Наиболее важные параметры выбора системы защиты от утечек (dlp)

Пример №5. Опасные увлечения

Обсуждения в корпоративном коммуникаторе эффекта от использования различных наркотических средств.

Проводился анализ коммуникаций сотрудников на предмет обсуждений, не связанных с рабочей деятельностью.

Была обнаружена переписка, где пара сотрудников делилась своим опытом употребления наркотиков, этот чат не попал в специальную категорию DLP по этой теме, так как в словаре отсутствовало упомянутое слово.

Данная пара сотрудников была поставлена на дополнительный мониторинг, и в течение пары недель были выявлены еще несколько чатов между ними на эту тему.

Все понимают, какие риски для компании несут противозаконные действия сотрудников, поэтому оперативное выявление таких элементов и их изоляция помогут избежать серьезных проблем.

DLP как сервис

Горький опыт нынешнего года показал, что терять прибыль из-за нерадивых (или злонамеренных) сотрудников владельцы компаний не хотят. Поэтому выявлять случаи утечек конфиденциальной информации интересно стало даже тем компаниям, которые раньше не хотели задумываться об этом. Как говорилось в одном известном фильме, хорошо бы нашим желаниям всегда совпадать с нашими возможностями, но в 2020 году в работу бизнеса вмешался кризис. Это дало новый импульс развитию темы аутсорсинга информационной безопасности, в том числе сопровождению систем DLP силами сторонней компании.

При этом все осознают, что затраты на приобретение DLP-систем могут быть не по карману даже крупной организации, готовой выделять бюджет на информационную безопасность. Тенденцией этого года стала подписочная модель покупки сервисов сопровождения DLP-систем, позволяющая сэкономить сразу по нескольким параметрам: первоначальные затраты на покупку системы, расходы на приобретение оборудования, необходимого для её инсталляции, и, конечно, экономия на человеческих ресурсах для работы с системой.

По своей сути такой сервис будет работать в режиме сходном с форматом работы SOC, поскольку компания, берущая на себя полноформатную техническую поддержку не только самой системы, но и инфраструктуры, призвана обеспечивать всю жизнедеятельность DLP-системы, а заказчик будет получать только результаты уже обработанных событий и принимать решение о проведении внутреннего расследования относительно конкретного сотрудника, допустившего нарушение.

Бизнес выбирает DLP-решения

Если вам нужна DLP-система, в которой по максимум реализованы все функции и возможности, характерные для решений этого класса, обратите внимание на Solar Dozor. Она подходит для использования в разных сферах, помогая владельцам бизнеса сохранить репутацию и обеспечить финансовую защиту

Это — эффективное оружие по борьбе с коррупцией в руках служб безопасности. Благодаря их возможностям можно быстро и продуктивно проводить расследование инцидентов и вырабатывать схемы по их предотвращению, управлять конфликтами интересов, выявлять факты получения взяток и вымогательства. Внутри организации или предприятия Solar Dozor применяется в рамках обеспечения собственной безопасности. С ее помощью выявляются нарушения охранного режима, компрометирующие связи, распространители слухов и инсайдеры. Службы внутреннего контроля используют продукт для наблюдения за реакцией сотрудников на приказы и распоряжения, исполнения решений, выявления фактов саботажа, оценки соответствия работников принятым в компании стандартам, регламентам и кодексам.

DLP-система Solar Dozor может работать в режиме мониторинга и блокирования утечек информации. Эта система:

·              контролирует информацию по большому количеству каналов (электронная почта, веб-почта, мессенджеры, Skype) и параллельно закрывает все потенциальные «воронки», через которые могут просочиться данные. Обеспечивается контроль веб-трафика, сообщений на форумах, публикаций в блогах и сайтах по поиску вакансий;

·              имеет несколько уникальных функций, например визуализирует данные, представляя их в виде тепловых карт коммуникаций или графа связей, позволяет буквально в несколько кликов получить подробный отчет по конкретному сотруднику, выявляет его круг общения и связи;

·              имеет мощный аналитический потенциал, ее инструменты помогают проводить объективные расследования инцидентов путем выявления косвенных признаков угроз. DLP-система Solar Dozor накапливает архив переписки сотрудников организации, формируют отчеты по активности персональных компьютеров.

