Embed Size (px)
Citation preview
All about … DLPv.1.1 от 08.02.2016
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2
Источники угроз
JSOC Q3 2015
3
Внутренние угрозы
JSOC Q3 2015
4
Источники внутренних угроз
JSOC Q3 2015
• 37% опрошенных признаются, что при увольнении копировали и уносили собственные наработки, 19% —уникальные разработки, созданные в команде, 11% —базы клиентов и партнеров, 6% — результаты труда коллег, а 3% – конфиденциальные сведения о компании.
• Работники при этом рассчитывают на практическую пользу от этих материалов в будущем — в последующей работе (80%) или при трудоустройстве (25%).
• Каждый 3й работник уже выносил нужные файлы за пределы корпоративной сети либо планирует так поступить в будущем.
5
Опрос HH.RU «Шпионы на работе»
6
Каналы утечки
JSOC Q3 2015
7
Проблема терминологии…
8
Что не так на этой фотографии?
9
NIST:«Inside(r) Threat – An entity with authorized access (i.e.,within the security domain) that has the potential to harm aninformation system or enterprise through destruction,disclosure, modification of data, and/or denial of service.»
CERT:«A malicious insider threat to an organization is a current orformer employee, contractor, or other business partner whohas or had authorized access to an organization’s network,system, or data and intentionally exceeded or misused thataccess in a manner that negatively affected theconfidentiality, integrity, or availability of the organization’sinformation or information systems. In addition, insiderthreats can also be unintentional (non-malicious).»
10
What Is Insider Threat?
Вики:
Инсайдер (англ. insider) — член какой-либо группы людей,имеющей доступ к информации, недоступной широкойпублике. Термин используется в контексте, связанном ссекретной, скрытой или какой-либо другой закрытойинформацией или знаниями: инсайдер — это член группы,обладающий информацией, имеющейся только у этойгруппы.
Большой экономический словарь:
Инсайдер — (от англ, inside-внутри) лицо, имеющееблагодаря своему служебному положению илиродственным связям доступ к конфиденциальнойинформации о делах фирмы.
11
Термин «инсайдер» в словарях
Федеральный закон Российской Федерации от 27 июля 2010 г. N 224-ФЗ «Опротиводействии неправомерному использованию инсайдерской информации иманипулированию рынком и о внесении изменений в отдельные законодательныеакты Российской Федерации»:«Инсайдерская информация - точная и конкретная информация, которая не былараспространена или предоставлена (в том числе сведения, составляющиекоммерческую, служебную, банковскую тайну, тайну связи (в части информации опочтовых переводах денежных средств) и иную охраняемую законом тайну),распространение или предоставление которой может оказать существенноевлияние на цены финансовых инструментов, иностранной валюты и (или) товаров (втом числе сведения, касающиеся одного или нескольких эмитентов эмиссионныхценных бумаг, одной или нескольких управляющих компаний инвестиционныхфондов, паевых инвестиционных фондов и негосударственных пенсионных фондов,одного или нескольких хозяйствующих субъектов, указанных в пункте 2 статьи 4настоящего Федерального закона, либо одного или нескольких финансовыхинструментов, иностранной валюты и (или) товаров) и которая относится кинформации, включенной в соответствующий перечень инсайдерской информации,указанный в статье 3 настоящего Федерального закона.»Статья 4. ИнсайдерыК инсайдерам относятся следующие лица:… «имеющие доступ к инсайдерской информации»…
12
Инсайдеры в фин.сфере
13
Внутренний нарушительИнсайдер
• БМУ ПДн ФСТЭК России
• Р 50.1.053-2005 «ИТ. Основные термины иопределения в области технической защитыинформации»
• Р 50.1.056-2005 «Техническая защита информации.Основные термины и определения»
«Утечка (информации) по техническому каналу (Leakage):Неконтролируемое распространение информации относителя защищаемой информации через физическую средудо технического средства, осуществляющего перехватинформации.»
