Контроль утечек информации в корпоративной сети компании с применением DLP InfoWatch

Этап 1. Выявление всех концепций или результатов, которыедолжны быть получены в конечном итоге. Данный этап включает проведения анализа состояния защищенности системы, подбор возможных решений по совершенствованию.Этап 2. Выявление факторов, оказывающих наибольшее влияние на функционирование системы информационной безопасностиЭтап 3. Выявление ключевых факторов, используемых для проведения экспертной оценки системы защиты информацииЭтап 4. Поиск полного набора терминологии, описывающего область защиты информацииЭтап 5. Выявление полного набора свойств объектов системы.Этап 6 Удаление неиспользуемые соединений и объектов, обсуждение структуры с экспертами и, при необходимости, возврат к этапам 1-6.Концептуальная модель базы данных - это своего рода визуальная диаграмма, которая рисуется в принятых обозначениях и подробно показывает взаимосвязь между объектами и их свойствами. Создается концептуальная модель для дальнейшего проектирования и перевода баз данных, например, в реляционную базу данных. В концептуальной модели взаимосвязи между объектами данных и их свойствами описываются визуально удобным способом.Первым шагом в процессе проектирования базы данных является создание концептуальной модели данных для анализируемой части компании.Проектирование сложных баз данных с большим количеством атрибутов.Этот подход начинается с разработки моделей данных, содержащих различные высокоуровневые сущности и взаимосвязи, затем работа продолжается в форме серии первоклассных улучшенийВыводы по разделуВ рамках анализа структуры информационной системы консалтинговой компании было показано, что в качестве объектов защиты выступают персональные данные работников, сведения о клиентах, документация в области предоставления услуг консалтинга. Недостатки организации системы защиты информации консалтинговой компании от утечек связаны с отсутствием контроля активности пользователей при использовании программных и аппаратных средств. В рамках построенной модели угроз определены актуальные угрозы, связанные с возможностью утечек и несанкционированного копирования данных.В качестве мер по обеспечению защиты от угроз предложено внедрение DLP-системы.Глава 3 Организация мероприятий по внедрению DLP-системы в кредитно-финансовой организацииАннотацияПроведено описание технологии защиты от утечек, описана архитектура DLP-систем, проведен анализ рынка систем данного класса, описана система InfoWatch. Далее проведен расчет стоимости проектных решений, оценены факторы экономической эффективности.3.1Анализ рынка DLP-системОбъем трафика, циркулирующего в информационной системе компании, определяет выбор настроек режима анализа передаваемых файлов. В процессе внедрения системы DLP необходимо определить, в каком случае эффективно использовать активный режим мониторинга, а в каком случае - пассивный. При использовании активного режима работы DLP система ставится в режим разрыва всего проходящего через границы сети трафика и далее блокирует файлы с обнаруженными признаками передачи конфиденциальных сведений. Пассивный режим предполагает отправку предупреждений пользователей о выявлении запрещенной передачи сведений без блокировки данных [16].В смешанном режиме мониторинг трафика проводится в режиме реального времени, но блокировка передачи производится только в случае, когда критериев запрета в переданном материале набрано определенное количество и он наверняка содержит запрещенный к передаче контент.Далее проведен обзор функционала наиболее распространенных DLP-систем.Система ZecurionZgateосуществляет мониторинг сетевого трафика в целях анализа вероятности утечек (случайных отправок, пересылок, потерь, краж) файлов, содержащих конфиденциальныесведения. Даннаясистемаотносится к классу IPC / DLP-технологий и обеспечивает возможностимониторинга трафика по протоколамHTTPS-, HTTP-, SMTP-, FTP. Поиск и блокирование передачи трафика в ZecurionZgateпроизводится с применениемалгоритмов детектирования, включающих проведение лингвистического анализа, поиска по сигнатурам, регулярным выражениям, анализа «цифровых отпечатков», алгоритмов Байеса и собственных технологий. В системе ZecurionZlockобеспечиваетсязащита от утечек защищаемых данныхчерез технологииуправления правами доступа сотрудников к внутренним и внешним устройствам компьютеров, а также мониторинг использования сетевых и локальных принтеров и сканеров. Система относится к классу IPC / DLP-систем и обеспечивает возможностиархивирования распечатываемых на принтере документов и файлов, записываемых на USB-, DVD-, CD-носителях и на других устройствах.