К особенностям российского рынка относится активное маркетинговое продвижение DLP-систем таких продуктов, которые не предотвращают пересылку конфиденциальных данных по почте, а только протоколируют эти события (причем лишь на ПК в офисе) для отдельных почтовых протоколов в архиве переписки для последующего анализа и поиска инцидентов утечки. Безусловно, ведение журналов почтовой пересылки позволяет применить соответствующие организационные меры для снижения вероятности утечек: если сотрудники извещены об анализе содержимого переписки, угроза несколько снижается за счет повышения пользовательской дисциплины и неотвратимости наказания.

Однако такой функционально ограниченный подход опасен, поскольку порождает у служб информационной безопасности ложное ощущение защищенности. В реальности администраторы беспомощно наблюдают на экранах отражение фактов беспрепятственной утечки конфиденциальных данных. Если система позволяет только протоколировать передачу данных и сохранять теневые копии для дальнейшего анализа и акцент делается на контентную фильтрацию архива, — это, по сути, не DLP-система, а система анализа журналов, позволяющая только расследовать нарушения, но никак не предотвращать их.

Именно предотвращение, а не мониторинг утечек данных является целевой задачей DLP-систем в корпоративной службе информационной безопасности во всем мире, в особенности в банковском секторе — одном из самых чувствительных к сохранности конфиденциальных данных. Такая постановка вопроса требует от DLP-системы наличия функции блокировки передачи почтовых сообщений в режиме реального времени, если они нарушают условия DLP-политик. Стоп-факторами могут быть недопустимое содержимое, неавторизованные получатели, запрещенные к использованию в организации почтовые сервисы и др.

DLP-система — это не просто звучное название технологий, не только анализ контента сообщений и архива почты. Полнофункциональное DLP-решение обеспечивает полный охват максимально возможного числа потенциальных каналов утечки данных; предоставляет возможности и блокировать, и протоколировать эти каналы в любых условиях работы сотрудника (в офисе или вне его), в том числе с помощью различных механизмов контентной фильтрации.

Говоря о полноте контроля, мы имеем в виду универсальный контроль SMTP/SMTPS, MAPI/Outlook и IBM/Lotus Notes, а также популярных почтовых веб-сервисов при наличии полноты защитных реакций системы контроля на выявленные нарушения — возможность блокировки отправки письма, детальное протоколирование факта передачи, включая сохранение точных копий передаваемых писем и вложений, а также оперативное оповещение службы информационной безопасности о выявленном инциденте. Конечно, функционал создания централизованного архива почтовой переписки и обеспечение полнотекстового поиска в архивированных сообщениях и файлах, включая картинки и поддержку OCR-технологий, также обязательно присутствует.

Всем необходимым требованиям эффективности и полноты контроля в DLP-системе отвечает программный комплекс DeviceLock DLP, агенты которого работают непосредственно на защищаемых компьютерах и обеспечивают инспекцию и протоколирование корпоративной почты и других коммуникационных приложений независимо от способа выхода в Интернет, доступности корпоративной сети или подключения к корпоративным серверам.

Реклама