Возможностей и перспектив применения DLP-систем, и Solar Dozor, в частности, очень много. За счет многофункциональности их можно использовать в разных сферах бизнеса, для обеспечения информационной безопасности.

С чем нужно работать

Перед запуском системы DLP в промышленную эксплуатацию мы обязаны определить, какая информация в компании является конфиденциальной, и зафиксировать это во внутренних нормативных документах, если этого не было сделано ранее.

Затем необходимо сформировать пакет документов, связанных с так называемой легализацией системы в компании, поскольку мы все понимаем, что без принятия обязывающих документов нам будет сложно привлечь сотрудников к ответственности в случае выявления инцидента.

Более того, консалтинговое (или, скорее, юридическое) сопровождение требуется не только в начале пути, но и на всех его этапах. Если мы всё же решим пойти до конца и подать на сотрудника в суд или обратиться в правоохранительные органы, нам также понадобится грамотно составить документы и впоследствии представлять интересы компании в этих органах.

Итак, фактически сопровождение нам требуется сразу по нескольким направлениям: техническое, аналитическое, юридическое. Без какого-либо из этих направлений система либо вовсе не будет работать, либо окажется для нас неэффективной. Получается, что аутсорсинговая компания, предоставляющая услуги по поддержке систем DLP, должна быть готова обеспечить работу по всем указанным направлениям.

Описание и назначение

Cистемы защиты от утечек конфиденциальной информации (DLP) — это системы, позволяющие в режиме реального времени производить мониторинг и блокирование входящих и исходящих сообщений сотрудников, отправки файлов на внешние носители, сетевые хранилища информации и веб-ресурсы, а также контроль голосовых и текстовых сообщений, передаваемых по протоколу SIP, с целью предотвращения утечки конфиденциальной информации.

DLP-системы являются программными средствами, которые могут анализировать потоки данных на границе защищаемого периметра, либо на рабочих станциях пользователей, и в зависимости от параметров могут блокировать несанкционированную передачу данных или записывать копию трафика для постанализа на случай проведения расследования возможной утечки.

Системы защиты от утечек конфиденциальной информации выполняют следующие задачи:

• Хранение копий конфиденциальной информации, передаваемой средствами электронной почты, мессенджеров и IP-телефонии, отправляемой на внешние носители и сетевые корпоративные и веб-ресурсы, с целью дальнейшего расследования инцидентов информационной безопасности в организации. 
• Блокирование передачи конфиденциальной и другой нежелательной информации за пределы компании.
• Блокирование передачи несоответствующей информации во внутренней сеть компании.
• Блокирование возможности использования сотрудниками ресурсов организации в личных целях.
• Поиск мест расположения несанкционированных копий конфиденциальной информации (поиск конфиденциальных данных).  
• Помимо этого, DLP-системы могут использоваться в качестве систем контроля действий сотрудников — контролировать их присутствие на рабочем месте, отслеживать их лояльность и благонадежность.

Как правило, системы защиты от утечек конфиденциальной информации состоят из следующих компонентов:

1. Сетевые компоненты. Они обычно размещаются на границе сети. Если DLP-система установлена в разрыв, то весь трафик организации проходит через такую систему, и она проводит его анализ в соответствии с настроенными правилами и политиками. В случае, когда риски компании при заблокированной отправке сообщения достаточно велики, DLP-системы не устанавливают в разрыв, а передают на нее трафик с прокси-сервера или сервера электронной почты. Таким образом, у администраторов безопасности всегда будет возможность просмотреть архивы сообщений и инцидентов, зарегистрированных системой.

2. Компоненты уровня хоста. Они обычно устанавливаются непосредственно на компьютеры сотрудников компании. Учитывая, что установка может производиться удаленно, пользователи могут не знать о том, что за их действиями ведется наблюдение. Однако при использовании возможности блокирования передачи данных DLP-системы могут показывать информационное окно с ошибкой в случае нарушения политик. Компоненты уровня хоста могут отслеживать копирование информации в буфер обмена, передачу данных через электронную почту, различные мессенджеры, отправку данных на внешние носители информации, а также отправку файлов и данных по протоколу HTTPS (например, на облачные хранилища информации)

Важной особенностью здесь является возможность анализа данных непосредственно до их отправления по шифрованному каналу связи, что в ряде случае является единственной возможностью для их перехвата

3. Модуль централизованного управления. Для того чтобы настроить DLP-систему, потребуется потратить много времени и проанализировать большое количество информации. Современные системы защиты от утечек позволяют использовать предустановленные словари для настройки контентной фильтрации. Такие словари могут содержать списки профессиональных терминов различных тематик (для отдела кадров, отдела информационной безопасности, различные финансовые и юридические термины), списки слов с нецензурной лексикой или нежелательных выражений, а также регулярные выражения для таких данных, как номера паспортов или номера кредитных карт.

