _такая языка. Зачастую _момент отдельные _один слова _текста могут _ошибок затрагивать _данные совершенно _счет разные _основе категории _http информации. Чаще _данная всего _утечки администратору _утечке DLP-систем _этим приходится _иной вручную _часть разбирать _должен огромное _агент количество _сети информации, _текста по ошибке _защиту попавшей _играют в защищаемые _чаще информационные _прежде категории. Метод _сторон Байеса, _себе часто _защите применяемый _случае в данной _свои схеме, _ymsg также _защиты приводит _бурное к ложным _сети срабатываниям. При _единый его _выше применении _метода исходят _каждой из независимости _иные появления _однако слов _время в тексте, _{_toc} что _счет в корне _логику неверно. 

Количество _также необнаруженных _когда утечек _циклом для _часть данной _этих схемы _года теоретически _вести должно _службы быть _данной небольшим, _агент но при _года некорректной _начала настройке _часть словарей _время категорий _текста оно _почти может _будут резко _часть возрасти (например, _года администратор _первом DLP-системы _siem может «облегчить» себе _угроз работу _прав и уменьшить _почти количество _работы ложных _базе срабатываний, _того удалив _вести значительное _выше количество _работы слов _данном из словаря _дает категории). 

Таким _http образом, _именно при _иногда приемлемой _может трудоемкости _вида описанная _более выше _ошибок типовая _логику DLP-система _менее дает _может недопустимый _года высокий _была процент _данной ошибок _более и в целом _данная является (оказывается) неэффективной. Основная _может причина _всех этого - высокая _угроз размерность _работы задачи _данном категорирования. 

Анализ _анализ показал, _свои что _модуля наиболее _этапе перспективное _свою направление _себе повышения _других эффективности _печать таких _своего систем - использование _всего семантической _mpls информации, _данных имеющейся _число в тексте. Предлагается _работы двухступенчатая _этих обработка _защиту информации. На _версию первом _дата шаге _копий производится _счет категоризация _список на основе _новых тезауруса _около текста. В _утечки случае _работу если _также анализ _ошибок текста _основе с применением _быть тезаурусов _около дает _кроме отрицательный _кроме результат, _службы то дальнейший _http анализ _экрана не производится. 

На _случае следующем _ценной шаге, _лучшие в процессе _поиска работы _может генератор _резко создает _тревог онтологию _доступ анализируемого _циклом текста _быть и передает _было ее анализатору, _работы который _свою производит _этапа процедуру _задачи сравнения _равно с онтологией _mpls предметной _форумы области. 

Предлагаемый _число метод _канал позволяет _равно существенно _тайне снизить _ввода размерность _kerio задачи (а, _рынок соответственно, _метода и ее трудоемкость) и _должна создавать _агент на его _прежде основе _данных DLP-системы, _более эффективно _таких использующие _число семантику _такое текста _kerio для _более поиска _ядром в нем _никак защищаемой _только информации.

Основная _рынок проблема _канал внедрения - это, _может как _именно правило, _играют отсутствие _письма классификации _схему данных. Поэтому _модуль на первом _науки этапе _часть внедрения _утечки система _типы DLP _этом должна _свою проработать _должно в организации _узлах в режиме _режиме мониторинга _чаще до полугода. В _vontu этом _банках режиме _сразу на базе преднастроенныхв _само соответствии _время с типом _усилия предприятия (промышленные _всех предприятия, _такая медицинские _отчеты или _могут образовательные _печать учреждения) политик _даже безопасности _разных система _тревог может _байеса помочь _начала выявить _защиту места _http хранения _рынок и способы _таких обработки _циклом и передачи _данных конфиденциальной _отчеты информации.

Для _свою финансовых _всех организаций, _себе которые _однако на текущий _случае момент _угроз являются _данных основными _всех потребителями _схеме DLP-решений, _должна проблема _свою с классификацией _кроме данных _метод нивелируется _защиты уже _утечки имеющимися _совсем в наличии _может достаточно _почти качественными преднастроеннымиполитиками, _рисков предоставляемыми _момент производителями _такая DLP-решений.

После _угроз принятия _работы решения _уровня о завершении _быть этапа _должна мониторинга, _другой система _слов переводится _работу в режим _каналу либо _защите уведомления _этого пользователей _nntp и сотрудника _базе безопасности, _данная и/или _только в режим _всего блокирования _сети передачи _прав конфиденциальной информации.

Когда _менее система _данных DLP _состав работает _отчеты в режиме _работы мониторинга, _ввода то количество _выше ложных _рой срабатываний _текст в силу _вести отсутствия _базе адаптации _основе политик _одних может _угроз насчитывать _класс тысячи. Постепенно _начала применяемые _smtp политики _иному безопасности _можно настраиваются _поиска в соответствии _защиты с реальными _циклом потребностями _никак и возможностями _больше организации _mpls таким _работы образом, _также чтобы _этапе уже _сторон в режиме _своего уведомления, _текст а в дальнейшем _будем и блокировки, _выше количество _правил ложных _рой срабатываний _защиты не было "зашкаливающим" и _логику система _может реагировала _было только _может на конфиденциальную _других информацию. 

• Таким _слов образом, _дает полный _данная цикл _сторон внедрения _рисков решения _своими может _канал занять _быть около _счет года _работе в случае _когда крупной _этого организации.

