По словам Дмитрия Устюжанина, в «ВымпелКоме» с использованием средств DLP еженедельно выявляют до 50 инцидентов, в отношении которых может быть возбуждена предварительная проверка службой безопасности В целом это мероприятие стало первым шагом в ходе подготовки к планируемой на осень второй конференции DLP Russia (про первую см. «Начали с концепции», Computerworld Россия, № 40, 2008).

По словам Ильи Шабанова, руководителя аналитического центра InfoWatch, разработчики технологий DLP (Data Leak Prevention — «предотвращение утечки данных») готовятся выпустить новое поколение продуктов, использующих гибридные методы классификации информации. Эти методы должны сочетать в себе несколько механизмов автоматической классификации данных, которые были бы применимы для всех видов информации. Объединение различных механизмов с помощью нечеткой логики позволит более точно классифицировать как уже известные системе документы, так и новые, только что созданные. Подобный продукт планирует выпустить осенью и InfoWatch.

Одна из серьезных проблем, стоящих перед разработчиками DLP, заключается в том, что каждый отдельный метод классификации хорошо работает только на определенном типе данных. К примеру, метки конфиденциальности и отпечатки известных документов хорошо классифицируют большие объемы данных, но не могут отследить пересказ ключевых сведений. Лингвистические же методы определения тематики информации и регулярные выражения могут зафиксировать передачу на сторону небольших по объему, но важных для информационной безопасности данных. Объединив эти методы анализа данных, можно добиться более точных результатов в автоматической классификации документов.

Следует также отметить, что современные DLP-решения являются самостоятельными продуктами, они блокируют передачу какой-либо информации на основе собственных наборов правил поведения. В то же время все чаще возникает необходимость коррелировать инциденты, связанные с утечками конфиденциальных данных, с другими событиями по информационной безопасности, такими как заражение вирусами, проникновение через межсетевые экраны и др. Поэтому сейчас происходит интеграция DLP-технологий в системы корреляционного анализа и решения для ситуационных центров по информационной безопасности.

DLP-продукты начинают использовать и для расследования инцидентов. По словам Дмитрия Устюжанина, начальника отдела информационной безопасности «ВымпелКома», в их компании еженедельно происходит до 50 инцидентов, в отношении которых может быть возбуждена предварительная проверка службой безопасности. Данные для таких проверок готовит отдел информационной безопасности с использованием установленной в компании DLP-системы. Если в результате проверки обнаруживается нарушение со стороны сотрудников «ВымпелКома», то проводится служебная проверка, к которой подключается отдел кадров и другие отделы. По результатам проверки к сотрудникам могут применить санкции и даже модифицировать бизнес-процессы самого «ВымпелКома» для предотвращения аналогичных проблем в будущем.

Технология автоматической классификации информации, которая используется в DLP, позволяет защитить не только от утечек информации, но и от других угроз, связанных с распространением информации. Эти системы могут, в частности, блокировать распространение слухов, выявлять нелояльных сотрудников, предотвращать сексуальные домогательства и оскорбления, а также защищать от других информационных угроз. Таким образом, спектр применения технологий DLP может быть расширенным и включать контроль любых нарушений корпоративной политики работы с информацией на предприятии. Впрочем, сами разработчики DLP-систем не торопятся менять концепцию своих продуктов и с настороженностью относятся к идее расширения области их применения.