Введение
DLP (Data Loss Prevention / Data Loss Protection) – класс решений информационной безопасности, предназначенных для предотвращения несанкционированной передачи, утечки или уничтожения конфиденциальных данных. DLP-системы идентифицируют чувствительную информацию (персональные данные, коммерческую тайну, платёжные данные), мониторят её движение и применяют политики безопасности для блокировки нарушений.
По определению Microsoft, «DLP помогает защитить конфиденциальные данные от раскрытия, неправомерного использования или потери путём выявления, мониторинга и контроля их использования и передачи». По Proofpoint, DLP охватывает три состояния данных: data at rest (хранящиеся), data in motion (передаваемые) и data in use (используемые).
История и контекст
Первые DLP-системы появились в начале 2000-х годов как инструменты контроля электронной почты для предотвращения утечек. С ростом каналов передачи данных (USB, облако, мессенджеры, web) DLP-платформы эволюционировали в комплексные системы с агентами на конечных точках, сетевыми шлюзами и облачными CASB-коннекторами.
В России DLP является одним из обязательных требований для ряда организаций: стандарт ЦБ РФ СТО БР ИББС, ФСТЭК приказы 17/21, требования к операторам персональных данных. Российский рынок DLP возглавляют InfoWatch Traffic Monitor, Solar Dozor, Zecurion.
Как это работает
DLP-система работает в три этапа – обнаружение, защита, расследование:
- Обнаружение данных – сканирование хранилищ и классификация данных по чувствительности. Методы: keywords, regexp, fingerprinting, ML-классификаторы.
- Мониторинг – контроль всех каналов: email (SMTP), web (HTTP/HTTPS), мессенджеры, USB-носители, принтеры, облачные сервисы (Office 365, Google Workspace).
- Применение политик – при нарушении: Alert (уведомление), Block (блокировка), Quarantine (карантин), Encrypt (принудительное шифрование).
DLP-агент устанавливается на конечную точку (endpoint DLP) и перехватывает операции на уровне ОС. Сетевой DLP-шлюз анализирует трафик в точках выхода из сети.
Где применяется
- Финансовые организации – защита банковской тайны и персональных данных клиентов.
- Государственные органы – защита государственной тайны и ПДн граждан.
- Промышленность и R&D – защита конструкторской документации и ноу-хау.
- Медицина – защита медицинских данных пациентов.
Преимущества и ограничения
Преимущества: снижение риска утечек от инсайдеров и ошибок пользователей; соответствие требованиям ФСТЭК, ЦБ РФ, GDPR, ФЗ-152; документирование инцидентов для расследований; повышение осведомлённости сотрудников.
Ограничения: высокий процент ложных срабатываний без тонкой настройки; сложность покрытия всех каналов (особенно зашифрованного трафика); сопротивление пользователей; значительные ресурсы на поддержку политик.
Связь с другими понятиями
DLP является одним из ключевых инструментов в рамках Cybersecurity и Data Security. Database Activity Monitoring (DAM) – дополнительный уровень контроля для баз данных. Data Classification является предпосылкой для корректной работы DLP-политик. Data Governance определяет политики, которые DLP-система технически исполняет. Российские решения: Solar Dozor (id: 7886), InfoWatch (программный комплекс Solar Dozor).