1.3 Метод повышения эффективности DLP-систем

По _может сравнению _целый с известными _доступ методами _новых использование _почти онтологий _систем дает _каналу следующие _иные преимущества: 

1) масштабируемость - количество _будут документов _время в базе _всего защищаемой _иному информации _утраты не существенно _форумы влияет _voip на время _менее работы _дает алгоритма; 

2) сокращение «концептуального _рынке несоответствия», _утечек т.к. онтология _играет является _много инструментом, _базе работающим _можно приближенно _первом к человеческому _работы способу _себе мышления; 

3) упрощение _вести повторного _более использования _будет знаний - использование _сети уже _вести определенных _почти в других _машин онтологиях _каналу понятий, _данных соответственно _утечке возможно _этом использовать _трудно уже _иной существующие _машин для _ftps данной _случае предметной _прежде области _вести онтологий; 

4) «семантическая _рынке эффективность» - при _данной сравнении _чаще семантики _могут текста _этом и онтологии _занять предметной _http области _утечек возможно _момент добиться _усилия наибольшей _когда точности _иные в категорировании _позже и существенно _должна снизить _может количество _иногда ложных _время срабатываний; 

5) готовый _рамки набор _может средств _mcafee для _ymsg создания (использования _прежде существующих) онтологий _нашей и задания _спорят правил _быть анализа - существующие _базе редакторы _случае онтологий (например, Protege) предоставляют _версию удобный _защиты инструментарий _файлов для _число создания _базе и редактирования _может онтологий _всех предметной _текст области. 

Основным _только недостатком _любых применения _узлах онтологий _smtp является _целом значительная _утечке ресурсоемкость (трудоемкость _текста системы). 

Для _модуль снижения _анализ трудоемкости _поиска целесообразно _целый использовать _всего категоризацию _каналу по словарям (тезаурусам) смысловых _случае категорий, _может предложенную _более и описанную _хуже ниже. 

Рассмотрим _тревог предлагаемую _текста схему _лучшие онтологического категоризатора:

Рис.3

Выделим _больше основные _каждой элементы категоризатора: 

1) Генератор _себе онтологии _само анализируемого _работы текста (документа). Генератор _http в автоматическом _утечки режиме _защиты разбирает _сразу анализируемый _может текст _схема и строит _быть онтологию, _работы отражающую _счет семантику _работы текста. Заметим, _рынке что _таких построение _данных онтологии _работы должно _может вестись _более по тем _себе же правилам, _типы что _режиме и построение _схема онтологии _местах предметной _много области; 

2) Анализатор - проводит _текста сравнение _вести между _{_toc} онтологией _разных анализируемого _время текста _утраты и онтологией _часть предметной _работы областью _именно для _текста определения _может принадлежности _утечек той _может или _сразу иной _работы категории. Для _волна ускорения _может анализа _вывода используются _время тезаурусы _быть категорий, _свою определяющие, _трафик к какой _других категории _рынок точно _видим не относится _чаще анализируемый _прав текст. Подробно _такие алгоритм _всех работы _копий анализатора _должно будет _слов описан _трафик ниже. 

3) Обработчик _себе результатов предназначен _свои для _рынок обработки _ложных и вывода _единый результатов _основе работы _текст онтологического категоризатора. 

4) Онтология _должно анализируемого _состав текста создается _данной для _утечек дальнейшего _siem семантического _анализ анализа _сети текста. 

5) Онтология _схема предметной _будет области создается _иногда до ввода _начала в эксплуатацию _контур DLP-системы. В _отчеты ее создании _набор принимают _dlp- участие _утечки специалисты _знание предприятия, где _данной будет _письма внедряться _быть DLP-система - эксперты _совсем по информационной _канал безопасности _этапа и специалисты _более по защищаемым _широко предметным _угроз областям. Для _intel создания _любых онтологии _потери используется _утраты тот _рынке же алгоритм, _узлах который _всех применяется _сути для _база автоматической _работы генерации _анализ онтологии _начала анализируемого _этапе текста. Разница _рода в том, _фстэк что _часть создание _единый онтологии _широко предметной _и/или области - более _утечки сложный _утечки и трудоемкий _рисков процесс, _такие требующий _отчеты ручного _база ввода _основе и участия _типы группы _утечек экспертов. Правила, _письма заданные _ложных в процессе _ценной создания _можно онтологии _трудно предметной _ftps области, _может будут _рынок применяться _таких затем _схема в автоматической _слов генерации. Наборы _бывает правил _защите должны _начал однозначно _рынке определять _много условия _схему отношения _основе к той _года или _дает иной _своими категории. Онтологии, _описан как _ядром правило, _более определяются _такое триплетами: 

[A, _работы p, B] , где _дает A - субъект, _только p - предикат, _должна B- объект. 

В _всего качестве _может триплета _mcafee можно _систем привести _может пример. В _отчеты анализируемом _задачи тексте _утечек содержатся _режиме сведения _могут о некоем _текста изделии _сути С456, _слов в частности _http приводится _рамки его _канал состав. В _кроме процессе _случае автоматической _данных генерации _агент онтологии _играют текста _начала появляются _также триплеты _текста вида [«Изделие _этого С456», contains, «часть _печать Х»]. Если _базе в онтологии _анализ предметной _работы области _даже будет _систем обозначено, _всего что _всех данная _слов информация _науки является _защите конфиденциальной, _рынке то DLP-система _момент должна _работы отреагировать _сразу соответственно. 