Как правильно поставить задачу перед системой?

Для выбора системы DLP конкретного предприятия необходимо сначала определиться с уровнем конфиденциальности имеющейся информаци и её объёмом. Не мало важную роль имеет и оценка административных ограничений и способов хранения и передачи информации внутри компании.

А также анализ каналов возможных её утечек.

Итак, по порядку.

Для предприятий, в процессе деятельности которых, используются сведения, содержащие государственную или другую информацию повышенной конфиденциальности, целесообразно использовать мощные программы DLP, высокопроизводительные и блокирующие угрозы на стадии обнаружения. В этом случае очень высокая цена программы и создаваемые ей неудобства из-за сложности и затратности обслуживания и неизбежного преравания ею бизнес-процесса полностью окупаются ценностью сохраняемой информации.

На практике, для большинства компаний, задача предотвращения потери конфиденциальных данных может быть решена путём расследования причин возникновения случаев утечки и последующего наказания виновных по уже произошедшим инцидентам. В этом случае вполне уместно использование программ меньшей функциональности и, соответственно, меньшей стоимости, не требующих постоянного обслуживания и не прерывающих бизнес-процессы.

Необходимо также понимать, что нельзя построить систему безопасности предприятия, используя только программное обеспечение. Нужны документы регламентирующие правила использования конфиденциальной информации в компании и выделены определённые административные ресурсы в виде сотрудников, отвечающих за поддержание программы, анализ и расследование произошедших случаев нарушения политики конфиденциальности.

При выборе программы DLP надо так же определить через какие каналы может произойти утечка информации на данном предприятии. Это позволит выбрать более бюджетную программу, так как часть каналов перекрывается другими уже имеющимися ресурсами, а иных и вообще нет.

На крупных и особо ответственных предприятиях обычно используют одновременно несколько систем безопасности, как высокобюджетных, так и более дешевых и менее функциональных(для малоответственных зон наблюдения), которые взаимно «перекрывают» друг друга.

Какие технологии развития DLP-систем вы считаете наиболее перспективными?

Третий вопрос касался дальнейших перспектив развития DLP-систем.

Чуть меньше трети зрителей — 31 % — посчитали, что средства предотвращения утечек должны развиваться по пути решений класса UBA (User Behavior Analytics), то есть уметь обнаруживать аномалии в поведении пользователей. Если учесть предыдущие результаты (напомним, что 19 % считают слабой функциональность в части блокировки утечек), то несложно предположить, что в дальнейшем заказчики захотят не просто выявлять нетипичное поведение сотрудников, а автоматически реагировать на него.

20 % аудитории сошлись во мнении, что вектор развития DLP должен быть направлен в сторону интеграции с облачными сервисами. Действительно, эта тенденция наблюдается во всей отрасли, но такая интеграция точно не подойдёт заказчикам, которые работают с гостайной.

Ещё 20 % зрителей высказались о том, что вариативность готовых конфигураций под различные нужды должна быть основным трендом развития DLP. Сложность интеграции для многих является большой проблемой, поэтому системы предотвращения утечек должны быть гибкими и готовыми «из коробки» отвечать требованиям, предъявляемым заказчиками.

В сторону «закручивания гаек» и максимального контроля за деятельностью сотрудников на рабочих местах (особенно актуальным это становится во время массовой удалённой работы в период пандемии) смотрит немногим меньше пятой части участников: 18 % надеются, что DLP продолжит или начнёт (в зависимости от выбранного решения) наращивать функциональность в этом направлении.

6 % участников не устроил ни один из вариантов. Они выбрали пункт «Другое».

Наконец, 3 % проголосовали за расширение возможностей DLP в части профайлинга, то есть составления психологических портретов сотрудников с целью выявления потенциальных злоумышленников. Метод в некотором смысле схож с вышеупомянутой UBA, но выделен в особый класс — и не зря, ведь кто-то из наших зрителей посчитал его наиболее перспективным.

