Embed Size (px)
Citation preview
Андрей Заикин
ТЕХНИЧЕСКИЙ МЕНЕДЖЕР
КОМПАНИИ КРОК
ЗАЩИТА ОТ УТЕЧКИ
КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ.
ОСОБЕННОСТИ ВНЕДРЕНИЯ
РЕШЕНИЙ ЗАЩИТЫ ОТ УТЕЧКИ
ПОНЯТИЕ УТЕЧКИ ИНФОРМАЦИИ
• Одна из наиболее опасных угроз внутри организации
• Утечка — это действия со стороны сотрудников
организации, имеющих легитимные права доступа
к информации, приводящие к нарушению ее
конфиденциальности
• Действия подразделяются на:
– Преднамеренные (саботаж, промышленный шпионаж)
около 20%*
– Случайные (незнание, халатность)
около 80%*
* по данным аналитического агентства Forrester
ТРАДИЦИОННЫЙ ПОДХОД
К ЗАЩИТЕ ОТ УТЕЧКИ• Ведение архива передаваемой за периметр
информации (e-mail, web, flash)
• Специалисты службы ИБ участвуют в просмотре этой
информации в поисках фактов утечки
• Недостатки:
• Большие временные затраты офицеров ИБ
• Подход позволяет выявить факты утечки,
но не всегда может их предотвратить
• Вопрос легитимности чтения информации,
передаваемой сотрудниками
ЧТЕНИЕ ИНФОРМАЦИИ СОТРУДНИКОВ.
ДОВОДЫ «ПРОТИВ»• Конституция РФ, Статья 23 — тайна переписки…и иных
сообщений
• Уголовный кодекс РФ, Статья 138 — нарушение тайны
переписки
• 149-ФЗ «Об информации, информационных технологиях
и о защите информации» — запрет получать информацию
о частной жизни помимо воли гражданина
• Европейская Конвенция о защите прав человека
и основных свобод, Статья 8 — право на тайну
корреспонденции
• Всеобщая Декларация прав человека, Статья 12
— запрет посягательства на тайну корреспонденции
• Служебная информация не относится к личной жизни
• Ознакомление с информацией возможно с согласия сотрудника
• Вся информация, создаваемая сотрудником, является
собственностью организации
• Запрет на использование
вычислительной
инфраструктуры
организации в личных
целях в трудовом
договоре
ЧТЕНИЕ ИНФОРМАЦИИ СОТРУДНИКОВ.
ДОВОДЫ «ЗА»
ИСПОЛЬЗОВАНИЕ ТЕХНОЛОГИИ DLP
• DLP (content aware DLP) — это технология, которая
позволяет компании в автоматическом режиме
организовать мониторинг информационных потоков,
обнаруживать в них конфиденциальные данные, после
чего применять к ним определенные действия (чаще
всего — блокирование передачи)
ХАРАКТЕРИСТИКИ СОВРЕМЕННЫХ
DLP-СИСТЕМ
• Закрытие нескольких каналов
утечки
– Data in-motion (Network DLP)
– Data at-rest (Storage DLP)
– Data at-use (Endpoint DLP)
• Централизованное управление
и мониторинг политиками
безопасности для всех каналов
• Наличие превентивной защиты
ОТ ЧЕГО НЕ ЗАЩИЩАЕТ DLP
• Социальная инженерия
• «Аналоговые» атаки
Вывод — для защиты от утечки необходимо
применять и технические, и организационные меры
DLP НА ПРИМЕРЕ КАНАЛА
«ЭЛЕКТРОННАЯ ПОЧТА»
• Проблема: блокирование
повышает безопасность,
но снижает удобство
РЕШЕНИЕ ПРОБЛЕМЫ
1
2
ПРЕДПОСЫЛКИ ВНЕДРЕНИЯ DLP
• Реальные случаи утечки конфиденциальной
информации ~49%
• Необходимость выполнения законодательства
в области ИБ, обеспечение соответствия отраслевым
и международным стандартам в области ИБ ~49%
• Необходимость реализации корпоративной политики
информационной безопасности ~2%*
* По данным компании Symantec
ПЕРВИЧНЫЕ ПОТРЕБНОСТИ В DLP
РЫНОК DLP
• Молодое направление
в области ИБ
• Объем рынка ~$300 млн.
в 2009 г.