Программное решение на базе ПО производителя InfoWatchTrafficMonitor 7.3КИБ (Контур Информационной Безопасности) имеет модульную архитектуру, предоставляя возможность подключения только необходимых пользователю компонентов. Функционирование данного ПО обеспечивается на следующих платформах:- EndpointSniffer, в которой осуществляется перехват всего объема передаваемого трафикас использованием встроенных агентских модулей на уровне пользовательских рабочих станций;- NetworkSniffer, в которой осуществляется перехват всего объема передаваемого трафика с использованием сетевого оборудования.В перечисленных случаях данные перехватываются незаметно для пользователя, не происходит блокировки отправляемых и получаемых данных. КИБ реализовывает контроль и протоколирование (в том числе теневое копирование) доступа пользователей к сетевым протоколам, портам ввода-вывода и периферийным устройствам. Для данного ПО реализована интеграция с доменной структурой Windows, предоставляющая возможность:выяснить, под учетной записью которого пользователя и с какого ПК отправляется извне конфиденциальная информация;постоянно или временно исключить из мониторинга этого либо другого доменного пользователя;- разграничения прав доступа персонала службы безопасности предприятия таким образом, чтобы каждого из них имелся доступ к конкретной части перехваченной информации в рамках своей компетенции.Система SecureTowerобеспечивает функции защиты данных от утечек через контроль действий сотрудников в рамках их работы с программными средствами. кроме стандартных функций DLP-системы реализован сервис контролямобильных устройств, которые могут использоваться за пределами контролируемой зоны. Вседанные, передаваемые с мобильных устройств перехватываются и фиксируются полностью и после подключения портативных устройств к корпоративной сети отправляются для анализа. 3.2Выбор DLP-системы для организации защиты конфиденциальной информации от утечек в консалтинговой компании на основе разработанного научно-методического аппарата использования DLP-системыВ таблице 8 приведено сравнение технических возможностей DLP систем.Таблица 8 - Сравнение технических возможностей DLP системПроизводительSecurlTInfoWatchTrafficMonitor 7.3FalconGazeНаименование системыZGateКИБSecureTowerМодульность системыРеализованоРеализованоОтсутствуетМесто развертыванияСерверная частьZLock на рабочую станцию клиента Клиент-серверная архитектураКлиент-серверная архитектураТип лицензированияПо количеству почтовых ящиков, рабочих местПо количеству рабочих местПо количеству рабочих местРолиФиксированное количествоФиксированное количествоСпециалист по защите информации / ПользовательСервис контроля IMРеализованоРеализованоРеализованоСервис контроляпротоколовHttp / https, ftpРеализованоРеализованоРеализованоСервис контроля SkypeРеализованоРеализованоРеализованоСервис контроляэлектронной почтыРеализованоРеализованоРеализованоБлоги и соц. сети РеализованоРеализованоРеализованоСервис контроля внешних устройствПри покупке ZlockРеализованоОтсутствуетСервис контроля портовCOM, USB, LPT, Bluetooth, WiFiLPT, USBLPT, USBБлокировка протоколовHTTP, HTTPS, SMTP, OSCAR, IMSMTP, POP3, MAPI, IMAP, HTTP, FTP, IMHTTP, HTTPS, FTP, FTTPS, всяпочтаи IMМодуль анализа по словарюРеализованоРеализованоРеализованоМодуль лингвистического анализРеализованоРеализованоРеализованоМодуль анализа транслитаРеализованоn / an / aМодуль анализа архивовРеализованоРеализованоРеализованоМодуль анализаизображенийРеализованоРеализованоОтсутствуетРабота со стандартными шаблонами фильтрацииРеализованоРеализованоРеализованоЗадержка при попытке отправки подозрительных сообщенийРеализовано, ОБ принимает решениеn / aНет, только информирование офицера ИБПротоколирование действий администраторов системыРеализованоn / aВ случае установки агента на ПК администратораРежим установки агентовоткрытыйn / aТайный / ОткрытыйЗащита агентов от отключенияРеализованоРеализованоРеализованоСохранение протоколов в локальное хранилищеРеализованоРеализованоРеализованоПросмотр истории инцидентовРеализованоРеализованоРеализованоРежимы уведомленийКонсоль, графики, почтаКонсоль, графики, почтаКонсоль, графики, почтаОпираясь на технические характеристики DLP-систем, возможны следующие методы обеспечении ИБ.