DLP не предотвращает утечку информации. Любая DLP из коробки имеет предустановленные словари и правила. Большинство из них направлено вовсе не на защиту от утечек. Найти сотрудников, матерящихся в электронной почте, обсуждающих руководство или рассылающих резюме,. Добрый день, коллеги, кто внедрял DLP, может быть поделитесь списком ключевых слов, фраз, возможно есть какойто начальный перечень для банковской отрасли Если не жалко. Так в нормальном DLP уже по умолчанию должен присутствовать свой словарь. Предложенный метод позволяет существенно упростить процедуру пополнения и актуализации словарей новыми словоформами и повысить таким образом показатели точности и полноты морфологических анализаторов DLP и IPCсистем. Ключевые слова полуавтоматическое формирование словаря,. Типовая схема работы категоризатора DLPсистемы представлена на рис. Типовая схема категоризатора. Выделим основные элементы категоризатора 1 Словари категорий предметной области предназначены для категорирования информации по нахождению в. Словарь Для Dlp' title='Словарь Для Dlp' />Чип DLP У этого термина существуют и другие значения, см. DLP значения. Эта статья является частичным и неточным переводом английского варианта этой статьи и требует доработки. Содержание. Словарь терминов. Глоссарий по информационной безопасности. Лингвистические методы DLP. Заставьте вашу DLP систему работать. Jet Info. Что именно Давайте разбираться. Не будет большим откровением сказать, что эффективность средств защиты информации СЗИ прямо пропорциональна зрелости связанных с ними процессов ИБ и их интеграции в бизнес процесс компании. При этом для некоторых классов СЗИ, например, для антивирусов или средств межсетевого экранирования, эта зависимость выражена не столь сильно. Действительно, в большинстве ситуаций для того, чтобы антивирус работал и обеспечивал защиту на приемлемом уровне, достаточно настроить автообновление сигнатур и следить за состоянием агентов на рабочих станциях, а единожды разработанные списки доступа МСЭ в процессе эксплуатации требуют лишь незначительных изменений. Однако, пожалуй, нет СЗИ, которое бы больше зависело от зрелости сопутствующих процессов ИБ и их интеграции в бизнес, чем система DLP. Имея опыт реализации более 4. DLP систем, мы наблюдаем полный жизненный цикл этих решений у ряда компаний ТЭК, финансовый сектор, ритейл, госсектор и т. Словарь Для Dlp' title='Словарь Для Dlp' />К сожалению, некоторые компании находятся в пресловутой ситуации забивания гвоздей микроскопом, когда полнофункциональная система используется эпизодически иили для решения мелких, локальных задач. При этом в условиях кризисных явлений в экономике, когда обоснование бюджетов на ИБ затруднено, а бизнес требует снижения издержек, поддержка по факту не используемой системы является не самой лучшей идеей, а приобретение средства защиты, которое не будет использоваться, может дискредитировать руководство службы ИБ. Тем не менее цель нашей статьи не очередное переливание из пустого в порожнее на тему, почему все так плохо в российской ИБ, а попытка найти решение конкретной задачи как заставить уже внедренную систему DLP работать эффективнее. Сразу оговоримся, в статье не рассматривается техническая сторона вопроса, лишь организационная. Основные проблемы. Основной причиной возникновения проблем с DLP являются завышенные ожидания, базирующиеся на не совсем верном с точки зрения чистого консалтинга подходе. Этот подход предполагает, что выстраивание процессов вокруг внедренной DLP должно происходить постфактум. Наш опыт говорит об обратном для эффективного функционирования DLP должна выстраиваться внедряться вокруг уже существующих процессов ИБ, а не наоборот. Иными словами, чтобы эффективно использовать DLP, компания должна обладать хотя бы начальным уровнем зрелости ИБ, дорасти до системы. Приведем главные риски, сопутствующие процессу внедрения DLP В системе DLP будут реализованы только шаблонные, не отражающие специфику бизнес процессов правила. Словарь Для Dlp' title='Словарь Для Dlp' />Согласно принципу сервисного подхода, бизнес подразделения компании являются клиентами службы ИБ, которая оказывает им различные сервисы услуги, например, защиту от утечек. К сожалению, знание своего бизнеса является слабым местом многих ИБ служб в России. Ситуация с DLP усугубляется тем, что понимание бизнеса должно быть не просто на уровне бизнес процессов и потоков данных, а еще глубже на уровне конкретных информационных