6) Тезаурусы _утечки категорий. Для _было каждой _тайне из категорий _канал информации _этих до начала _типы работы _метод системы _более должен _почти быть _сети создан _занять специальный _может словарь _могут терминов (групп _поиска терминов) - так _кроме называемый _этого тезаурус _такие категории, _должно который _этого должен _текста определить _также возможность _схему отнесения _раньше текста _также к данной _своими категории. Соответственно, _раньше если _защиты по тезаурусу _нашей определяется, _{_toc} что _трафик текст _даже не относится _защиты к какой-либо _года категории, _может дальше _data в алгоритме _защите категория _работы не рассматривается. Тезаурусы _работы также _была используются _кроме при _может создании _secaas онтологии _ymsg анализируемого _полку текста. 

Одна _целый из основных _утечке особенностей _малого предлагаемого _рынок метода - совместное _часть использование _может онтологий _основе и тезаурусов. Это _текст необходимо _может для _прав достижения _даже основной _канал цели _начала метода - снижение _данных при _утечки анализе _равно количества _рынку ошибок _трафик и трудоемкости. 

Для _текст уменьшения _сети вероятности _сразу появления _данных ошибок _только второго _работы рода предлагается _режиме применить _знание тезаурусы _первом категорий, _дата определяющие _vontu набор _ценной категорий, _схеме к которым _каждой может _слов быть _отчеты отнесен _рынке текст. Затем, _работы для _утечки каждой _дата из категорий, _около определенных _работы выше, _того проводится _может сравнение _data онтологий _данных текста _бывает и предметной _если области. Эта _защиты процедура _будет предназначена _когда для _работе устранения _около ошибок _работы первого _начала рода. Последовательность _занять применения _экрана онтологических _модуля методов _машин связана _данных с двумя _даже факторами: 

1) Быстродействие _работы обработки _кроме информации _текст с использованием _утечек словарей _видим существенно _сети выше, _быть чем _текст при _текст сравнении _работы онтологий; 

2) Использование _анализ одних _занять только _стали тезаурусов _канал приводит _года к большому _уровня количеству _будет ошибок _может первого _intel рода, _каналы т.е. к _хуже ложным _может срабатываниям. 

Интеграция _может работы _этого DLP-системы _может в единый _этапе алгоритм _кроме с использованием _однако онтологий _спорят и тезаурусов _счет позволяет _утечки существенно _сети увеличить _систем скорость _была работы _однако системы _может и снизить _утечек вероятность _систем появления _могут ошибок. 

Рассмотрим _угроз более _утечек подробно _защите алгоритм _работе работы _даже анализатора: 

1) Осуществляется _работе поиск _менее терминов _рода тезауруса _малого каждой _хуже категории _рынке в анализируемом _было тексте. Предположим, _быть что _этапе общее _дает количество _работы категорий _работы равно _базе k. В процессе _защиту поиска _само по тезаурусам _слов установлено, _должен что _работы текст _может может _работу соответствовать _полку n категориям. Соответственно _своего будем _систем считать, _ложных что _трафик оставшимся _только k-n _сети категориям _себе текст _уровне не соответствует. Таким _если образом, _доступ в случае _всего k=n _уровне уже _логику на данном _машин этапе _байеса алгоритм _этим может _доступ быть _{_toc} остановлен _случае и принимается _число решение _уровня об отсутствии _схема конфиденциальной _когда информации. 

2) По _начал оставшимся _поиска n категориям _работы проводится _утечек сравнение _позже онтологии _новые текста _далёк и той _всего части _этапе онтологии, _должно которая _всего соответствует _играет категории _потери с 1 до n, т.е. процедура _отчеты сравнения _свою проводится _таких n раз. Сравнение _набор подразумевает _рынок запросы _утраты по каждому _рой из правил _защиты онтологии _данной предметной _данной области, _утечки заданного _года для _трафик данной _байеса категории. При _утечки обнаружении _сильно совпадений _трафик происходит _такие сопоставление _всех текста _дает соответствующей _трафик категории. 

3) После _быть завершения _всех работы (завершения _много анализа _режиме по всем _свою категориям) полученные _данных результаты _ведут отправляются _этапе на обработку. 

Предлагаемый _было метод _защиту позволяет _список существенно _слов снизить _трафик размерность задачи (а, _архив соответственно, _более и ее трудоемкость) и _копий создавать _всех на его _быть основе _такие DLP-системы, _агент эффективно _рода использующие _siem семантику _{_toc} текста _набор для _вести поиска _анализ в нем _сути защищаемой _спорят информации.

Глава 2. Мировой DLP-рынок

Рынок _именно DLPсистем _быть начал _свою формироваться _чтобы уже _ложных в этом _занять веке. Как _науки было _почти сказано _всех в начале _занять статьи, _стали само _текста понятие «DLP» распространилось _утечек примерно _нашей в 2006 году. Наибольшее _вошли число _может компаний, _своего создававших _того DLPсистемы, _текст возникло _метод в США. Там _вести был _правил наибольший _письма спрос _резко на эти _siem решения _только и благоприятная _mcafee обстановка _экрана для _всех создания _может и развития _вопрос такого _случае бизнеса.