Таблица 9 – Подходы к реализации DLP-системНа основе сравнений технических свойств осмотренных DLP систем была проведена разработка таблицы влияния систем предотвращения утечки информации на модели обеспечения информационной безопасности. Результаты приведены в таблице 10.Таблица 10 - Влияние DLP систем на модели УИБSecurlTInfoWatchTrafficMonitor 7.3FalconGazeНаименование DLP-системыZGateКИБSecureTowerУчет ролей пользователейДаДаДаМониторинг использованияWeb-протоколовДаДаДаВозможность блокированияданных с признаками утечки данныхДаДаНетМониторинг копирования данных на внешние устройстваДаДаНетМониторинг использования внешних портовДаДаДаПротоколирование событий с признаками инцидентов информационной безопасностиДаДаДаПротоколирование действий администратораДаНетДа/НетРабота с журналами операционной системы на рабочих станциях пользователейДаДаДаПротоколирование запрещенных действий пользователейДаДаДаС помощью метода анализа иерархий проведем выбор DLP-системы в условиях консалтинговой компании.Оценочные параметры по критериям [20]:Рисунок – Критерии оценивания уровня реализации рисковТаблица 11 - Матрица иерархий по критериям, значимым для консалтинговой компанииФункциональностьСовместимостьСтоимость лицензииБыстродействиеПростота в разработке ПОФункциональность13535Совместимость 0.331533Стоимость лицензии0.20.2130.33Быстродействие0.330.20.3313Простота в разработке ПО0.20.3330.331Втаблице 12 приведены результаты нормализации критериев.Таблица 12 - Результат нормализации Функцио-нальностьСовместимостьСтоимость лицензииБыстродействиеПростота в разработке ПО  ВесФункциональность0.490.630.350.290.412.160.43Совместимость 0.160.210.350.290.241.250.25Стоимость лицензии0.100.040.070.290.030.530.11Быстродействие0.160.040.020.100.240.570.12Простота в разработке ПО0.100.070.210.030.080.490.09Как показано в таблице 9, наиболее значимыми критериями являются функциональность и совместимость с ИТ-инфраструктурой консалтинговой компании. Сравнение средств разработки по каждому из критериев для систем:InfoWatch Traffic Monitor 7.3;SecureTower;Dcrypt 1.0 v.2.Далее проведем сравнение сред разработки по каждому из критериев.Таблица 13 - Сравнение характеристик по критерию «Функциональность»ФункциональностьInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeInfoWatchTrafficMonitor 7.3133SecureTower0.3313FalconGaze0.330.331Таблица 14 - Сравнение характеристик по критерию «Совместимость»СовместимостьInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeInfoWatchTrafficMonitor 7.3135SecureTower0.3313FalconGaze0.20.331Таблица 15 - Нормализация характеристик по критерию «Функциональность»ФункциональностьInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeНормаInfoWatchTrafficMonitor 7.30.6110.6930.431.7240.57SecureTower0.1990.2310.430.8580.28FalconGaze0.1990.0770.140.4180.15Таблица 16 - Нормализация характеристик по критерию «Совместимость»СовместимостьInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeНормаInfoWatchTrafficMonitor0.600.690.712.010.63SecureTower0.200.230.430.860.27FalconGaze0.120.080.140.340.1Таблица 17 - Сравнение характеристик по критерию «Стоимость лицензии»Стоимость лицензииInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeInfoWatchTrafficMonitor 7.310.113SecureTower919FalconGaze0.330.331Таблица 18 - Сравнение характеристик по критерию «Быстродействие»БыстродействиеInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeInfoWatchTrafficMonitor 7.3135SecureTower0.3315FalconGaze0.20.21Таблица 19 - Нормализация характеристик по критерию «Стоимость лицензии»Стоимость лицензииInfoWatchTrafficMonitor 7.3SecureTowerFalconGaze  НормаInfoWatchTrafficMonitor 7.30.600.030.431.060.13SecureTower5.420.231.296.940.82FalconGaze0.200.080.140.420.05Таблица 