14
Термин «утечка» по ФСТЭК России
ГОСТ Р 53114-2008 Защита информации. Обеспечениеинформационной безопасности в организации. Основныетермины и определения• «Утечка информации – Неконтролируемое распространение
защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками»
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения • «Защита информации от утечки – Защита информации,
направленная на предотвращение неконтролируемогораспространения защищаемой информации в результате ееразглашения и несанкционированного доступа к ней, а также наисключение (затруднение) получения защищаемойинформации [иностранными] разведками и другимизаинтересованными субъектами. Примечание -Заинтересованными субъектами могут быть: государство,юридическое лицо, группа физических лиц, отдельноефизическое лицо.»
15
«Предотвращение утечек безопасности»• Утечка информации – несанкционированное предоставление или
распространение информации конфиденциального характера,неконтролируемое организацией БС РФ.
Примечание. В настоящем документе рассматривается только случаиутечки информации, реализуемые в результате действия работниковорганизации БС РФ и (или) иных лиц, обладающих легальным доступомк информации или легальным доступом в помещения, в которыхосуществляется обработка информации
16
РС БР ИББС 2.9 (проект)
• Предоставление информации – действия, направленные на получение информацииопределенным кругом лиц или передачу информации определенному кругу лиц.
• Распространение информации – действия, направленные на получение информациинеопределенным кругом лиц или передачу информации неопределенному кругу лиц.
• Защита информации от утечки – деятельность, направленная на предотвращениенеконтролируемого предоставления или распространения информацииконфиденциального характера.
ISACA:Data leakage - Siphoning out or leaking information bydumping computer files or stealing computer reportsand tapes.
NIST:Data Loss – The exposure of proprietary, sensitive, orclassified information through either data theft or dataleakage.
PTAC:A data breach is the intentional or unintentional releaseof secure information to an untrusted environment.
17
Leakage/Loss/Breach
18
Причины утечки информации
20
Утечки по отраслям
21
Утечки информации
Используем DLP для контроля
Внутренние угрозы
22
Защита от внутренних угроз
СЗИ и мониторинг
Процедуры и
требования
• Управление доступом• Управление инцидентами• Повышение осведомленности• Резервное копирование и
восстановление• Перечень допустимого ПО и
контроль конфигураций• Политика допустимого использования• Режим КТ• Физическая безопасность• …
• DLP и аналоги• IdM• SIEM• СКУД• АВЗ• HIPS• Антифрод• …
“By 2018, 90% of organizations willimplement at least one form of integratedDLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-28)
23
24
Приоритеты по ИБ на 2016 год EnY опросили 1755 руководителей ИТ и ИБ
25
Vormetric 2015
• ADL: Anti Data Leakage - The 451 Group • ALS: Anti-Leakage Software - Ernst&Young • CMF: Content Monitoring and Filtering - Gartner • EPS: Extrusion Prevention System • ILP: Information Leak Prevention, Information Leak
Protection - Forrester • IPC: Information Protection and Control - IDC • ITP: Insider Threat Prevention
• ILDP: Information Leak Detection and Prevention – IDC • DLP: Data Leakage Prevention, Data Loss Prevention, Data
Leak Prevention, Data Leakage Protection - IDC (~c 2005)• СЗНПИ: средство защиты от несанкционированной
передачи (вывода) информации - ФСТЭК России, 201326
Термин DLP и аналоги
• Многоканальность
• Унифицированный менеджмент
• Активная защита
• Учет содержания и контекста
27
Характеристики DLP по Forrester
• Gartner defines the data loss prevention (DLP) marketas those technologies that, as a core function, performboth content inspection and contextual analysis ofdata at rest on-premises or in cloud applications andcloud storage, in motion over the network, or in useon a managed endpoint device.
• DLP solutions can execute responses — ranging fromsimple notification to active blocking — based onpolicy and rules defined to address the risk ofinadvertent or accidental leaks, or exposure ofsensitive data outside authorized channels.
28
DLP по Gartner
СЗНПИ (средство защиты от несанкционированной передачи (вывода) информации) - программные средства, используемые в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, и реализующим функции обнаружения и предотвращениянесанкционированной передачи (вывода) информации ограниченного доступа из защищенного сегмента информационной системы на основе анализа смыслового содержания информации.