Почти _вести все _раньше компании, _smtp начинавшие _только создание _этого DLP-систем _сторон и добившиеся _схему в этом _если заметных _данной успехов, _служб были _только куплены _вошли или _типы поглощены, _dlp- а их продукты _этом и технологии _время интегрированы _данная в более _слов крупные _схема информационные _базе системы. Например, Symantecприобрела _ядром компанию Vontu (2007), Websense — компанию PortAuthorityTechnologiesInc. (2007), _свои EMC Corp. приобрела _рода компанию _может RSA Security(2006), _набор а McAfeeпоглотила _целом целый _слов ряд _siem компаний: Onigma (2006), SafeBootHolding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

В _играет настоящее _утечки время, _smtp ведущими _первым мировыми _само производителями DLPсистем являются: SymantecCorp., _копий RSA (подразделение _трафик EMC Corp.), VerdasysInc, WebsenseInc. (в 2013 куплена _новых частной _спорят компанией VistaEquityPartners), McAfee(в 2011 куплена _никак компанией Intel). Заметную _режиме роль _ложных на рынке _своими играют _нашей компании FidelisCybersecuritySolutions(в 2012 куплена _менее компанией GeneralDynamics), _время CA Technologiesи _только GTB Technologies. Наглядной _вывода иллюстрацией _ложных их позиций _помимо на рынке, _широко в одном _данных из разрезов, _работы может _года служить _будем магический _рода квадрант _время аналитической _основе компании Gartnerна _рынке конец 2013 года (рисунок 4).

Рис.4

В _резко России _должно рынок _более DLPсистем _типы стал _логику формироваться _данные почти _сети одновременно _играет с мировым, _часть но со своими _иному особенностями. Происходило _отчеты это _сети постепенно, _защиты по мере _много возникновения _рынка инцидентов _даже и попыток _рынке с ними _будет бороться. Первым _защиты в России _вести в 2000 году _режиме начала _данных разрабатывать _ftps DLP-решение _модуль компания «ИнфосистемыДжет» (сначала _других это _nntp был _форумы почтовый _малого архив). Чуть _годах позже _схема в 2003 году _рой был _этого основан InfoWatch, _фстэк как _этим дочерняя _первым компания «Лаборатории _было Касперского». Именно _этапе решения _дата этих _основе двух _случае компаний _прежде и задали _было ориентиры _начал для _всего остальных _уровня игроков. В _основе их число, _утечке чуть _анализ позже, _защиты вошли _далёк компании Perimetrix, SearchInform, DeviceLock, SecureIT(в 2011 переименованная _имеет в Zecurion). По _были мере _года создания _было государством _свою законодательных _всего актов, _nntp касающихся _рынок защиты _начал информации (ГК _данных РФ статья 857 «Банковская _позже тайна», 395-1-ФЗ «О _работы банках _данных и банковской _себе деятельности», 98-ФЗ «О _метод коммерческой _siem тайне», 143-ФЗ «Об _служб актах _основе гражданского _могут состояния», 152-ФЗ «О _всех персональных _ввода данных», _рынка и другие, _своего всего _года около 50 видов _копий тайн), _марат возрастала _свои потребность _счет в инструментах _часть защиты _уровня и рос _должно спрос _один на DLPсистемы. И _единой через _новые несколько _этих лет _должно на рынок _случае пришла «вторая _было волна» разработчиков: Falcongaze, «МФИ _знание Софт», Trafica. Стоит _анализ отметить, _текста что _спорят все _выше эти _всех компании _утечек имели _всех наработки _ввод в области _рынке DLP _поле намного _усилия ранее, _текста но стали заментына _свои рынке _mcafee относительно _всех недавно. Например, _даже компания «МФИ _данных Софт» начала _рой разработку _http своего _только DLP-решения _экрана еще _совсем в 2005 году, _много а заявила _защиты о себе _утечек на рынке _часто только _один в 2011 году.

Ещё позже, _http российский _форумы рынок _момент стал _позже интересен _слов и иностранным _выше компаниям. В 2007-2008 годах _должна у нас _слов стали _трафик доступны _своими продукты Symanteс, Websense и McAfee. Совсем _всех недавно, _должен в 2012, _может на наш _волна рынок _целом вывела _нашей свои _утечек решения _сети компания _работе GTB Technologies. Другие _должна лидеры _любых мирового _имеет рынка _себе тоже _набор не оставляют _этапа попыток _случае прийти _именно на российский _данных рынок, _утечек но пока _данных без _лучшие заметных _этого результатов. В _будут последние _кроме годы _именно российский _может DLPрынок _может демонстрирует _рынка стабильный _текст рост  (свыше 40% ежегодно) в _тайне течение _именно нескольких _текста лет, _текста что _ложных привлекает _вести новых _рынке инвесторов _сильно и разработчиков. Как _siem пример, _работы можно _имели назвать _единый компанию Iteranet, _будут с 2008 года _текст разрабатывающую _года элементы _mcafee DLPсистемы _будем для _и/или внутренних _фстэк целей, _много потом _данная для _работы корпоративных _быть заказчиков. В внастоящий _имели момент _выше компания _отчеты предлагает _режиме своё решение BusinessGuardianроссийским _гсзи и зарубежным _таких покупателям.

Сейчас _этого российский _совсем рынок _была DLPсистем _smtp ещё находится _анализ на стадии _случае формирования _этих и далёк _работы от насыщения. Хотя, _основе как _данных было _задачи сказано _работы выше, _потери у заказчиков _данных уже _раньше возникло _основе понимание _момент их потребностей _ввод и сформировался _основе устойчивый _спрос список _текста требований _быть к DLP-системам.

Глава 3. Сравнения DLP-систем

В _утечек качестве _чтобы участников _угроз были _именно выбраны _также наиболее _место популярные (по _играет версии _знание аналитического _рынок центра _вошли Anti-Malware.ru _состав на середину 2013 года) на _службы российском _года рынке _этом информационной _текста безопасности _угроз DLP-системы _утечки компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «ИнфосистемДжет».

Для _анализ анализа _версию использовались _данных коммерчески _основе доступные _случае на момент _данная подготовки _полный обзора _текста версии _класс DLP-систем, _более а также _http документация _рынке и открытые _защите обзоры _данной продуктов.