20 - Нормализация характеристик по критерию «Быстродействие»БыстродействиеInfoWatchTrafficMonitor 7.3SecureTowerFalconGaze  НормаInfoWatchTrafficMonitor 7.30.600.690.712.010.58SecureTower0.200.230.711.140.33FalconGaze0.120.050.140.310.09Таблица 21 - Сравнение характеристик по критерию «Простота в разработке ПО»Простота в разработке ПОInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeInfoWatchTrafficMonitor 7.310.20.33SecureTower513FalconGaze30.331Таблица 22 - Нормализация характеристик по критерию «Быстродействие»Простота в разработке ПОInfoWatchTrafficMonitor 7.3SecureTowerFalconGaze  НормаInfoWatchTrafficMonitor 7.30.600.050.050.700.11SecureTower3.010.230.433.670.57FalconGaze1.810.080.142.030.32В таблице 23 приведена итоговая таблица сравнения DLP-систем.Таблица 23 - Итоговая таблица сравнения DLP-систем ВесInfoWatchTrafficMonitor 7.3SecureTowerFalconGazeФункциональность0.430.2490.1240.060Совместимость0.250.1570.0670.027Стоимость лицензии0.110.0130.0870.005Быстродействие0.110.0660.0370.010Простота в разработке ПО0.100.0110.0560.031Итого 0.4950.3710.133Таким образом, по итогам проведённого анализа показано, что предпочтительным решением для разработки информационной системы является система «InfoWatchTrafficMonitor 7.3», так как данная среда по большинству показателей набирает наибольший балл.По результатам сравнительного анализа рассмотренных программных решений показано, что использование DLP-системобеспечивает значительное сокращений возможностейуспешной реализации угроз, связанных с действиямисотрудников, включающих:- передачуконфиденциальных сведенийчерезканалы электронной почты;- несанкционированную передачуданных во внешнюю сеть;- передачу нешифрованных данныхза пределы контролируемой зоны;- запись данных на неучтенные носители информации;- несанкционированную распечатку документов, содержащих конфиденциальные сведения;- несанкционированное копирование данных.В качестве оптимального решения для внедрения в работу консалтинговой компании выбрана DLP-система InfoWatchTrafficMonitor 7.3.Система сертифицирована до 31.05.2027. На рис.11 приведенасхема архитектурыDLP-системы.Рисунок –Схема архитектуры DLP-системыInfoWatchTrafficMonitor 7.3На рис.12 приведён режим управления инцидентами.Рисунок –Режим управления инцидентами DLP-системыInfoWatchTrafficMonitor 7.3На рис.13 приведён режим загрузки данных в модуль «Антилингвист».Рисунок 13 – Режим загрузки данных в модуль «Антилингвист»В системе реализованы интеллектуальные модули, позволяющие выявлять признаки утечек конфиденциальной информации. На рис.14 приведен режим обучения выборки.Рисунок – Режим обучения выборкиРежим перехвата данных приведен на рис.15.Рисунок – Режим перехвата данных3.3 Подходы к внедрению DLP-систем в консалтинговой компанииПроведение оценки общего уровня риска осуществлялось с использованием соотношения: R=C*U*V, где С – уровень ценности информационного актива, U – степень уязвимости, V – вероятность угрозы [11].Если при расчете получено значение выше 26, то степень уровень считается высокой. При нахождении рассчитанного значения риска в интервале от 13 до 25, риск рассматривается как средний, при меньших значениях – считается низким. Оценка степени риска в существующей системе без внедрения предложений, сформулированных в данной работе, приведена в таблице 24.Таблица 24 - Оценка степени риска в существующей системе защиты информации Объект защитыУгроза№ в базе ФСТЭКCUVRОценка рискаКоммерческая тайна в системе "Учет договоров"Угроза несанкционированного копирования защищаемой информации08833424СредняяУгроза утраты носителей информации15633636ВысокаяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации16033424СредняяУгроза нецелевого использования вычислительных ресурсов средства вычислительной техники20833424СредняяПерсональные данные сотрудников в ИС «1С: Зарплата и управление персоналом»Угроза несанкционированного восстановления удалённой защищаемой информации07123636ВысокаяУгроза несанкционированного копирования защищаемой информации08823742ВысокаяУгроза утраты носителей информации15623742ВысокаяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации16023742ВысокаяУгроза нецелевого использования вычислительных ресурсов средства вычислительной техники20834560ВысокаяДалее проведена оценка рисков, связанных с утечками конфиденциальных сведений после внедрения DLP-системы (таблица 25).Таблица 25 - Оценка рисков, связанных с утечками информации после внедрения защитных мерОбъект защитыRУгроза№ в базе ФСТЭКПланируемые мерыC2U2V2R2Оценка рискаКоммерческая тайна в системе "Учет договоров"30Угроза несанкционированного копирования защищаемой информации088Внедрение системы Secur IT3319Низкая36Угроза утраты носителей информации156Внедрение системы Secur IT33218Средняя24Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации160Внедрение системы Secur IT3319Низкая24Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники208Внедрение системы Secur IT33218СредняяПерсональные данные сотрудников в ИС «1С: Зарплата и управление персоналом»36Угроза несанкционированного восстановления удалённой защищаемой информации071Внедрение системы Secur IT2316Низкая42Угроза несанкционированного копирования защищаемой информации088Внедрение системы Secur IT2316Низкая42Угроза утраты носителей информации156Внедрение системы Secur IT23212Низкая42Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации160Внедрение системы Secur IT2316Низкая60Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники208Внедрение системы Secur IT34336ВысокаяПроведенные расчеты показывают, что при внедрении предложений по внедрению системы DLP на платформе SecurIT вероятность реализации рисков инцидентов информационной безопасности снижается [12]. Диаграмма снижения рисков утечек ПДн приведена на рис.16.Рисунок - Снижение уровня риска утечек конфиденциальной информации при внедрении системы3.4 Оценка экономической эффективности внедрения DLP-системы на основе разработанного научно-методического аппарата использования DLP-системыМетодом экспертных оценок проведён расчет сокращения ожидаемого ущерба от реализации угроз информационной безопасности.Таблица 26 - Характеристики экспертных оценок по расчету ущерба, связанного с инцидентами информационной безопасностиВопросЭксперты12345Стоимость ущерба от утечек ПДн ИС «Консалтинг», млн.руб.10910810Вероятность утечек ПДн ИС «Консалтинг», млн.руб.в отсутствие внедрения DLP0,050,050,040,050,03Ожидаемая величина ущерба от утечек ПДн ИС «Консалтинг», млн.руб.0,50,450,40,40,3Стоимость ущерба от утечек конфиденциальных данных ИС «Документооборот», млн.руб.2020252020Вероятность утечек конфиденциальных данных ИС «Документооборот»в отсутствие внедрения DLP0,050,050,050,040,05Ожидаемая величина ущерба от утечек конфиденциальных данных ИС «Документооборот», млн.руб.111,250,81Стоимость ущерба от утечек ПДн ИС «Учет заработной платы», млн.руб.23342Вероятность утечек ПДн ИС «Учет заработной платы», млн.руб.в отсутствие внедрения криптосистемы0,040,050,050,040,05Ожидаемая величина ущерба от утечек ПДн ИС «Учет заработной платы», млн.руб.0,080,150,150,160,1Общая величина ожидаемого ущерба от утечек ПДн в отсутствие внедрения DLP1.581.61.81.361.4Средняя ожидаемая величина ущерба от утечек ПДн составляет 1,55 млн.руб.Далее проведем оценку стоимости реализации проекта.Стоимость приобретаемого аппаратного обеспечения составит:лицензия на криптографическую систему: 15000руб.;сертифицированные ключи (10 шт.): 25000 руб. Итого стоимость оборудования и программного обеспечения составила 40000руб.Далее приведен расчет стоимости мероприятий по внедрению системы.1. Величина затрат на электроэнергию определяется из соотношения:,(4)где Р – показатели мощности компьютерного оборудования, кВт/ч;Цэл– тариф за 1 кВт/ч, руб.;Ти – время использования оборудования при проведении работ, ч.Оценка потребляемой мощности компьютерного оборудования составляет 500 Вт. Время использования компьютерного оборудования в рамках реализации проекта – 40 дн. по 8 часов. Тариф за электроэнергию примем равным 5,5 руб. Мощностью использования принтера пренебрегаем, т.к. большую часть времени он находится в спящем режиме.Зэл = 0,5*5,5*40*8 = 880 руб.2. Затраты на оплату труда включают зарплату основную (Зосн) и зарплату дополнительную (Здоп).Расчет основной зарплатыпроизводится исходя из оклада программистов и продолжительности выполнения работ.