В международной практике с недавних пор используется термин "DLP 3.0". Его активно продвигает компания Verdasys (один из лидеров Gartner Magic Quadrant 2013 for Content-Aware Data Loss Prevention). Знать и понимать его полезно и нам в России, хотя развитие наши систем DLP идет по другому пути...Суть идеи проста:
- DLP 1.0 - Фокус на compliance (выполнение требований). Здесь идет ориентир на выявление мест хранения (функция DLP Discovery) и фактов передачи в открытом виде персональных данных (PII - Personally identifiable information), информации о здоровье (PHI - Protected health information) и данных платежных карт (PCI - Payment Card Information), а также хранение информации по выявленным инцидентам.Основными движущими силам являются требования HIPPA, GLBA, PCI DSS. Обратите внимание, что системы DLP данного поколения могут состоять всего из одного модуля - DLP Network (анализ информации, передаваемой по сети), наличие модуля DLP Discovery (сканирование серверов и рабочих станций на предмет наличия защищаемой информации) является преимуществом, а модуль DLP Endpoint (контроль рабочих станций) для целей соответствия требованиям не нужен.
- DLP 2.0 - Фокус на защиту от инсайдеров. При этом под защитой оказываются еще и другие конфиденциальные сведения (объекты интеллектуальной собственности, коммерческая тайна и другие виды тайн), помимо PII, PHI, PCI. Системы DLP этого поколения должны мониторить и контролировать различные каналы передачи информации (особенно со стороны конечных рабочих станций, Endpoint). Особо продвинутые системы могут мониторить и контролировать передачу и хранение информации на мобильных устройствах и в "облачных" хранилищах. Ну, а самые передовые системы ориентируются уже на анализ поведения пользователей (behavior analyzer).
- DLP 3.0 - Фокус на защитe от кибер атак. Здесь, помимо защиты от угроз со стороны инсайдеров, добавляются функционал и идея защиты конфиденциальной информации от внешних атак. Не важно, каким образом информация "утекла" из организации, важен сам факт ее разглашения/потери/кражи.
Ну, а для России я бы предложил немного изменить суть и формулировки, а также ориентироваться не на каком-то конкретном техническом решении, а подходе. Итак:
- Защита информации от утечки 1.0 - защита от утечки по техническим каналам. именно так понимали российские специалисты термин "утечка" еще буквально лет 5-7 назад.
- Защита информации от утечки 2.0 - защита от инсайдеров, умышленные и неумышленные утечки информации. Обратите внимание, что в данном случае у инсайдеров обычно бывает легальный доступ к информации.
- Защита информации от утечки 3.0 - защита конфиденциальности информации. Не важно каким образом информация была разглашена или украдена, это могли сделать сотрудники организации или внешние лица, а также вредоносное программное обеспечение.
Подход к защите информации от утечки 3.0 должен строиться комплексно и системно. Но об этом я напишу уже как-нибудь в другой раз...
Как Вам такой подход? Насколько он удобен и показателен?
P.S. Еще можно посмотреть:
