DLP или не DLP?

DLP или не DLP?
Среди специалистов уже достаточно давно обсуждается, можно ли считать DLP-системой ту система, которая не поддерживает остановку конфиденциальных данных, но которая, тем не менее, предназначена для выявления инсайдеров в коллективе и предотвращения распространения ими конфиденциальной иноформации. Что ж, вопрос действительно непростой, и сколько экспертов, столько и мнений. Не претендуя на истину в последней инстанции, хочу поделиться рядом соображений.

Прежде всего, всё зависит от того, что мы вкладываем в термин DLP. Если руководствоваться наиболее распространенным его содержанием (Data Leak Prevention), то, казалось бы, системы без поддержки остановки данных, распознанных как конфиденциальные, не могут претендовать на это звание - какое же без остановки prevention-то? С другой стороны, нельзя и предотвращение понимать настолько однобоко: в широком смысле даже просто выявление инсайдеров является одним из мероприятий по предотвращению утечек информации, и в таком контексте DLP-система с отсутствием поддержки блокировки данных вполне имеет право на существование.
Но есть и другие, чуть меннее распространенные, варианты расшифровки аббревиатуры DLP - к примеру, Data Leakage Protection. При таком подходе к самому термину DLP-система можно говорить о том, что неблокирующие системы могут называться DLP с теми же основаниями, что и блокирующие. И поскольку единого стандарта термина DLP сегодня до сих пор нет, то такая точка зрения имеет гораздо больше оснований под собой, чем точка зрения тех, кто причисляет к DLP исключительно продукты с поддержкой блокировки.
На мой взгляд, всё-таки не стоит делать очень строгое лицо и говорить: "этот  продукт не относится к DLP-системам, потому что в нем нет поддержки остановки данных". Просто есть DLP-системы с активным контролем действий пользователя (неблокирующие) и системы с активным контролем (блокирующие). Это две разные философии в работе DLP-систем, о которых уже писал А.Ерощев, и нет поводов думать, что если одним компаниям больше подходит философия системы с поддержкой блокирования, то она в чем-то лучше философии неблокирующих систем. Мир прекрасен в своём разнообразии.
Р. Идов,
эксперт по информационной безопасности
Alt text

Кибервзлом может привести к настоящей войне, ИБ-службы должны больше думать об угрозах жизням людей, не все руководители понимают опасность шпионов-инсайдеров в нашем 25 выпуске Youtube новостей.

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.