Месячный оклад разработчика составляет 45000руб.Количество специалистов – 2, продолжительность работы – 40 дней. Количество рабочих дней в месяце – 22.Таким образом, величина оплаты труда составляет:Расчет дополнительной зарплаты производится как 15% от оклада, тогда:Здоп = 0,15*163363 = 24545 руб.Фонд оплаты труда составит:Фзп = Зосн + Здоп = 163636 + 24545 = 188181 руб.3. Амортизационные отчисленияРасчет амортизационных отчислений производится из соотношения:,(5)где Фперв –стоимость используемого при разработке оборудования; Ти – длительность использования оборудования в процессе создания системы; На – норма амортизации;Фэф – годовой эффективный фонд времени работы оборудования, для односменной работы он составляет Фэф = 360 дней.,(6)где Тпи – срок полезного использования, лет;Время работы на ПЭВМ составляет 40 дней. Срок службы компьютера – 5 лет,значение нормы амортизации:На = 1 / 5 = 0,2Проведем расчет амортизационных отчислений, исходя из стоимости используемого компьютера в 55000руб.:Общие прямые затраты составят следующую сумму:Зпрям = 3м+ Фзп + Анир= 880+ 188181+ 1222 = 190283 руб.4. Прочие расходы:Расчет отчислений с фонда оплаты труда 188181*0,3=56454руб.:Прочие расходы на разработку составляют 20% от прямых затрат:190283*0,2=38056руб.Итого прочие расходы составят: Зпр = 56454+38056=94510руб.Общие расходы на создание системы:З = 94510 + 190283 = 284793 руб.Далее проведем расчет затрат на научно-исследовательскую разработку, включающих сумму прибыли (30% сметы) и НДС (20% от суммы сметы и прибыли).Пр=0,3*284793=85437 руб.НДС = 0,2*(85437+284793) =74076.Общая стоимость проекта составит:Ц = 284793 + 85437 + 74076 + 40000 = 484276 руб.В экономическом разделе были проведены расчеты экономической составляющей выпускной квалификационной работы. На рисунке 17 приведено сравнение ожидаемой величины ущерба от утечек данных и стоимости мероприятий по защите информации.Рисунок - Сравнение ожидаемой величины ущерба от утечек конфиденциальной информации и стоимости мероприятий по защите информацииИз этого следует, что предложенная система является экономически оправданной и может быть рекомендована к внедрению в условиях консалтинговой компании. Выводы по разделуВ практической части работы проведён выбор оптимального решения на платформе DLP, обеспечивающего возможности защиты от угроз, связанных с действиями пользователей. В качестве оптимальной платформы выбрана система InfoWatch. С помощью риск-ориентированного подхода проведена оценка эффективности предложенных мер. Показано, что при внедрении системы ожидаемый уровень рисков информационной безопасности снижается в 7 раз. ЗАКЛЮЧЕНИЕВ рамках данной работы проведена реализация проекта внедрения DLP-системы в деятельность консалтинговой компании. Проведено решение задач:анализ требований к обеспечению защищенности организации от утечек конфиденциальной информации;разработка научно-методического аппарата использования DLP-системы в консалтинговых компаниях;организация мероприятий по внедрению DLP-системы в кредитно-финансовой организации.В условиях корпоративных систем, имеющих сложную структуру, в которых осуществляется обработка больших массивов конфиденциальных сведений, актуальными являются задачи обеспечения защиты от угроз, связанных с действиями сотрудников. Одним из эффективных инструментов мониторинга активности пользователей являются DLP-системы.Функционал DLP-систем включает проведение анализа активности пользовательских учетных записей, выявление фактов нарушения требований по обеспечению защиты информации. В аналитической части работы проведён анализ системы защиты информации в условиях оптовой компании консалтинговой компании, определен перечень актуальных угроз, защищаемых информационных ресурсов, определены источники угроз и их актуальность.