активов. Система DLP by design покрывает не все актуальные каналы утечки информации. Хрестоматийная ситуация установка безагентского DLP и одновременное отсутствие контроля съемных носителей. Да, такая DLP позволит выявить сотрудника, который отправил себе на личную почту документы, чтобы поработать дома, да, система может помочь выявить тех, кто бездельничает чатится, серфит в интернете и т. Скорее всего, нет. Реализованные политики будут порождать большое количество ложных срабатываний, которые будет невозможно обработать за разумное время. Эта ситуация возникает при первоначальной попытке реализации кастомных правил. Например, мы хотим отслеживать документы по грифу Для служебного пользования, а в итоге получаем вал событий, содержащих безобидные фразы машина для служебного пользования, прошу выдать мне для служебного пользования и т. Обработать такое количество событий от DLP служба ИБ не в состоянии, и в итоге приходится отказываться от некоторых правил. DLP не предотвращает утечку информации Любая DLP из коробки имеет предустановленные словари и правила. Большинство из них направлено вовсе не на защиту от утечек. Найти сотрудников, матерящихся в электронной почте, обсуждающих руководство или рассылающих резюме, может быть интересно и даже полезно, но это, скорее, имеет отношение к вопросам корпоративной этики, а не к защите информации ограниченного доступа. Выстраивание процесса вокруг DLP может негативно сказаться на самом процессе. Выстраивание процессов вокруг DLP, а не наоборот, приводит к тому, что организационные меры полностью подстраиваются под доступный функционал внедряемой системы. На практике это сводится к следующей позиции зачем нам регламентировать правила работы со съемными носителями, если мы технически не сможем контролировать выполнение этого регламента. Итак, что делать, если процессная составляющая отсутствует по ряду причин исторически унаследованная система, смена руководства, участие компании в M A сделках, уход из компании ключевых ИБ специалистов и т. DLP уже есть Решение кроется в методологически верной реализации процессного подхода, учитывающего специфику DLP как средства защиты. Когда речь идет об организации процессного подхода, первое, что приходит на ум, это классическая модель PDCA Plan Do Check Act см. Классическая модель PDCAВ случае с DLP эта модель оказывается наиболее подходящей. Как мы действуем Планируем. Бесплатную Программу Для Подбора Прически. Определяем цели системы, какую информацию будем защищать и как. Делаем. Реализуем политики DLP. Проверяем. Эксплуатируем систему, анализируем получаемые результаты количество событий и реальных инцидентов, процент ошибок первого и второго рода, результаты тестов, технические показатели. Корректируем. Изменяем политики с учетом результатов анализа. Планируем. Новый цикл планирования. Учитываем изменившиеся цели, актуализируем информацию, применяем новые подходы. При внедрении DLP обычно говорят, что система сможет все и сразу, в то же время в любой компании естественным образом формируется приоритизация задач. Где то действительно нужно беречь информацию ограниченного доступа, где то важнее ловить отправляющих резюме, а где то святая святых информация о вознаграждениях топ менеджмента. Определиться, что действительно нужно от DLP, достаточно просто, нужно ответить на ряд вопросов кто основные пользователи DLP, кто планирует пользоваться данными системы служба ИБЭБвнутреннего контроля, непосредственно менеджмент и т. DLP в ближайшей перспективе 13 года DLP в перспективе 13 лет, хочет ли руководство получать регулярную статистику, если да, то в каком видеЧто конкретно будем защищать. Мы определились с приоритетом, поехали дальше. Следующая потенциальная проблема как перейти от абстрактных понятий вроде информация ограниченного доступа или информация о топах к конкретным информационным активам, то есть как опуститься на уровень конкретных документов, передаваемых между конкретными людьми Это можно сделать с помощью классического анализа бизнес процессов, в основе которого лежат инвентаризация и категоризация информационных активов. Это самая важная и сложная задача, которая, по сути, представляет собой отдельный проект по ИБ. Одна из наиболее созвучных с процессом контроля утечек тем выстраивание режима коммерческой тайны. Помимо очевидных плюсов, которые режим коммерческой тайны дает сам по себе, он существенно облегчает проведение анализа бизнес процессов и инвентаризации информации.