Критерии _систем сравнения _полный DLP-систем _ложных выбирались, _рода исходя _место из потребностей _полный компаний _машин различного _утечки размера _гсзи и разных _также отраслей. Под _слов основной _более задачей _свою DLP-систем _момент подразумевается _была предотвращение _каналу утечек _момент конфиденциальной _будем информации _местах по различным _может каналам.

Два _отчеты основных _утечек режима _{_toc} работы _таким DLP-систем – активный _более и пассивный. Активный – обычно _защиту основной _около режим _защиты работы, _данные при _дает котором _целом происходит _быть блокировка _этих действий, _данных нарушающих _байеса политики _случае безопасности, _такое например _утечек отправка _рынке конфиденциальной _лучшие информации _время на внешний _именно почтовый _более ящик. Пассивный _ложных режим _защиту чаще _ошибок всего _может используется _менее на этапе _описан настройки _этих системы _потери для _доступ проверки _данной и корректировки _знание настроек, _работу когда _рисков высока _режиме доля _основе ложных _систем срабатываний. В _кроме этом _письма случае _дата нарушения _режиме политик _каналы фиксируются, _уровне но ограничения _утечки на перемещение _этапа информации _других не налагаются (таблица 1).

Таблица 1

В _всего данном _набор аспекте _помимо все _вести рассматриваемые _правда системы _таким оказались _может равнозначны. Каждая _более из DLP _если умеет _часто работать _этих как _набор в активном, _утечек так _рисков и в пассивном _года режимах, _защиты что _случае дает _защите заказчику _письма определенную _место свободу. Не _только все _работы компании _прежде готовы _имеет начать _сильно эксплуатацию _такие DLP _дает сразу _утечки в режиме _всего блокировки – это чревато _отчеты нарушением _полный бизнес-процессов, _вести недовольством _данных со стороны _раньше сотрудников _также контролируемых _нашей отделов _быть и претензиями (в _dlp- том _дата числе _года обоснованными) со _могут стороны _работы руководства.

Технологии _текста детектирования _кроме позволяют _один классифицировать _угроз информацию, _помимо которая _метод передается _чтобы по электронным _часть каналам _иной и выявлять _целом конфиденциальные _случае сведения. На _новых сегодня _более существует _уровня несколько _полный базовых _должно технологий _всего и их разновидностей, _данных сходных _новых по сути, _защите но различных _вести по реализации. Каждая _слов из технологий _должно имеет _класс как _и/или преимущества, _работы так _анализ и недостатки. Кроме _совсем того, _только разные _текст типы _гсзи технологий _больше подходят _время для _таких анализа _ftps информации _анализ различных _фстэк классов. Поэтому _только производители _дает DLP-решений _сторон стараются _целом интегрировать _имеет в свои _утечке продукты _может максимальное _своими количество _рода технологий (см. таблицу 2).

Таблица 2

В _разных целом, _ложных продукты _были предоставляют _рой большое _только количество _потери технологий, _логику позволяющих _ложных при _анализ должной _систем настройке _анализ обеспечить _другой высокий _правда процент _ошибок распознавания _данном конфиденциальной _службы информации. DLP McAfee, Symantec и Websenseдовольно _если слабо _ymsg адаптированы _только для _чтобы российского _систем рынка _всех и не могут _когда предложить _утраты пользователям _задачи поддержку «языковых» технологий – морфологии, _рынок анализа транслитаи _слов замаскированного _данные текста.

Каждый _ложных канал _текста передачи _было данных – это _ведут потенциальный _модуля канал _целом утечек. Даже _метод один _лучшие открытый _можно канал _каналы может _может свести _secaas на нет _года все _будут усилия _марат службы _время информационной _метод безопасности, _иные контролирующей _http информационные _ядром потоки. Именно _свою поэтому _широко так _именно важно _рынок блокировать _рынок неиспользуемые _kerio сотрудниками _более для _начала работы _метод каналы, _позже а оставшиеся _систем контролировать _ftps с помощью _сильно систем _начала предотвращения _основе утечек.

Несмотря _дата на то, _позже что _начал лучшие _года современные _база DLP-системы _также способны _угроз контролировать _рисков большое _такие количество _совсем сетевых _фстэк каналов (см. таблицу 3), _утечке ненужные _анализ каналы _стали целесообразно _банках блокировать. К _машин примеру, _канал если _рынке сотрудник _даже работает _само на компьютере _данных только _помимо с внутренней _целом базой _трафик данных, _dlp- имеет _более смысл _должен вообще _именно отключить _может ему _других доступ _полный в Интернет.

Таблица 3

Аналогичные _иногда выводы _рынке справедливы _систем и для _дата локальных _этом каналов _равно утечки. Правда, _хуже в этом _защиты случае _этого бывает _основе сложнее _всех заблокировать _единый отдельные _этим каналы, _целом поскольку _схему порты _архив часто _если используются _пример и для _вошли подключения _будет периферии, _защиты устройств _именно ввода-вывода _защиты и т. д.

Особую _http роль _версию для _сразу предотвращения _работе утечек _целом через _почти локальные _dlp- порты, _всего мобильные _будут накопители _рынка и устройства _быть играет _бывает шифрование. Средства _имеет шифрования _защиты достаточно _утечки просты _иному в эксплуатации, _может их использование _этого может быть _схему прозрачным _анализ для _слов пользователя. Но _свою в то же время _выше шифрование _спорят позволяет _каждой исключить _совсем целый _анализ класс _дата утечек, _трафик связанных _письма с несанкционированным _всего доступом _кроме к информации _работы и утерей _машин мобильных _систем накопителей.

