.PNG)
1Что такое DLP-система
DLP (Data Loss Prevention) — это класс решений информационной безопасности, предназначенных для предотвращения утечек конфиденциальных данных из организации. DLP-система контролирует каналы передачи информации — электронную почту, мессенджеры, USB-накопители, облачные хранилища, принтеры — и блокирует или фиксирует попытки несанкционированной отправки данных за периметр компании.
Межсетевые экраны и антивирусы защищают от внешних угроз. DLP-система контролирует внутренние угрозы — действия сотрудников, подрядчиков и привилегированных пользователей. По данным InfoWatch, более 80% утечек данных в России происходят по вине инсайдеров — умышленно или по неосторожности.
2Как работает DLP-система
DLP-система анализирует информационные потоки в трёх состояниях данных:
Data in Motion — данные в движении
Контроль электронной почты, мессенджеров, веб-трафика, FTP. Система перехватывает и анализирует отправляемые файлы и сообщения в реальном времени.
Data at Rest — данные в хранении
Сканирование файловых серверов, рабочих станций, баз данных. DLP обнаруживает конфиденциальные документы в неположенных местах.
Data in Use — данные в использовании
Контроль операций с файлами на рабочей станции: копирование на USB, печать, скриншоты, буфер обмена.
Для обнаружения конфиденциальных данных DLP использует несколько технологий: регулярные выражения (номера паспортов, ИНН, карт), цифровые отпечатки документов (document fingerprinting), ключевые слова и словари, машинное обучение для классификации текста. Современные системы также анализируют изображения (OCR) и поведение пользователей (UEBA).
Режимы работы DLP
3Российские DLP-системы: сравнение
После ухода западных вендоров (Symantec, Forcepoint, Digital Guardian) российский рынок DLP сформировался вокруг нескольких ключевых игроков. Все перечисленные решения включены в реестр российского ПО и сертифицированы ФСТЭК.
| DLP-система | Вендор | Сильные стороны | Сегмент |
|---|---|---|---|
| InfoWatch Traffic Monitor | InfoWatch | Лидер рынка РФ, лингвистический анализ, UEBA-модуль | Средний и крупный бизнес |
| КИБ СёрчИнформ | SearchInform | Широкий охват каналов, контроль рабочего времени, доступная цена | СМБ и средний бизнес |
| Стахановец | Стахановец | Фокус на мониторинге сотрудников, скриншоты, кейлоггер, аудио | СМБ |
| Zecurion DLP | Zecurion | Гибридная архитектура, сильная endpoint-защита, IRM-модуль | Средний и крупный бизнес |
| Kaspersky Security для почтовых серверов + KATA | Лаборатория Касперского | Интеграция с экосистемой Kaspersky, контроль почтового трафика, антиAPT | Крупный бизнес |
Как выбрать DLP
4Интеграция DLP и SOC: почему это важно
DLP-система сама по себе генерирует огромное количество событий — тысячи в день даже в средней компании. Без профессионального анализа большинство инцидентов остаются без внимания, а ложные срабатывания отнимают время ИБ-специалистов. Интеграция DLP с центром мониторинга (SOC) решает эти проблемы:
Корреляция событий DLP с другими источниками
SOC сопоставляет события DLP с логами Active Directory, SIEM, EDR — и видит полную картину инцидента.
Приоритизация инцидентов
Аналитики SOC отделяют критичные утечки от ложных срабатываний, экономя время ИБ-отдела заказчика.
Быстрое реагирование 24/7
Утечки данных происходят не только в рабочее время. SOC обеспечивает круглосуточный контроль и оперативное реагирование.
Расследование инцидентов
SOC проводит forensic-анализ: восстанавливает цепочку действий сотрудника, формирует доказательную базу для юридических действий.
Факт
78% утечек обнаруживаются спустя месяцы
Без профессионального мониторинга DLP-событий компании узнают об утечке, когда данные уже на чёрном рынке
5DLP и законодательство: когда система обязательна
Формально DLP-система — не обязательное требование закона. Однако ряд нормативных актов фактически делают её необходимой:
152-ФЗ «О персональных данных»
Оператор обязан принимать меры для предотвращения несанкционированного доступа к ПДн. DLP — один из основных инструментов.
Приказ ФСТЭК №21
Требует мер по контролю содержимого информации, передаваемой из информационной системы (мера ОЦЛ.5).
Приказ ФСТЭК №17 (ГИС)
Для государственных информационных систем контроль утечек данных обязателен для 1 и 2 класса защищённости.
Оборотные штрафы с 2025 года
Штрафы за утечку ПДн до 3% выручки компании. DLP становится экономически обоснованной инвестицией.
6Как КРЕДО-С помогает с защитой от утечек
КРЕДО-С мониторит DLP-события в SOC-центре. Мы не продаём DLP-систему — мы обеспечиваем её работу: подключаем события DLP к SIEM, настраиваем правила корреляции, круглосуточно анализируем инциденты и готовим отчётность для руководства и регуляторов.
24/7
Мониторинг
DLP-событий
<30м
Реагирование
на критичный инцидент
5+
DLP-систем
поддерживаем интеграцию
от 50K
₽/мес
стоимость мониторинга
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Елисеев
Специалист по информационной безопасности
С 2024 года специализируется на комплексных аудитах ИБ. Реализованные проекты: защита персональных данных в МФЦ МО, безопасность в банковской сфере, соответствие требованиям 152-ФЗ.