Утечки информации: защита по-русски

Вадим Станкевич
эксперт по информационной безопасности

Есть ли смысл смотреть в сторону российских производителей DLP-систем, если можно приобрести аналогичную систему от всемирно известного зарубежного производителя? Ответ на данный вопрос будет однозначно утвердительным по нескольким причинам. Первая состоит в том, что российские системы будут в большинстве своем значительно дешевле своих зарубежных    аналогов просто даже в силу более короткой цепочки посредников между производителем и конечным потребителем произведенных им продуктов. Кроме того, как правило, российский разработчик устанавливает цену на свои продукты в российских рублях, что более удобно при расчетах для российских организаций. При этом цена продуктов в таком случае не зависит от колебаний курсов доллара или евро. Другим преимуществом DLP-систем российского производства является то, что они созданы с учетом российской специфики и оптимизированы под российские бизнес-процессы. Третьим козырем из имеющихся в арсенале российских DLP является всесторонняя поддержка русского языка, что далеко не всегда могут предложить их западные конкуренты. Таким образом, российские системы защиты от утечек как минимум заслуживают того, чтобы с ними познакомиться.

"Дозор-Джет"

Компания "Инфосистемы Джет" является одним из старейших среди российских производителей средств защиты информации. DLP-система "Дозор-Джет", предлагаемая компанией, относится к системам с пассивным контролем пользователей и включает в себя два основных компонента: систему контроля Web-трафика (СКВТ) и систему мониторинга и архивирования почтовых сообщений (СМАП). Несмотря на отсутствие в списке некоторых поддерживаемых каналов передачи информации, популярных среди инсайдеров (принтеры, внешние носители информации), DLP-система "Дозор-Джет" будет интересна потенциальным клиентам возможностями по хранению перехваченных сообщений, отправленных и полученных по почте и через социальные сети. Такая база сообщений может оказаться совершенно неоценимой для последующего расследования инцидентов, связанных с утечками информации. Впрочем, справедливости ради стоит отметить, что подобная функциональность есть и во всех конкурирующих продуктах, однако при этом именно "Дозор-Джет" лучше других приспособлена для длительного хранения баз сообщений практически любых размеров.

InfoWatch

Решения, предлагаемые компанией InfoWatch, позволяют контролировать большее количество каналов передачи информации: электронную почту, HTTP, интернет-пейджеры, печать, внешние носители информации. При этом в отличие от средств с пассивным контролем действий пользователей, которые предназначены скорее для выявления инсайдеров, а не для предотвращения всех возможных утечек, DLP-система от InfoWatch относится к средствам с активным контролем. Это означает, что применять ее разумнее тем организациям, которые не хотят допустить даже минимальной утечки данных, связанной, например, с простой невнимательностью сотрудника, и при этом могут себе позволить простои или сбои в работе, связанные с блокировкой передаваемой информации. В арсенале InfoWatch есть мощный русскоязычный лингвистический модуль, позволяющий анализировать перехваченный текст; встроенное средство распознавания текста на перехваченных изображениях; взаимодействие с централизованным хранилищем конфиденциальных данных, предлагаемых той же компанией. Но есть и отрицательные стороны, заключающиеся в длительном и дорогостоящем процессе внедрения, включающем в себя покупку дополнительного программного обеспечения (Oracle) и требующем открытия доступа специалистам InfoWatch к защищаемым конфиденциальным документам. Стоит отметить, что для малого бизнеса у Info-Watch есть специальное решение Data Control, которое требует меньше времени и средств на развертку благодаря тому, что поставляется в виде программного обеспечения, предустановленного на сервер.

Perimetrix

Компания Perimetrix – сравнительно новый игрок на российском рынке DLP-систем, однако за время своего существования название компании успело стать одним из самых раскрученных брендов на российском рынке средств защиты от утечек информации. Решение компании под названием SafeSpace построено на основе концепции управления жизненным циклом конфиденциальных данных и ориентировано на использование прежде всего в крупных компаниях. SafeSpace включает в себя три компонента. Первый, SafeSto-re, – система первичной классификации документов и размещения документов, которая обеспечивает защиту конфиденциальных данных во время хранения. Второй компонент, SafeUse, представляет собой систему контроля использования конфиденциальных документов допущенными к ним сотрудниками. Наконец, третий компонент, SafeEdge, является системой мониторинга в режиме реального времени всех документов, покидающих сеть по протоколам SMTP, HTTP и ICQ, а также позволяет классифицировать входящие документы. Решение от Peri-metrix также относится к активным средствам предупреждения утечек. Продукты Perimet-rix продаются уже более года, сертифицированы во ФСТЭК, однако число внедрений не слишком велико. Может быть, из-за новизны, а может быть, в силу ориентированности на крупный бизнес, где проекты могут длиться годами.

SearchInform

"Контур информационной безопасности" от SearchInform также появился на рынке сравнительно недавно, хотя саму компанию-разработчика клиенты хорошо знают по корпоративным поисковым системам, предлагаемым ею. Именно поисковые технологии – главное преимущество решения от Search-Inform, которое относится к средствам защиты от утечек с пассивным контролем пользователя. Продвинутые механизмы поиска поддерживают множество различных вариантов обнаружения конфиденциальной информации в перехваченном трафике, однако все же наиболее интересной возможностью является "поиск похожих", что позволяет находить даже те документы, которые перед отправлением были существенно изменены инсайдерами. "Контур информационной безопасности" имеет модульную структуру, то есть модули, отвечающие за перехват информации по различным каналам, не зависят друг от друга и при покупке можно выбрать только те, которые нужны в вашем конкретном случае. Список контролируемых каналов, пожалуй, самый большой из всех российских DLP-систем: e-mail, HTTP, ICQ, MSN, Skype, внешние устройства, печать. Также "Контур информационной безопасности" позволяет отслеживать появление конфиденциальной информации на компьютерах пользователей. SearchInform также отличается от других российских производителей DLP и своей политикой по лицензированию продуктов: это едва ли не единственная компания, позволяющая рассчитать стоимость приобретаемых продуктов с помощью специального калькулятора на своем сайте. К минусам "Контура информационной безопасности" можно отнести отсутствие средств хранения конфиденциальных документов в зашифрованном виде и анализ перехваченных данных не в режиме реального времени, а только после индексации.

"Инфопериметр"

Компания "Инфооборона" также предлагает свое решение в области защиты от утечек данных. Вернее, данное решение предназначено для контроля активности сотрудников в рабочее время, однако среди прочего продукт позволяет и бороться с утечками информации. С точки зрения классификации "Инфопериметр" относится к системам с пассивным контролем действий пользователя, среди поддерживаемых каналов – электронная почта, HTTP, ICQ, внешние устройства. К сожалению, в связи с тем что предотвращение утечек информации – это побочный, а не основной функционал "Инфопе-риметра", возможности анализа перехваченного трафика достаточно ограничены и в подавляющем большинстве случаев утечки информации специалистам придется искать вручную. Впрочем, выявлять инсайдеров с помощью "Инфопериметра" все-таки можно. Так что если узнать, чем сотрудники занимаются в рабочее время, важнее, чем защититься от утечек информации, то "Инфопериметр" может оказаться удачным выбором.