29
DLP по ФСТЭК России
DLP – средство защиты информации, а значит оно должно уметь блокировать передачу информации ограниченного доступа…
30
Позиция ФСТЭК России
31
Рекомендации ФСТЭК России по функционалу DLP
ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Контроль содержания информации, передаваемой из информационной системы, должен предусматривать: • выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы
сетевых соединений, включая сети связи общего пользования, и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).
Требования к усилению
• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы
информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;
• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием
Методический документ. Меры защиты информации в государственных ИС
32
Базовая идея DLP
Network
Discovery
Endpoint
Уровень сети, Data-in-Motion
Уровень хранилищ данных, Data at rest
Уровень узла (хоста),Data-in-Use
Crawler
• Системы контроля съемных носителей• Кейлоггеры• Системы контроля рабочего времени работников • Снифферы трафика• Прокси-серверы и МСЭ• Системы электронного документооборота
(с метками документов)• Решения для защиты эл.почты• …
33
Иногда термином «DLP» ошибочно называют следующие системы с расширенным функционалом:
34
Принцип работы DLP
35
Как DLP понимает события?
Контентный анализ
Контекстный анализ
• Активность (дата/время, периодичность, частота)
• Отправитель (права пользователя, группы (втч под особым контролем, например, «На увольнении») и роли)
• Получатель (внутренний/внешний, знакомый/неизвестный, «из перечня» и пр.)
• Канал передачи, протокол передачи, тип приложения
• Местоположение (географическое и аппаратное)
36
Контекстный анализ
• Анализ вложения (тип вложения (формат), наименование файла, размер, цифровые отпечатки бинарных файлов, свойства файлов)
• Регулярные выражения, БКФ и другие лингвистические методы (например, выявление опечаток и транслитерации)
• Идентификаторы / текстовые объекты по определенной структуре (ИНН, номер паспорта, номер кредитной карты и пр.)
• Шаблоны документов / документы по определенной структуре (анкеты, протоколы, заявления и пр.)
• Цифровые отпечатки (текст) и выгрузки из БД• Анализ изображений и схем (сканы паспортов,
кредитные карты, карты местности, схемы, подписи, печати и штампы и пр.)
• Цифровые метки37
Контентный анализ
38
Задачи, решаемые DLP
Основные Дополнительные
• Снижение рисков утечки информации
• Обеспечение возможности расследования инцидентов утечки информации
• Выявление экономическихпреступлений
• Compliance
• Снижение кадровых рисков• Контроль рабочего времени• Анализ процессов обмена
информации (каналы передачи и места хранения)
• …
39
40
Дилемма DLP: блокировать или нет?
Блокировать Только мониторить
• Возможность защиты действительно важной информации от случайной утечки
• Наличие формальных требований• Наказание только за нарушение
правил обработки и защиты информации (слабое)
• Недовольство пользователей
• Меньше рисков нарушенияработы бизнес-процессов
• Возможность наказания за разглашение информации ограниченного доступа
К сожалению, система DLP без процесса управления инцидентами практически бесполезна…
41
• Событие ИБ – выявленное состояние системы, услуги илисостояние сети, указывающее на возможное нарушениеполитики обеспечения ИБ, нарушение или отказ мер исредств контроля и управления или прежде неизвестнаяситуации, которая может иметь значение длябезопасности.
• Инцидент ИБ – одно или несколько нежелательных илинеожиданных событий ИБ, которые со значительнойстепенью вероятности приводят к компрометациибизнеса и создают угрозы для ИБ.