В практической части работы проведен анализ функционала программных решений, осуществляющих мониторинг инцидентов информационной безопасности, связанных с утечками конфиденциальной информации, проведен анализ основных задач, решаемых с использованием DLP-системам, проведен их сравнительный анализ. Основываясь на функциональных возможностях DLP-систем, и реализованных технологиях обеспечении защиты от утечек, следует что использование DLP-систем в информационных системах предприятийсоздает возможности решения следующих задач:фильтрации исходящеготрафикас использованием регулярных выражений, ключевых слов, являющихся признаками передачи защищаемых данных;установки грифов конфиденциальности на документации,представленной в электронном формате и мониторинг жизненного цикла документов;мониторинга процессов обработки конфиденциальных данных, ведение протоколов действий пользователей;мониторинга активности, связанной с подключением внешних носителей информации;анализа данных, которые хранятся на пользовательских рабочих станциях вне контролируемой зоны;управления политиками и событиями в общей консоли;анализа протоколов различных систем безопасности в унифицированном виде и обнаружение аномальных активностей со стороны персонала и внешних злоумышленников;контроля доступа пользователей к ПК и информационным системам с дополнительными компонентами контроля;использования разветвленной системы разграничения прав доступа к ресурсам, содержащим конфиденциальныесведения.По итогам анализа функционала DLP-систем в качестве оптимального решения для использования в условиях консалтинговой компании выбрана система InfoWatch. С помощью риск-ориентированного подхода показано, что уровень рисков утечки данных при внедрении системы снижается в 7 раз.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВБаза данных угроз ФСТЭК. [Электронный ресурс]. Режим доступа: https://bdu.fstec.ru/threat (дата доступа: 27.11.2021)Клименко И. С. Информационная безопасность и защита информации: модели и методы управления: монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178с.Бондарев, В. В. Введение в информационную безопасность автоматизированных систем : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2018. - 250 с.Солодянников А. В. Комплексная система защиты объектов информатизации: учебное пособие / А. В. Солодянников. - Санкт-Петербург: Изд-во Санкт-Петербургского государственного экономического университета, 2017. - 91 с. Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178 с.Чекулаева Е. Н., Кубашева Е. С. Управление информационной безопасностью : учебное пособие / Е. Н. Чекулаева, Е. С. Кубашева. - Йошкар-Ола: Поволжский государственный технологический университет, 2020. - 153 с.Алексеев А. П. Многоуровневая защита информации: монография / А. П. Алексеев. - Самара : ПГУТИ, 2017. - 128 с.Благодаров, А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев, В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Язов Ю. К., Соловьев С. В. Организация защиты информации в информационных системах от несанкционированного доступа : [монография] / Ю. К. Язов, С. В. Соловьев. - Воронеж: Кварта, 2018. - 588 с. Марков А. С. Техническая защита информации: курс лекций: учебное пособие / Марков А.С. - Москва : Изд-во АИСНТ, 2020. – 233с.Королев, Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова, Е. М. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017. – 342 с.Камалова Г. Г. Юридическая ответственность за нарушение конфиденциальности информации: монография / Камалова ГульфияГафиятовна. - Саратов :Амирит, 2019. - 160 с.Никифоров, С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сБелов, Е. Б. Организационно-правовое обеспечение информационной безопасности: учебник / Е.Б. Белов, В.Н. Пржегорлинский. - 2-е изд., испр. и доп. - Москва: Академия, 2020. – 332с.Ревнивых, А. В. Информационная безопасность в организациях: учебное пособие / А. В. Ревнивых. - Новосибирск: НГУЭУ, 2018. - 83 с.Щеглов А. Ю.  Защита информации: основы теории : учебник для вузов / А. Ю. Щеглов, К. А. Щеглов. — Москва : Издательство Юрайт, 2022. — 309 с. Зенков А. В.  Информационная безопасность и защита информации : учебное пособие для вузов / А. В. Зенков. — Москва : Издательство Юрайт, 2022. — 104 с. Васильева И. Н.  Криптографические методы защиты информации : учебник и практикум для вузов / И. Н. Васильева. — Москва : Издательство Юрайт, 2022. — 349 с. Казарин О. В.  Программно-аппаратные средства защиты информации. Защита программного обеспечения : учебник и практикум для вузов / О. В. Казарин, А. С. Забабурин. — Москва : Издательство Юрайт, 2022. — 312 с.