Ситуация _анализ с контролем _почти локальных _местах агентов _тайне в целом _утечек хуже, _такая чем _науки с сетевыми _бывает каналами (см. таблицу 4). Успешно _спорят контролируются _должна всеми _прежде продуктами _бывает только _база USB-устройства _основе и локальные _случае принтеры. Также, _защите несмотря _всех на отмеченную _каналу выше _первом важность _себе шифрования, _работы такая _слов возможность _быть присутствует _копий только _тревог в отдельных _место продуктах, _бурное а функция _этим принудительного _новых шифрования _тревог на основе _базе контентного _даже анализа _кроме присутствует _файлов только _дата в Zecurion DLP.

Таблица 4

Для _защиты предотвращения _основе утечек _только важно _утечки не только _рынок распознавание _случае конфиденциальных _поиска данных _утечки в процессе _раньше передачи, _текст но и ограничение _целом распространения _будем информации _работы в корпоративной _почти среде. Для _этом этого _может в состав _дает DLP-систем _каналу производители _основе включают _будем инструменты, _архив способные _другой выявлять _момент и классифицировать _только информацию, _число хранящуюся _быть на серверах _почти и рабочих _рынку станциях _защиты в сети (см. таблицу 5). Данные, _иной которые _может нарушают _защите политики _отчеты информационной _данных безопасности, _трафик должны _кроме быть _основе удалены _угроз или _класс перемещены _таким в безопасное _метод хранилище.

Таблица 5

Для _поиска выявления _быть конфиденциальной _текста информации _набор на узлах _ошибок корпоративной _момент сети _других используются _всех те же самые _систем технологии, _этого что _защите и для _должно контроля _кроме утечек _ftps по электронным _помимо каналам. Главное _утечек отличие – архитектурное. Если _dlp- для _спрос предотвращения _года утечки _схеме анализируется _описан сетевой _модуля трафик _данном или _ложных файловые _служб операции, _часть то для _случае обнаружения _ложных несанкционированных _любых копий _только конфиденциальных _рынок данных _данная исследуется _утечке хранимая _защите информация – содержимое _дает рабочих _данных станций _нашей и серверов _дает сети.

Из _время рассматриваемых _текста DLP-систем _должна только InfoWatch и «Дозор-Джет» игнорируют _метод использование _данной средств _могут выявления _службы мест _выше хранения _часть информации. Это _даже не является _утечки критичной _канал функцией _текста для _позже предотвращения _может утечки _защиты по электронным _отчеты каналам, _этого но существенно _данных ограничивает _имеет возможности _систем DLP-систем _этим в отношении проактивногопредотвращения _время утечек. К _данной примеру, _только когда _всего конфиденциальный _voip документ _рынке находится _чаще в пределах _работы корпоративной _кроме сети, _сети это _можно не является _типы утечкой _ввода информации. Однако _начала если _задачи место _поиска хранения _типы этого _науки документа _сторон не регламентировано, _много если _основе о местонахождении _утечки этого _начала документа _быть не знают _было владельцы _гсзи информации _были и офицеры _волна безопасности, _kerio это _дата может _тревог привести _слов к утечке. Возможен _быть несанкционированный _угроз доступ _метод к информации _работе или _около к документу _утечки не будут _само применены _часть соответствующие _список правила _года безопасности.

Такие _было характеристики _основе как _правда удобство _канал использования _data и управления _слов могут быть _типы не менее _бывает важными, _сути чем _время технические _кроме возможности _утечек решений. Ведь _утечке действительно _дата сложный _быть продукт _схема будет _каналы трудно _утечки внедрить, _почти проект _рынке отнимет _рода больше _всех времени, _если сил _ложных и, соответственно, _кроме финансов. Уже _анализ внедренная _работы DLP-система _всего требует _данных к себе _и/или внимания _ошибок со стороны _каналы технических _схема специалистов. Без _играет должного _доступ обслуживания, _данных регулярного _утечек аудита _случае и корректировки _версию настроек _момент качество _менее распознавания _ошибок конфиденциальной _дает информации _агент будет _таким со временем _набор сильно _схеме падать.

Интерфейс _всего управления _основе на родном _работу для _рынок сотрудника _занять службы _может безопасности _менее языке – первый _раньше шаг _этих для _фстэк упрощения _вести работы _знание с DLP-системой. Он _единой позволит _список не только _набор облегчить _data понимание, _логику за что _года отвечает _утечки та или _ценной иная _вести настройка, _будем но и значительно _утечки ускорит _данной процесс _систем конфигурирования _службы большого _годах количества _ftps параметров, _бурное которые _может необходимо _всех настроить _других для _описан корректной _машин работы _{_toc} системы. Английский _отчеты язык _именно может _такие быть _систем полезен _текст даже _дает для _работы русскоговорящих _форумы администраторов _утечки для _лучшие однозначной _защиты трактовки _утечки специфических _полный технических _начала понятий (см. таблицу 6).

Таблица 6

Большинство _слов решений _рой предусматривают _годах вполне _может удобное _работы управление _ввод из единой (для _список всех _совсем компонентов) консоли _всех c веб-интерфейсом (см. таблицу 7). Исключение _утечки составляют _поиска российские InfoWatch(отсутствует _далёк единая _этого консоль) и Zecurion (нет веб-интерфейса). При _потери этом _раньше оба _сразу производителя _версию уже _чтобы анонсировали _место появление _secaas веб-консоли _рынок в своих _циклом будущих _vontu продуктах. Отсутствие _систем же единой _сути консоли _этого у InfoWatchобусловлено _набор различной _mpls технологической _должен основой _база продуктов. Разработка _всех собственного _всех агентского _текста решения _правда была _утечек на несколько _должен лет _разных прекращена, _была а нынешний EndPointSecurityявляется _защите преемником _такие продукта EgoSecure(ранее _машин известного _вывода как cynapspro) стороннего _ввода разработчика, _нашей приобретенного _рынке компанией _архив в 2012 году.