43
Термины по ГОСТ 27000-2012
• Увольняющийся сотрудник скопировал на флешку все, что с мог достать (наработки, методологии, базу клиентов, проектную документацию, стратегии и планы)
• Сотрудник отдела закупок договорился с поставщиком о завышении закупочных цен при условии личной мотивации (откат)
• Операционист в банке пересылает заявления на кредиты своему коллеге в конкурирующем банке, который переманивает этих клиентов, делая целевые контрпредложения
• Сотрудник одела продаж некоторые заказы проводит через свою фирму
• Секретарь регулярно пересылает протоколы совещаний руководства на незнакомый внешний ящик электронной почты
• …
44
Типовые инциденты(утечки информации и внутрикорпоративное мошенничество)
45
Процедура упр.инцидентами
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
46
Ограничения по ТК РФ
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
6 мес.
1 мес.
47
1.Обнаружение и регистрация событий системой DLP -
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
48
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
49
Что запускает работу ИБ?
Источник Оперативность
1. Оповещение по email Высокая
2. Оповещение в системе DLP Высокая
3. Оповещение по SMS Высокая
4. Информация на рабочем столе (Dashboard) Средняя
5. Информация из автоматического регулярного отчета Средняя
6. Информация из отчетов по запросу Низкая
7. Регулярный мониторинг и анализ Низкая
8. Внешняя информация об инциденте Низкая
9. Запрос со стороны руководства / заинтересованных лиц Низкая
10. «Чутье» (Подозрение на инцидент) Низкая
11. Скука / Интерес Низкая
Рабочий стол офицера ИБSolar Dozor v.6
1. Регулярный мониторинг событий2. Расследование инцидентов
50
51
Фокус внимания на самое важное
Люди
События и инциденты
Информация
Досье на информационные объекты:• места хранения• каналы передачи• отправители и
получатели
Досье на персон и группы:• Общая
информация• События и
инциденты• Граф-связей• Уровень доверия
(«карма»)
• Канал передачи• Сработавшая политика• Отправители и получатели
52
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
53
Оперативное реагирование
Технические Организационные
• Блокировка передачи (с уведомлением / без уведомления)
• Блокировка передачи до подтверждения
• Отправка сообщения с реконструкцией:• Удаление информации
ограниченного доступа• Замена информации на
предупреждение• Добавление предупреждения
• Блокирование доступа к ИС• Оповещение службы охраны / ЧОП
• Получение объяснительной• Изъятие оборудования*• Досмотр*• Обращение в МВД России / ФСБ
России• Задержание до выяснения*
54
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
1. Детальная информация об инциденте и Архив сообщений
2. Отчеты и Поиск 3. «Досье» (на субъекта или группу)4. «Уровень доверия» / «Карма» / Рейтинг нарушителей5. «Граф связей» 6. «Досье» на информационные объекты7. Снимки экрана / Видеозапись экрана / Рабочий стол в
режиме реального времени8. Аудиозапись / Видеозапись пользователя9. Кейлоггер10. Контроль рабочего времени (запуск программ и
«активное» окно)11. Категоризатор сайтов сети Интернет
55
Спец.инструменты расследования
56
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
1. Какова величина ущерба?Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого сотрудника?Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
57
Пример модели принятия решения по инциденту (по сумме баллов)
до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий(втч и лишение прав доступа)
5. Дисциплинарные взыскания:
– замечание
– выговор
– увольнение по соответствующим основаниям
6. Увольнение по инициативе работника / по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
58
Решение в случае виновности
Б) По решению руководства и HR
В) По решению руководства, HR,
юристов и ИБ. Необходимо четкое
понимание процедур и высокий уровень
«бумажной безопасности»
А) По решению ИБ
ТК РФ ст.192-193• 1 дисциплинарный проступок – 1 дисциплинарное
взыскание• Не позднее 6 месяцев со дня совершения проступка• Не позднее 1 месяца со дня обнаружения проступка• Необходимо запросить от работника письменное
объяснение
Статья 81. Расторжение трудового договора поинициативе работодателя6) однократного грубого нарушения работником трудовых обязанностей:в) разглашения охраняемой законом тайны (государственной, коммерческой,служебной и иной), ставшей известной работнику в связи с исполнением им трудовыхобязанностей, в том числе разглашения персональных данных другого работника
59
Дисциплинарные взыскания
60
«Идеальная» процедура увольнения№ Шаги Ключевое
подразделениеДокументы
1. Обнаружение инцидента, сбор дополнительной информации
ИБ Краткий отчет об инциденте,Служебная записка
2. Обсуждение возможныхвариантов реагирования
Руководство и HR
Приказ о проведении служебногорасследования (о создании Комиссии)
3. Запрос объяснительнойзаписки от работника (желательно под роспись)
HR Объяснительная записка / Акт об отказе
4. Заседание Комиссии(хорошей практикой является заседание 2х комиссий: по расследованию и по кадровым вопросам)
HR, ИБ Протокол(-ы) заседания комиссии(краткое описание инцидента, оценка тяжести проступка, обстоятельства дела, величина ущерба, решение)
5. Принятие решения об увольнении, издание соответствующего приказа
HR, руководство Приказ о применении дисциплинарного взыскания / Акт об отказе ознакомления
Шаблоны документов http://www.infowatch.ru/iwc_files/12803
ТК РФ ст.238-250
• Работник обязан возместить работодателюпричиненный ему прямой действительныйущерб. Неполученные доходы (упущеннаявыгода) взысканию с работника не подлежат.