• Рынок растет, несмотря
на кризис
• Большое количество
поглощений
• Лидеры: Symantec,
Websense, RSA
КОМПОНЕНТЫ DLP-ПРОЕКТА
• Конфиденциальная информация
• Процессы организации защиты от утечки
• Техническая инфраструктура
• Персонал
• Документация
ЭТАПЫ DLP-ПРОЕКТА С ТОЧКИ
ЗРЕНИЯ КОМПАНИИ КРОК
• Обследование, пилотный проект ~1-2 месяца
Результат: ценность системы для руководства, требования к системе
• Проработка технического решения ~1-2 месяца
Результат: технико-рабочий проект
• Проработка и внедрение организационного решения
Результат: процессы (регламенты, инструкции) от 6 месяцев
• Развертывание решения DLP ~1-3 месяцев
Результат: внедренное техническое решение
• Опытная эксплуатация, обучение пользователей ~ 1 месяца
Результат: подготовленный персонал, система готова
к промышленной эксплуатации
ОБСЛЕДОВАНИЕ
• Аудит информационных потоков
и информационных ресурсов
• Аудит имеющейся организационной документации
по защите конфиденциальной информации
• Изучение и оценка существующих процессов
по защите конфиденциальной информации
Результат обследования
• Требования к создаваемой системе
• Требования к организационному
обеспечению
ПЕРСОНАЛ DLP-ПРОЕКТА
• Группы, участвующие в проекте:
− Сотрудники ИТ-подразделений (ЛВС, почта)
− Сотрудники подразделений ИБ
− Владельцы информации
• В проекте необходимо предусмотреть
обучение персонала
• В процессе внедрения может
потребоваться поддержка
со стороны менеджмента
БАЗОВЫЕ ПРОЦЕССЫ
ОРГАНИЗАЦИИ ЗАЩИТЫ ОТ УТЕЧКИ
1. Процесс классификации информации
2. Процесс обращения
с конфиденциальной информацией
3. Процесс предотвращения утечки
конфиденциальной информации
ПРОРАБОТКА ПРОЦЕССОВ DLP
• Цели и задачи процесса
• Область действия
процесса
• Владелец процесса
• Потребители результатов
деятельности процесса
• Описание процедур/ролей
процесса
Инвентаризация (сценарий 2)
Входная информация Выполняемые функции Результат
Вл
ад
ел
ец
инф
ор
ма
ци
онно
го
ре
сур
са
Чл
ены
Ко
ми
сси
иП
ол
ьзо
ва
те
ль
Выполнение работ по
инвентаризации и
классификации
Актуальная
информация об
информационно
м ресурсе в
ПУИД
Заявка,
направленная
Владельцу
информационно
го ресурса
Внесение результатов работ
по инвентаризации и
классификации в ПУИД
Информационный
ресурсСлужебная
записка
направлена в
Департамент
безопасности
Служебная записка о
необходимости
проведения
инвентаризации и
классификации
Инициация работ по
инвентаризации и
классификации
Оформление заявки на
предоставление прав
доступа к инф. ресурсу (в
письменном виде)
Заявка на
предоставление прав
доступа к инф. ресурсу
Заведение
информационного ресурса в
ПУИД
Измененный
перечень
информационн
ых ресурсов в
ПУИД
Работы завершены
ПРОЦЕССНЫЙ ПОДХОД КРОК К
ЗАЩИТЕ ОТ УТЕЧЕК ИНФОРМАЦИИ
ПРЕИМУЩЕСТВА ВНЕДРЕНИЯ DLP
• Снижение рисков, связанных с утечкой
конфиденциальной информации
• Соответствие требованиям аудиторов
и регуляторов
• Относительно небольшая нагрузка
на специалистов ИБ
• Предоставление отчетов для
руководства по проблеме утечки
информации
ПРЕИМУЩЕСТВА КРОК
• Большой опыт внедрения DLP-систем
• Комплексный подход
• Гибкость при формировании состава работ
• Высокая квалификация специалистов
• Участие в проектной команде специалистов
разной направленности
• Управление качеством проектных работ
• Методика управления проектом, базирующаяся
на лучших мировых практиках
Андрей Заикин
ТЕХНИЧЕСКИЙ МЕНЕДЖЕР
КОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: [email protected]
СПАСИБО ЗА ВНИМАНИЕ!