Для «негативщиков» и пессимистов мы специально оставили возможность высказаться. Как видно из инфографики, лишь 2 % нарекли DLP «тупиковой ветвью развития».

Рисунок 3. Перспективы развития DLP-систем

Таковы результаты опросов зрителей, в число которых входили сотрудники государственных структур и коммерческих организаций. Узнать мнение приглашённых экспертов — представителей наиболее авторитетных участников рынка DLP-систем в России, а также услышать ответы на множество других интересных вопросов вы можете посмотрев запись конференции на нашем официальном YouTube-канале.

McAfee DLP

Успела подвергнуться множеству изменений положительного характера и DLP-система безопасности McAfee. Ей не свойственно наличие особых функций, однако реализация базовых возможностей организована на высоком уровне. Ключевое отличие, если не считать интеграцию с иными продуктами консоли McAfee ePolicy Orchestrator (EPO), состоит в применении технологии хранения в централизованной базе захваченных данных. С помощью такой базы можно добиться их применения для оптимизации новых правил с целью проведения тестирования на предмет вероятности ложных срабатываний и для того, чтобы сократить время развертывания.

Советы по эксплуатации

Чтобы проектор работал долго и исправно, стоит придерживаться определенных правил при ее использовании.

1. Ставьте технику на ровную и прочную поверхность.
2. Не используйте ее при повышенной влажности и минусовой температуре.
3. Держите прибор подальше от батарей, конвекторов, каминов.
4. Не ставьте его в места с прямым солнечным светом.
5. Не допускайте попадания мусора в вентиляционное отверстие прибора.
6. Регулярно очищайте устройство мягкой влажной тряпкой, не забыв предварительно отключить его от сети. При наличии фильтра чистите и его.
7. Если на проектор случайно попала влага, дождитесь полного высыхания до его включения.
8. Не выдергивайте шнур из розетки сразу после окончания просмотра. Дождитесь, когда остановится вентилятор
9. Не смотрите в объектив проектора – это вредно для зрения.

DLP-проектор Acer X122 представлен на видео далее.

Какой тип DLP-системы выбрать?

Традиционная классификация подразумевает две группы DLP-систем:

• активные, способные блокировать конфиденциальную информацию при обнаружении нарушений;
• пассивные, способные только «наблюдать» за потоками данных без возможности вмешаться и повлиять на процессы.

Современные решения для предотвращения утечек – это комплексы «два в одном», способные работать и в активном, и в пассивном режиме.

Сочетание двух режимов в DLP-системе дает преимущество уже на этапе тестирования. Внедрение DLP активного типа сопровождается риском приостановки отлаженных бизнес-процессов из-за некорректных настроек или неотлаженной реакции на события. Установка DLP-комплекса в пассивном тестовом режиме дает возможность спокойно убедиться, что правила мониторинга и реакции настроены корректно, каналы движения информации – под непрерывным наблюдением, а системы логирования и архивирования не перегружают сетевую инфраструктуру.

Другой критерий классификации DLP-решений – по методам архитектурной реализации.

Хостовые DLP предполагают установку программ-«агентов» на компьютеры пользователей. Агенты следят за соблюдением политик безопасности и не дают совершать потенциально опасные действия, например, запускать ПО со съемных устройств. Одновременно агенты регистрирует все действия пользователей и передают информацию в единую базу. Таким образом ИБ-специалист получает полное представление о том, что происходит в корпоративной сети.

Основное преимущество хостовых решений заключается в более полном контроле каналов передачи информации и действий пользователя на рабочем месте. Агенты фиксируют все операции за компьютером, плюс DLP-решения нового поколения позволяют записывать переговоры сотрудников или, например, подключаются к веб-камере. Недостаток хостовых систем в том, что контроль распространяется только на устройства, которые подключаются напрямую и непосредственно взаимодействуют с рабочей станцией.