• Работник несет материальную ответственность впределах своего среднего месячного заработка.Если больше, то нужно судебное решение.
61
Материальная ответственность
• Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
• Статья 185.6. Неправомерное использование инсайдерской информации
• Статья 147. Нарушение изобретательских и патентных прав
• Статья 159. Мошенничество
• Статья 163. Вымогательство
• Статья 272. Неправомерный доступ к компьютерной информации
• Статья 273. Создание, использование и распространение вредоносных компьютерных программ
• Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
• Статья 276. Шпионаж
• Статья 283. Разглашение государственной тайны
62
Статьи УК РФ
Важные:• По ТК РФ: Объяснительная от работника (либо Акт об
отказе), Служебная записка об инциденте и Протоколзаседания комиссии, рассматривающей инцидент. В документахследует указать краткое описание инцидента, оценку тяжести иобстоятельства совершенного проступка.
• По УПК: Показания потерпевшего, свидетеля, Заключение и показания эксперта и Заключение и показания специалиста, Вещественные доказательства.
Отчеты DLP вторичны, но тоже принимаются Судом.Дополнительно к отчету рекомендуется приложить краткоеописание решения с указанием сертификатов (подойдет брошюраот производителя).
63
Про доказательства для Суда
64
Кража электронных носителей и/или средств обработки информации
Корпоративная эл.почта
Личная эл.почта (с корп.устройств)
Сеть Интернет
Корпоративные мессенджеры
Агент на ПК для облачных хранилищ
Персональные мессенджеры
Предоставление неправомерных
расширенных прав доступа к ИС
Вынос бумажных документов (твердые копии)
Фото и видео
Аудио (разговор)
Личная эл.почта (с персональных устройств)
Внешние (съемные)носители
Печать документов
Синхронизация мобильных устройств
Просто доказать
Сложно доказать
Сложно выявить Просто выявить
Про каналы утечки
65
Статья 23 1) Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2) Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
66
http://80na20.blogspot.ru/2015/12/blog-post_14.html
1. Работодатель, как обладатель (владелец) информации, информационныхсистем и сервисов, обладает правом предъявлять требования по ихиспользованию и контролировать их выполнение. В организации определенПеречень информации ограниченного доступа, Правила работы с информациейограниченного доступа, Политика допустимого использования (средствобработки и ИТ-сервисов). В частности, в явном виде запрещена передачаинформации ограниченного доступа с использованием персональных средств исистем (например, личной электронной почты или мессенджеров, неутвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию накорпоративных ресурсах (рабочие станции и файловые хранилища) ипередавать ее по корпоративным каналам связи (эл.почта и сеть Интернет).
