Журнал "Information Security/ Информационная безопасность" #3, 2018

зашифрованном виде вплоть до момента печати; разграничение доступа к принтерам на персо- нальной основе; вывод документа на печать только после того, как его инициатор аутентифициро- вался локально; гарантированное удаление копий документов с принтеров после их печати; цент- рализованную регистрацию собы- тий печати и сохранение элек- тронных копий отпечатанных документов в базе данных для целей анализа и аудита. Однако использование в орга- низации одного или нескольких из перечисленных решений и технологий вовсе не означает, что проблема защиты информа- ции при печати в корпоративной среде полностью решена. Помимо защиты процесса печати следует решать и другие задачи – прежде всего контроль доступа к принтерам для исклю- чения и отслеживания попыток неавторизованной печати доку- ментов, например когда пользо- ватель печатает документы в результате несанкционирован- ного доступа к информации, с превышением своих служебных полномочий или после ошибки других сотрудников. Другой кейс – печать документов в режиме Home Office, на личной технике, или в офисе на неподконтроль- ных локальных или сетевых принтерах. Вышеперечисленные технологии защищенной цент- рализованной сетевой печати документов не обеспечивают реального контроля за доступом пользователей к локальным принтерам. С точки зрения кор- поративной ИБ – это, по сути, означает наличие неконтроли- руемого канала утечки инфор- мации при печати документов, когда максимум, что доступно, – зафиксировать факт печати, но без возможности выяснить, что именно печаталось, не говоря уже о заблокировке процесса печати и тем самым предотвра- щении утечки данных. Системы мониторинга пользовательской активности тоже в лучшем слу- чае могут зафиксировать, что пользователь отправил на печать некий документ. Все вышена- званные проблемы относятся к категории защиты данных от утечки и решаются с помощью специализированных DLP- систем. Вопрос только в том, как решаются. Допустим, извест- на уязвимость в некоторых DLP- системах, когда пользователь может бесконтрольно печатать данные, не сохраненные в виде файла на жестком диске (напри- мер, новый документ Office с содержимым из буфера обмена, созданный без сохранения в файл). Если используемая в организации DLP-система не обладает функцией контроля доступа к принтерам, не говоря уже об анализе содержимого печатаемых документов до момента вывода на печать, т.е. контентной фильтрации потока печатаемых данных, распечатать можно будет попросту все, что угодно, включая документы, содержащие секретную инфор- мацию, и дальше останется толь- ко надеяться, что бумажные копии еще не попали "куда не надо", и уповать на страх поль- зователей быть наказанными. Контроль канала печати в DeviceLock DLP – как не дать информации уйти через принтер Как же решать задачу контро- ля канала печати, чтобы эффек- тивно предотвращать утечки информации? Конечно, с помо- щью DeviceLock DLP. DeviceLock DLP Suite пред- отвращает утечки данных при печати документов, иницииро- ванной любым приложением и на любом принтере, с помощью универсальной технологии фильтрации содержимого спу- лера печати. При этом незави- симо от форматов печатаемых документов их теневые копии сохраняются в пригодном для полнотекстового поиска форма- те PDF. Благодаря высокой гиб- кости DLP-политик DeviceLock DLP позволяет поставить под строгий централизованный конт- роль использование любых (локальных не зависимых от интерфейса подключения, сете- вых, виртуальных, перенаправ- ленных в терминальную сессию) принтеров. Уникальная особенность DeviceLock DLP, кардинально отличающая его от конкурентных DLP-систем, – поддержка кон- тентной фильтрации для канала печати (и не только!), включая распознавание текста в графи- ческих изображениях, выполняе- мое в реальном времени. Анализ содержимого печатаемых доку- ментов позволяет детектировать совпадение текста документов с заданными словарями, регуляр- ными выражениями, цифровыми отпечатками контролируемых образцов, с анализом и учетом метаданных документов (тип, размер, автор и т.д.). Мониторинг без блокировки? Легко и в деталях Разумеется, наличие функции блокировки печати документов вовсе не означает, что она обя- зательно должна использоваться, это один из инструментов, кото- рыми обладает DeviceLock DLP. Вторая важнейшая для DLP- систем задача – мониторинг событий печати и сбор доказа- тельной базы для расследования инцидентов в области ИБ – также успешно решается. DeviceLock DLP протоколирует с очень высо- кой степенью детализации все связанные с процессами печати события и теневые копии послан- ных на печать документов, авто- матически сохраняя их для целей аудита в централизованной базе данных. Правила мониторинга задаются по тем же гибким прин- ципам, что и политика доступа к принтерам. Более того, благодаря механизмам контентного анализа в DeviceLock DLP есть возмож- ность, например, избежать поме- щения в архив теневых копий документов, содержащих персо- нальные данные сотрудников. Напомним также о возможно- сти оперативной реакции на инциденты, предоставляемой DeviceLock DLP, – служба ИБ может реагировать на критиче- ские события (по факту попытки доступа к принтерам, по факту срабатывания правила анализа содержимого печатаемого доку- мента) намного быстрее, нежели при работе с архивом теневых копий, благодаря функции тре- вожных оповещений в Device- Lock DLP. Важно отметить, что уникаль- ные функциональные и админи- стративные характеристики DeviceLock DLP по контролю печати документов с рабочих станций не конкурируют, а, напротив, гармонично дополняют другие решения по защите про- цессов централизованной сете- вой печати документов, что поз- воляет создавать комплексные системы обеспечения безопас- ности информации. l • 23 DLP www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 52 NM