При выборе хостовых DLP-систем следует обратить внимание, каким способом устанавливаются агенты на компьютеры пользователей. Функция удаленной установки и администрирования избавит ИБ-специалистов от необходимости вручную ставить агента на каждую рабочую станцию

Другое важное требование к агентским компонентам хостовых DLP – скрытый режим работы и защита от удаления. Если у пользователя есть права локального администратора и уровень IT-грамотности выше среднего, он потенциально может остановить работу агентов и вывести компьютер из-под «поля зрения» DLP-системы

Сетевые DLP основаны на применении централизованных серверов, куда перенаправляется копия входящего и исходящего трафика для проверки на соответствие политикам безопасности. Сетевые решения обеспечивают высокий уровень защиты от несанкционированного воздействия, так как позволяют ограничить доступ к выделенному шлюзу и предоставить права администрирования узкому кругу сотрудников.

Область применения сетевых DLP-систем ограничена, соответственно, сетевыми протоколами и каналами: SMTP, POP3, HTTP(S), IMAP, MAPI, NNTP, ICQ, XMPP, MMP, MSN, SIP, FTP и т.д. Весомым аргументом в пользу сетевого DLP-решения будет, соответственно, способность контролировать все протоколы передачи данных, востребованные в компании. С точки зрения администратора безопасности привлекательности сетевому DLP-комплексу добавит легкость внедрения и настройки.

Хостовые и сетевые DLP-системы контролируют разные каналы передачи информации, и логичным шагом разработчиков стала интеграция возможностей разнотипных решений. Практически все современные инструменты предотвращения утечек на ИБ-рынке – универсальные комплексы.

Помимо архитектурных следует учитывать также особенности администрирования DLP-систем. В сравнении нужно учесть алгоритмы развертывания компонентов системы, методы распределения ролей, реализацию консоли управления. Администратору безопасности надо предварительно оценить информативность интерфейса, сложность настройки правил и другие параметры, от которых зависит удобство управления комплексом защиты информации.

Актуализировать правила безопасности с определенной периодичностью

Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.

Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться

Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.

В своих решениях мы используем DLP-системы:

• Falcongaze SecureTower,
• DeviceLock Endpoint DLP Suite,
• Zecurion Traffic Control (Zgate),
• Websense Data Security Suite,
• InfoWatch EndPoint Security,
• InfoWatch Traffic Monitor,
• Symantec Data Loss Prevention,
• McAfee Total Protection for Data Loss Prevention,
• Программный комплекс StaffCop

Выбор конкретной DLP-системы зависит от требуемого уровня обеспечения безопасности данных и всегда выбирается индивидуально. Для помощи в выборе DLP-системы и расчета стоимости ее внедрения в ИТ-инфраструктуру компании оставьте заявку, и мы свяжемся с вами в ближайшее время.

Что такое DLP-система

DLP-система (Data Leak Prevention в переводе с английского — «предотвращение утечки данных») — это технологии и технические устройства, которые предотвращают утечку конфиденциальной информации из информационных систем.

DLP-системы анализируют потоки данных и контролируют их перемещение внутри определенного периметра информационной системы, который является защищенным. Это могут быть ftp-соединения, корпоративная и web-почта, локальные соединения, а также передача мгновенных сообщений и данных на принтер. В случае преобразования конфиденциальной информации в потоке, активируется компонента системы, которая и блокирует передачу потока данных.

Иными словами, DLP-системы стоят на страже конфиденциальных и стратегически важных документов, утечка которых из информационных систем наружу может принести непоправимый урон компании, а также нарушить Федеральные законы № 98-ФЗ «О коммерческой тайне» и № 152-ФЗ «О персональных данных». Защита информации от утечки, также, упоминается в ГОСТ. «Информационная технология. Практические правила управления информационной безопасностью» — ГОСТ Р ИСО/МЭК 17799-2005.

Как правило, утечка конфиденциальной информации может осуществляться как вследствие взлома и проникновения, так и в результате невнимательности, небрежности сотрудников предприятия, а также усилий инсайдеров — намеренная передача конфиденциальной информации сотрудниками предприятия. Поэтому DLP-системы являются наиболее надёжными технологиями защиты от утечки конфиденциальной информации: они обнаруживают защищаемую информацию по содержанию, независимо от языка документа, грифа, каналов передачи и формата.

Также DLP-система контролирует абсолютно все каналы, которые используются повседневно для передачи информации в электронном виде. Потоки информации автоматически обрабатываются на основе установленной политики безопасности. Если же действия конфиденциальной информации вступают в противоречия с установленной компанией политикой безопасности, то передача данных блокируется. При этом доверенное лицо компании, отвечающее за информационную безопасность, получает мгновенное сообщение с предупреждением о попытке передачи конфиденциальной информации.