3. Работники уведомлены, что правила использования корпоративнойинформации и информационных ресурсов регулярно контролируются сиспользованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого родауслуги и не обеспечивает тайну связи для передачи информации по своимкорпоративным каналам. О возможности мониторинга и контролякорпоративной переписки известно работникам (см.п 3). 67
Легализация DLP
5. У работодателя отсутствует умысел нарушения тайны частной жизни.Предполагается, что на контролируемых ресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то онабудет удалена, а к работнику могут применяться дисциплинарные взысканияза нарушение правил внутреннего трудового распорядка.
7. Обнаруженная личная информация не будет использована (по крайней мереофициально) при принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников.Содержание информации, хранимой в личных сервисах передачи данных(например, внешняя эл.почта) не проверяется даже при получении такойвозможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контролевходящей почты. Работники уведомлены, что они обязаны уведомить тех, скем общаются, о недопустимости использовании корпоративных сервисов дляосуществления любых видов коммуникаций, не связанных со служебнойдеятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована(по крайней мере официально) при принятии решений.
68
Легализация DLP (продолжение)
69
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
• Подготовка и передача материалов на хранение (архив)
• Анализ причин инцидента
• Подготовка итогового отчета (при необходимости)
• Проведение итогового совещания (при необходимости)
• Награждение (или наказание) участников процедурыуправления инцидентами (при необходимости)
• Решение о том, «что делать дальше»
70
Что после реагирования?
• Ничего, все молодцы
• Проведение Аудита ИБ и/или дополнительных проверок
• Совершенствование процедуры управления инцидентами
• Совершенствование системы ИБ:
– Пересмотр прав доступа
– Пересмотр требований по обработке и хранению информации
– Обучение и повышение осведомленности:
– «Точная» настройка СЗИ
– Внедрение новых мер и СЗИ
– …
• Пересмотр кадровой политики (процедура найма и увольнения, мотивация персонала, корпоративная культура)
• Изменение бизнес-процессов
71
Что дальше?
72
Обучение и повышение осведомленности
Кто? Тематики
Рядовые пользователи
• Правила работы с информацией и средствами обработки• Базовые требования по защите информации• Кейсы (типовые ошибки, соц.инженерия)• Ответственность
ИТ и ИБ-специалисты
• Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов• Сбор цифровых доказательств• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала
• Судебная практика• Развитие корпоративной культуры• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)• Базовые рекомендации по защите информации
Краткий обзор рынка систем DLP в России и Мире
73
75
Рынок DLP в России, 2014
Не только лишь DLP:
• https://www.anti-malware.ru/comparisons/data_leak_protection_2014_part1
• https://www.anti-malware.ru/comparisons/data_leak_protection_2014_part2
76
Пример сравнения DLP (2014)
• Объективность и непредвзятость
• Какая методология? (изучение стенда, анализ маркетинговых материалов, опрос производителя, опрос заказчиков и пр.)
• А какая версия и состав модулей?
• Готовы ли сами производители сравнивать решения и публиковать итог?
• Много неконкретных критериев
• Слишком много критериев (что важное?)
77
Проблема сравнений DLP
• Сертификаты (на какую версию, модули)• Возможность блокировки / реагирования• Системные требования• Технологии анализа и возможность анализа на
агенте • Нестандартные протоколы, ОС и другие условия
(например, DLP на мобильных устройствах)• Интеграция и совместные проекты• Централизованное управление• Масштабируемость• Гибкость и скорость построения отчетов и поиска• Скорость и простота внедрения и настройки
78
Об этом часто «преувеличивают»
79
Сравнение DLP и аналогов
InfoWatchSolar
Security(Дозор)
SearchInform SymantecIntel
Security (McAfee)
Функционал DLP (рекомендации ФСТЭК России)
Технологии анализа
Инструменты расследования инцидентов
Отчеты и консоль управления
Импортозамещение (возможность использовать для гос.органов)
Цена
Выбраны ключевые игроки рынка РФ и важнейшие верхнеуровневые критерии. Задача: В таблице 8 красных («слабая сторона продукта»), 6 желтых («ну, нормально») и 16 зеленых ячеек («сильная сторона продукта»). Расставьте ))
Лучшее решение - тестирование (пилот) на своей площадке с заранее определенными критериями сравнения.
