Получение выгод
Оптимизация рисков
Оптимизация ресурсов
DLP и цели бизнеса
• Мониторинг и контроль каналов передачи и мест хранения информации ограниченного доступа
• Выявление экономических преступлений
• Выявление предпосылок событий, способных нарушить непрерывность бизнес-процессов (напр., уход персонала, утечки информации)
• Выполнение требований регуляторов
• Снижение трудозатрат при расследовании инцидентов
• Повышение трудовой дисциплины, улучшение культуры работы с информацией ограниченного доступа
• Обычно нет*
Утечки происходят часто
• 53% сталкивались с утечкой информации - CERT
• 54% сталкивались с утечкой информации - Check Point
• 33% компаний зафиксировали утечку более 1 000 записей
за последние 2 года. У 48% такие объемы данных утекли
однократно; у 27% - дважды; 16% сталкивались с
инцидентами утечки до 5 раз; 9% зафиксировали более 5
случаев утечки - Ponemon Institute
• В 2013 году зафиксировано 8 гигантских утечек
(компрометация более 10 000 000 записей), в 2012 была
лишь одна такая утечка - Symantec
• Количество утечек в 2013 году возросло на 22% по
сравнению с 2012 годом - InfoWatch
Стоимость утечки информации посчитать сложно. Необходимо учитывать огромное количество данных, причем в среднесрочной перспективе (~1 год)
• Состав данных (ПДн, КТ, PAN, логин/пароль…)
• Количество записей/масштаб • Отрасль (отраслевые
регуляторы, конкуренция) • Страна (требования по
реагированию, штрафы) • Действия компании после
утечки (реакция, комментарии) • Время обнаружения • Источник обнаружения утечки • Источник утечки и его умысле • Внимание СМИ • Зрелость процессов ИБ
(особенно «управление инцидентами»)
• Дальнейшие действия с утекшими данными (публикация, мошенничество…)
• Стоимость восстановления данных
• Стоимость восстановления (закупки) носителей взамен утерянных
• Особенности процесса реагирования
• Наличие средств мониторинга (DLP, SIEM, IDS/IPS…)
• Компенсации пострадавшим • Управленческое решение по
факту утечки информации • …
Что влияет на величину ущерба?
«Управленческое решение» по
сотрудникам • «Понять и простить» • Изменение прав доступа (расширение или ограничение) • Пересмотр правил ИБ (орг. и тех.)
• Обучение и повышение осведомленности персонала • Мотивация персонала
(Что лучше развитие корп.культуры и/или «запугивание»?)
• Лишение благ и привилегий
• Кадровые перестановки • Решение об увольнении (по собственному желанию / по соглашению сторон)
• Дисциплинарные взыскания (втч увольнение) • Решение о преследовании в судебном порядке
• «Вывоз в лес»
Ущерб от утечки информации
Затраты на реагирование и расследование
Юр.преследование со стороны 3х лиц
Репутационные потери и
упущенная выгода
Компенсации пострадавшим
Трудозатраты персонала при
проверках регуляторов
Совершенствование системы защиты
Штраф и другие санкции
регуляторов
Ущерб от мошеннических
действий
1. 2.
4.
7. 8.
5.
3.
6.
«Удобнее» всего оценивать
Затраты на реагирование и расследование
Репутационные потери и
упущенная выгода
Штраф и другие санкции
регуляторов
1. 2.
4.
7.
5.
7.
6. • Трудозатраты персонала x величину ЗП
• Консалтинг • Стоимость
специального оборудования
• Кол-во клиентов: переставших пользоваться услугами компании
• Замедление темпов роста («непришедшие новые клиенты»)
• Кол-во клиентов, которых переманили конкуренты
х на среднюю прибыль с 1 клиента в год
• Штрафы по ПДн составляют до 10 000 рублей*
• Угроза отзыва лицензий / приостановления деятельности
Реагирование и расследование
инцидентов
• Специалист ИБ
• Специалист ИБ • Руководитель ИБ • Сотрудник
компании
• Специалист ИБ • Руководитель ИБ • Сотрудник ИТ • Специалист ИТ • Руководитель
подразделения • Сотрудник
компании (*Х) • Сотрудник HR • Юрист
• Специалист ИБ • Руководитель ИБ • Сотрудник ИТ • Специалист ИТ • Руководитель
подразделения • Сотрудник
компании (*Х) • Руководитель HR • Сотрудник HR • Юрист • Руководитель PR • Сотрудник PR • Топ-менеджер
(*Х)
• Внешние консультанты
Зависимость состава рабочей группы от масштаба утечки и ценности информации
Рабочее время в месяц: 184 часа (8*23) Средняя ЗП в России: 33 280 рублей в месяц (по данным Федеральной службы государственной статистики на май 2014 г)
Средняя ЗП в России: 26 457 рублей в месяц (по данным с интернет-сервисов поиска работы на сентябрь 2014 г)
Средняя стоимость 1 часа работы (по России): ~180 рублей
~1700 руб./час ~950 руб./час ~600 руб./час ~930 руб./час ~450 руб./час ~300 руб./час
Зарплаты в Москве, hh.ru (2014)
Пример
методика InfoWatch
1 2 3
Отрасль Финансы Телеком и ИТ Ритейл
Состав данных ПДн 200 клиентов (сканы паспортов и
анкеты)
1,2 млн. логинов и паролей к эл.почте
1 000 000 анкет клиентов (не
критичные ПДн)
1.Затраты на реагирование, устранение и расследование
40 000 рублей 2,8 млн. рублей 460 000 рублей
2.Репутационные потери и упущенная выгода
2,5 млн.рублей 50 млн.рублей 30,8 млн.рублей
7.Штрафы и другие санкции регуляторов
10 000 рублей 10 000 рублей 10 000 рублей
Итого 2,5 млн.рублей 52,8 млн.рублей 31,3 млн.рублей
Обеспечение юр.значимости
Снижение рисков
Управление инциден-
тами
Направления защиты от утечек
- Снижение вероятности - Снижение ущерба
- Мониторинг и Анализ - Реагирование
- Режим КТ - Юр.преследование