Внедрение DLP-системы, прежде всего, обеспечивает соответствие с рядом требований стандарта PCI DSS касательно уровня информационной безопасности предприятия. Также DLP-системы осуществляют автоматический аудит защищенной информации, согласно ее месторасположению и обеспечивают автоматизированный контроль, согласно правилам перемещения конфиденциальной информации в компании, обрабатывая и предотвращая инциденты неправомерного разглашения секретных сведений. Система предотвращения утечки данных, на основании отчётов по инцидентам, отслеживает общий уровень рисков, а также в режимах ретроспективного анализа и немедленного реагирования контролирует утечку информации.

DLP-системы устанавливаются как на небольших, так и крупных предприятиях, предотвращая утечку информации, тем самым защищая компанию от финансовых и юридических рисков, которые возникают при потере или передаче важной корпоративной или конфиденциальной информации

Falcongaze SecureTower

SecureTower представляет собой комплексное программное решение для защиты бизнеса от внутренних угроз.

Функции и фичи

• Создание скриншотов рабочих компьютеров (что позволяет частично контролировать деятельность сотрудников).
• Хороший инструментарий просмотра и анализа архива.
• Практически из любого отчёта можно перейти к указанному там событию. 
• Инцидентам можно назначать категории (исследованные, неисследованные, отложенные). 

К бонусам программы можно отнести мониторинг Телеграмма и Viber’а, поскольку есть DLP-системы, которые никак не взаимодействуют с мессенджерами.

Недостатки:

• Отсутствие возможности блокировки принтеров.
• Отсутствие блокировок для сетевых каналов.

Удобство в использовании

SecureTower легко устанавливается без углубленного изучения инструкций. Удобно управлять, работать с архивной информацией. По всем эксплуатационным функциям ставим плюс.

Цена

На официальном сайте покупателям предлагается заполнить форму и дождаться обратного звонка, чтобы рассчитать сумму к оплате. На сторонних ресурсах мы нашли минимальную стоимость за лицензию в размере 70 000 рублей. Дорого ли это, решать, скорее, вам, а мы поставим минус за отсутствие платежной информации на сайте.

Вывод

Программа практически никогда (кроме HTTP, SMTP и MAPI) не блокирует перехваты, а создает теневую копию действий. По сути, SecureTower дает возможность сотрудникам предпринимать любые действия, предупреждая, что они будут проанализированы в будущем. Пока SecureTower больше заточена на мониторинг, нежели на перехват, поэтому назвать программу яростным борцом с утечками данных мы не можем. 

Рабочая станция конечного пользователя

Данные, которые находятся на рабочей станции конечного пользователя должны быть защищены от утечки через съемные носители. В разделе «Используемые данные» агент устанавливается на каждое конечное устройство, такое как ноутбук, настольный компьютер и другие загружаемые политиками и управляемые централизованным сервером управления DLP.

Агенты могут быть распределены по конечным точкам посредством подталкивающих стратегий, таких как SMS и GPO. Поскольку агент на конечной точке должен взаимодействовать с централизованным сервером управления, чтобы сообщать об инцидентах и получать обновленные политики, порт связи добавляется, как исключение в списке локальных брандмауэров.

Данные в хранилище, которые находятся на файловых серверах и в БД, и требуют отслеживания на предмет утечки, сканируются с помощью агента обхода. После сканирования они снимаются, чтобы увидеть, присутствуют или нет неструктурированные данные.

Развертывание компонентов безопасности бесполезно, если их невозможно контролировать. Для этого создают продукт DLP с правильным набором политик для идентифицированных данных и разделяют операции на три этапа:

1. Этап сортировки.
2. Этап создания отчетов и эскалации.
3. Этап настройки.

На этих этапах команда операции безопасности будет отслеживать оповещение, срабатывающее или инициируемое политиками, установленными в продукте DLP. В процессе сортировки команда объявляет предупреждение, как инцидент и начинает этап классификации, и будет обрабатывать инцидент с профилем риска. Профиль риска — это текстовая таблица, которая включает в себя важную информацию об инциденте, такую как тип политики, данных, канала, серьезности (низкий, средний, высокий) и другие.