Кстати, удобно проранжировать их по степени важности…
80
1.Какие задачи планируется решать? Какая самая главная?2.Какие область действия (scope) и ограничения проекта?3.Какие каналы требуется мониторить? Мониторинг или
блокировка? Требуется ли блокировка на агенте?4.Какие технологии анализа необходимы? 5.Необходимо ли хранение всех сообщений или только
инциденты? Сколько по времени?6.А может посчитаем TCO? А какие будут трудозатраты на
работу с системой? Какой % ложных срабатываний? Насколько сложно настраивать политики DLP?
7.Необходим ли сертификат ФСТЭК России? 8.Есть ли система в реестре отечественного ПО
https://reestr.minsvyaz.ru ?9.…
81
Вопросы при выборе DLP
• CERT: Insider Threat - http://cert.org/insider-threat/
• Библиотека SANS - www.sans.org
• Статьи и материалы Anti-malware.ru - https://www.anti-malware.ru/data_leak_protection
• Статьи и материалы Information Security - http://www.itsec.ru
• Вебинары, статьи и другие материалы производителей DLP
• Мой блог - http://80na20.blogspot.ru
82
Дополнительные материалы
83
• http://breachlevelindex.com
• http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
• http://www.trendmicro.com/vinfo/us/security/news/data-breach
• https://www.privacyrights.org/data-breach/new
• http://oag.ca.gov/ecrime/databreach/list
• http://www.infowatch.ru/analytics/leaks_monitoring
• ITRC Data Breach Report:– 2016 - http://www.idtheftcenter.org/2016databreaches.html
– 2015 - http://www.idtheftcenter.org/ITRC-Surveys-Studies/2015databreaches.html
– 2014 - http://www.idtheftcenter.org/ITRC-Surveys-Studies/2014databreaches.html
84
Базы инцидентов и новости про утечки информации
• JSOC Security flash report - http://solarsecurity.ru/analytics/reports
• Опрос HH.RU «Шпионы на работе» 2014 http://hh.ru/article/14682
• Creating trust in the digital world. EY’s Global Information Security Survey 2015 - http://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2015/$FILE/ey-global-information-security-survey-2015.pdf
• The 2015 Vormetric Insider Threat Report -http://www.vormetric.com/campaigns/insiderthreat/2015
• Verizon 2015 Data Breach Investigations Report -http://news.verizonenterprise.com/2015/04/2015-data-breach-report-info
• Symantec Internet Security Threat Report (ISTR 20) -https://www.symantec.com/security_response/publications/threatreport.jsp
• Check Point 2015 Security Report -http://www.checkpoint.com/resources/2015securityreport
• Ponemon Institute: 2015 Cost of Cyber Crime Study: Russian Federation
• Ponemon Institute: Cost of Data Breach Study 85
Аналитика про утечки
• Как реагировать на инциденты ИБ с помощью DLP -http://solarsecurity.ru/analytics/webinars/614
• Один день офицера по безопасности. Стандартные сценарии работы с DLP-системой -http://solarsecurity.ru/analytics/webinars/590
• Используем DLP «по закону» -http://www.infowatch.ru/webinar/iw_10_07_2014
• 4 «горячих» юридических вопроса про DLP -http://www.infowatch.ru/webinar/iw_13_08_2014
• Начинаем работать с моделью зрелости DLP -http://www.infowatch.ru/webinar/iw_23_06_2015
• …86
Вебинары от DLP вендоров (РФ)
• Результативность и эффективность DLP• Анализ поведения работников / Прогнозирование
инцидентов / Big Data• Обеспечение экономической безопасности с
использованием DLP• Решение кадровых проблем с использованием DLP• Комплексный подход в защите от внутренних угроз
/ инсайдеров / утечек информации• Контентный анализ (мат.модели) • Методология использования DLP Discovery• Инвентаризация и классификация информации• …
87
Направления исследований для курсовых и дипломных работ
88
Спасибо за внимание!
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Моя почта: [email protected]