Таблица 7

Еще _данных один _своего момент, _другой который _также можно _уровня отнести _когда к недостаткам _анализ решения InfoWatch, _текст состоит _случае в том, _часть что _начал для _такое настройки _имеет и управления _дает флагманским _почти DLP-продуктом InfoWatchTrafficMonitorнеобходимо _видим знание _поиска специального _нашей скриптового _рынке языка _{_toc} LUA, _текст что _потери усложняет _режиме эксплуатацию _года системы. Тем _этим не менее, _рынку для _должна большинства _http технических _данных специалистов _режиме перспектива _набор повышения _начал собственного _года профессионального _всех уровня _печать и изучение _письма дополнительного, _систем пусть _может и не слишком _dlp- ходового _nntp языка _этом должна _была быть _только воспринята _службы позитивно.

Разделение _защиту ролей _рынке администратора _стали системы _может необходимо _фстэк для _поле минимизации _утечки рисков _должно предотвращения _даже появления суперпользователяс _уровне неограниченными _более правами _было и других _быть махинаций _метода с использованием _года DLP.

Архив _бывает DLP – это _будем база _основе данных, _одних в которой _рода аккумулируются _должно и хранятся _dlp- события _пример и объекты (файлы, _спорят письма, _таким http-запросы _вести и т. д.), _сети фиксируемые _дает датчиками _dlp- системы _место в процессе _свою ее работы. Собранная _момент в базе _местах информация _всех может _канал применяться _прав для _http различных _дата целей, _данных в том _данные числе _схема для _такое анализа _более действий _доступ пользователей, _работы для _чаще сохранения _совсем копий _новых критически _поле важных _утечки документов, _дает в качестве _пример основы _утечек для _работы расследования _слов инцидентов _сторон ИБ. Кроме _mpls того, _может база _только всех _ложных событий _данная чрезвычайно _трудно полезна _набор на этапе _слов внедрения _только DLP-системы, _рисков поскольку _слов помогает _другой проанализировать _работы поведение _защиты компонентов _часто DLP-системы (к _тревог примеру, _слов выяснить, _этого почему _агент блокируются _хуже те или _защиты иные _только операции) и _рода осуществить _внести корректировку _быть настроек _ymsg безопасности (см. таблицу 8).

Таблица 8

В _data данном _часто случае _дает мы видим _работы принципиальное _утечки архитектурное _этом различие _спорят между _утечек российскими _работы и западными _сильно DLP. Последние _любых вообще _службы не ведут _тревог архив. В _равно этом _когда случае _стали сама _метод DLP _своего становится _утечек более _vontu простой _ведут для _прежде обслуживания (отсутствует _рынке необходимость _волна вести, _модуля хранить, _имели резервировать _защиты и изучать _первом огромный _должна массив _описан данных), _утечек но никак _гсзи не для _набор эксплуатации. Ведь _работе архив _также событий _лучшие помогает _быть настраивать _уровне систему. Архив _задачи помогает _играют понять, _поле почему _защите произошла _может блокировка _сторон передачи _kerio информации, _защите проверить, _часть сработало _только ли правило _метод корректно, _рода внести _такая в настройки _циклом системы _vontu необходимые _себе исправления. Также _байеса следует _siem заметить, _сети что _тревог DLP-системы _рынка нуждаются _играет не только _рынок в первичной _intel настройке _было при _более внедрении, _машин но и в регулярном «тюнинге» в _утечки процессе _вести эксплуатации. Система, _марат которая _ложных не поддерживается _файлов должным _работы образом, _всех не доводится _утечки техническими _работы специалистами, _резко будет _этом много _данных терять _ложных в качестве _текст распознавания _mpls информации. В _форумы результате _если возрастет _ценной и количество _дает инцидентов, _именно и количество _систем ложных _этапе срабатываний.

Отчетность – немаловажная _рода часть _марат любой _спрос деятельности. Информационная _данных безопасность – не _ftps исключение. Отчеты _всего в DLP-системах _этом выполняют _рынке сразу _кроме несколько _ложных функций. Во-первых, _защиты краткие _года и понятные _рынке отчеты _местах позволяют _быть руководителям _спорят служб _байеса ИБ оперативно _случае контролировать _разных состояние _должна защищенности _утечек информации, _годах не вдаваясь _само в детали. Во-вторых, _дата подробные _текст отчеты _всего помогают _также офицерам _данных безопасности _других корректировать _ошибок политики _работы безопасности _отчеты и настройки _nntp систем. В-третьих, _свои наглядные _должна отчеты _http всегда можно _слов показать _полный топ-менеджерам _может компании _работы для _логику демонстрации _служб результатов _дает работы _всех DLP-системы _даже и самих _трафик специалистов _анализ по ИБ (см. таблицу 9).

Таблица 9

Почти _почти все _лучшие конкурирующие _рынок решения, _этого рассмотренные _вида в обзоре, _вести предлагают _своей и графические, _утечки удобные _дает топ-менеджерам _рода и руководителям _этом служб _анализ ИБ, _метод и табличные, _отчеты более _может подходящие _трудно техническим _даже специалистам, _mpls отчеты. Графические _служб отчеты _только отсутствуют _ошибок только _иные в DLP InfoWatch, _быть за что _систем им и была _себе снижена _первом оценка.

Вопрос _систем о необходимости _было сертификации _версию для _данных средств _чтобы обеспечения _может информационной _класс безопасности _intel и DLP _может в частности _сторон является _защиты открытым, _доступ и в рамках _также профессиональных _систем сообществ _данных эксперты _отчеты часто _единый спорят _vontu на эту _должна тему. Обобщая _работы мнения _может сторон, _более следует _ценной признать, _утечки что _если сама _дата по себе _рамки сертификация _нашей не дает _циклом серьезных _smtp конкурентных _модуль преимуществ. В _защиты то же время, _вести существует _бывает некоторое _иногда количество _играют заказчиков, _можно прежде _защиту всего, госорганизаций, _данных для _новых которых _было наличие _этого того _должна или _текста иного _иногда сертификата _данной является _каналы обязательным.

Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители оказываются перед выбором: купить уже устаревшую, но сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Стандартный выход в этой ситуации – приобретение сертифицированного продукта «на полку» и использование нового продукта в реальной среде (см. таблицу 10).

Таблица 10

Результаты сравнения

Обобщим впечатления от рассмотренных DLP-решений. В целом, все участники произвели благоприятное впечатление и могут использоваться для предотвращения утечек информации. Различия продуктов позволяют конкретизировать область их применения.

DLP-система InfoWatch может быть рекомендована организациям, для которых принципиально важно наличие сертификата ФСТЭК. Впрочем, последняя сертифицированная версия InfoWatchTrafficMonitor проходила испытания еще в конце 2010 года, а срок действия сертификата истекает в конце 2013 года. Агентские решения на базе InfoWatchEndPointSecurity (известного также как EgoSecure) больше подходят предприятиям малого бизнеса и могут использоваться отдельно от TrafficMonitor. Совместное использование TrafficMonitor и EndPointSecurity может вызвать проблемы с масштабированием в условиях крупных компаний.

Продукты западных производителей (McAfee, Symantec, Websense), по данным независимых аналитических агентств, значительно менее популярны, нежели российские. Причина — в низком уровне локализации. Причем дело даже не в сложности интерфейса или отсутствии документации на русском языке. Особенности технологий распознавания конфиденциальной информации, преднастроенные шаблоны и правила «заточены» под использование DLP в западных странах и нацелены на выполнение западных же нормативных требований. В результате в России качество распознавания информации оказывается заметно хуже, а выполнение требований иностранных стандартов зачастую неактуально. При этом сами по себе продукты вовсе не плохие, но специфика применения DLP-систем на российском рынке вряд ли позволит им в обозримом будущем стать более популярными, чем отечественные разработки.

Zecurion DLP отличается хорошей масштабируемостью (единственная российская DLP-система с подтвержденным внедрением на более чем 10 тыс. рабочих мест) и высокой технологической зрелостью. Однако удивляет отсутствие веб-консоли, что помогло бы упростить управление корпоративным решением, нацеленным на различные сегменты рынка. Среди сильных сторон Zecurion DLP – высокое качество распознавания конфиденциальной информации и полная линейка продуктов для предотвращения утечек, включая защиту на шлюзе, рабочих станциях и серверах, выявление мест хранения информации и инструменты для шифрования данных.

DLP-система «Дозор-Джет», один из пионеров отечественного рынка DLP, широко распространена среди российских компаний и продолжает наращивать клиентскую базу за счет обширных связей системного интегратора «ИнфосистемыДжет», по совместительству и разработчика DLP. Хотя технологически DLP несколько отстает от более мощных собратьев, ее использование может быть оправдано во многих компаниях. Кроме того, в отличие от иностранных решений, «Дозор Джет» позволяет вести архив всех событий и файлов.

Заключение

Дальнейшее развитие DLP-продуктов идёт в направлении укрупнения и интеграции с продуктами смежных областей: контроль персонала, защита от внешних угроз, другие сегменты информационной безопасности. При этом, почти все компании работают над созданием облегчённых версий своих продуктов для малого и среднего бизнеса, где простота разворачивания DLP‑системы и удобство её использования важнее сложного и мощного функционала. Также, продолжается развитие DLP для мобильных устройств, поддержки технологий виртуализации и SECaaS в «облаках». С учётом всего сказанного, можно предположить, что бурное развитие мирового, и особенно российского DLP‑рынков, привлечёт и новые инвестиции и новые компании. А это, в свою очередь, должно привести к дальнейшему росту количества и качества предлагаемых DLP‑продуктов и услуг.

Список литературы

1. Кумунжиев К.В., Зверев И.Н. МЕТОД ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ DLP-СИСТЕМЫ ПРИ СЕМАНТИЧЕСКОМ АНАЛИЗЕ И КАТЕГОРИЗАЦИИ ИНФОРМАЦИИ // Современные проблемы науки и образования. – 2014. – № 5.;
   URL: https://www.science-education.ru/ru/article/view?id=14741 (дата обращения: 03.06.2017).
2. «Сравнение систем защиты от утечек (DLP)». Александр Панасенко. 
3. «Каналы утечек конфиденциальной информации». Марат Давлетханов.
4. Системы DLP - Who? What? Where? How?http://www.topsbi.ru/default.asp?artID=1675 (дата обращения: 03.06.2017)

Системы защиты от утечек (DLP). http://www.infokube.ru/index.php/products/categories/category/dlp (дата обращения 03.06.2017)