Прозоров Андрей Ведущий эксперт по информационной безопасности, CISM

Актуальные вопросы защиты

информации от утечки: аналитика,

тенденции и «лучшие практики»

2014-11

+27001, 22301, ITIL, COBIT5…

В 2007 году я работал в РЖД и впервые познакомился с решениями «типа DLP».

Они сохраняли теневые копии трафика, передаваемого на флешки.

Это было круто…

…но не удобно (ручной анализ)

Хотя до этого вообще ни какой автоматизации не было… От утечки информации защищались как могли.

А в конце 2007 года я писал дипломную работу «Разработка методики комплексной защиты конфиденциальной информации предприятия от инсайдеров» и познакомился с InfoWatch.

Я еще не знал, что через 6 лет я буду работать в InfoWatch…

Эта книга очень помогла

Похоже, что тему диплома выбрал правильную.

Год от года вопрос защиты информации от утечки становится только актуальнее…

8

Утечки происходят часто

• 53% сталкивались с утечкой информации - CERT

• 54% сталкивались с утечкой информации - Check Point

• 33% компаний зафиксировали утечку более 1 000 записей

за последние 2 года. У 48% такие объемы данных утекли

однократно; у 27% - дважды; 16% сталкивались с

инцидентами утечки до 5 раз; 9% зафиксировали более 5

случаев утечки - Ponemon Institute

• В 2013 году зафиксировано 8 гигантских утечек

(компрометация более 10 000 000 записей), в 2012 была

лишь одна такая утечка - Symantec

• Количество утечек в 2013 году возросло на 22% по

сравнению с 2012 годом - InfoWatch

• … на 62% - Symantec

• 37% опрошенных признаются, что при увольнении копировали и уносили собственные наработки, 19% — уникальные разработки, созданные в команде, 11% — базы клиентов и партнеров, 6% — результаты труда коллег, а 3% – конфиденциальные сведения о компании (2014 год). Работники при этом рассчитывают на практическую пользу от этих материалов в будущем — в последующей работе (80%) или при трудоустройстве (25%). - HH.ru

• Каждый 3й работник уже выносил нужные файлы за пределы корпоративной сети либо планирует так поступить в будущем. - HH.ru

Еще немного аналитики

• Топ 5 типов СЗИ: средства Endpoint Security 45%,

MDM 42%, DLP 39%, криптографические средства

39%, SIEM 36%. - Ponemon Institute

• Топ 5 СЗИ, необходимых для защиты от утечки по

мнению опрошенных: инструменты сетевой

безопасности 31%, системы управления доступом

30%, IDS/IPS 27%, DLP 23%, антивирусное ПО

23%. - Vormetric

• 43% организаций используют DLP, 13%

планируют к внедрению в течении года, 10% не

планируют и не заинтересованы. - Vormetric

• В среднем 43% организаций готовы к

предотвращению утечек. - Ponemon Institute

• Только 44% организаций имеют программу

повышения осведомленности по вопросам защиты данных. - Ponemon Institute

И еще немного аналитики

Модули DLP

Network

Discovery

Endpoint

InfoWatch Crawler

Уровень сети

Уровень хранилищ данных

Уровень узла (хоста)

СЗНПИ (средство защиты от несанкционированной передачи (вывода) информации) - программные средства, используемые в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, и реализующим функции обнаружения и предотвращения несанкционированной передачи (вывода) информации ограниченного доступа из защищенного сегмента информационной системы на основе анализа смыслового содержания информации

ФСТЭК России: DLP -> СЗНПИ

Из проекта документов ФСТЭК России (по 15408)

DLP Защита от

утечки

Зачастую ставят неверное равенство между «DLP» и «Защитой информации от утечки»:

• Защита от утечки – не только DLP • DLP – не только защита от утечки

1. Организационные меры и документирование требований

2. Настройка систем и использование средств защиты информации

3. Мониторинг и контроль

4. Регулярные процедуры

5. Видеонаблюдение и пропускной режим

Комплексный подход к

защите от утечки информации

Из Базовой модели угроз утечки информации InfoWatch

+ маппинг ISO 27001-2013

Задачи DLP

Мониторинг и контроль каналов утечки информации

Мониторинг трудовых отношений (рабочее время, отношения в коллективе, желание уволиться…)

Compliance (ПДн, PCI DSS, СТО БР ИББС, 27001)

Выявление экономических преступлений (откаты, сговор, мошенничество)

ISO 27001 и DLP

Задача 27001-2005 (старая версия) 27001-2013

Инвентаризация и категорирование информации

A.7.1 Responsibility for assets

A.7.2 Information classification

A.8.1.1 Inventory of assets

A.8.2.1 Classification of information

Контроль обмена информацией и предотвращение утечек

A.10.8 Exchange of information

A.12.5.4 Information leakage

A.13.2 Information transfer

Контроль носителей информации

A.10.7 Media handling A.8.3 Media handling

Сбор событий и управление инцидентами

A.10.10 Monitoring

A.13 Information security incident management

A.12.4 Logging and monitoring

A.16 Information security incident management

Защита персональных данных

A.15.1.4 Data protection and privacy of personal information

A.18.1.4 Privacy and protection of personally identifiable information

Защита интеллектуальной собственности

A.15.1.2 Intellectual property rights (IPR)

A.18.1.2 Intellectual property rights

Современные DLP системы – аналитический инструмент специалистов #поИБэ

Соотношение случайных и умышленных утечек, 2012 - 2013 гг

1. Потеря съемных носителей 2. Потеря мобильных устройств (в т.ч. в результате

кражи) 3. Небрежное обращение с бумажными документами 4. Ошибочная пересылка электронных сообщений 5. Ошибочная пересылка почтовых отправлений и

факсов 6. Ошибочное предоставление прав доступа,

выкладывание закрытой информации в общий доступ 7. Небрежная утилизация бумажных документов 8. Небрежная утилизация оборудования 9. Передача оборудования, содержащего информацию

ограниченного доступа, на техническое обслуживание третьим лицам

10. Нарушение политики безопасности по просьбе других сотрудников и прочих лиц (социальная инженерия)

10 ошибок сотрудников

Ущерб от утечки может быть от 0 до полного краха

компании (банкротство)

Методика Ponemon Institute

Стоимость утечки 1 записи: • $136 в 2013 году • $145 в 2014

Стоимость утечки информации посчитать сложно. Необходимо учитывать огромное количество данных, причем в среднесрочной перспективе (~1 год)

• Состав данных (ПДн, КТ, PAN, логин/пароль…)

• Количество записей/масштаб • Отрасль (отраслевые

регуляторы, конкуренция) • Страна (требования по

реагированию, штрафы) • Действия компании после

утечки (реакция, комментарии) • Время обнаружения • Источник обнаружения утечки • Источник утечки и его умысле • Внимание СМИ • Зрелость процессов ИБ

(особенно «управление инцидентами»)

• Дальнейшие действия с утекшими данными (публикация, мошенничество…)

• Стоимость восстановления данных

• Стоимость восстановления (закупки) носителей взамен утерянных

• Особенности процесса реагирования

• Наличие средств мониторинга (DLP, SIEM, IDS/IPS…)

• Компенсации пострадавшим • Управленческое решение по

факту утечки информации • …

Что влияет на величину ущерба?

Ущерб от утечки информации

Затраты на реагирование и расследование

Юр.преследование со стороны 3х лиц

Репутационные потери и

упущенная выгода

Компенсации пострадавшим

Трудозатраты персонала при

проверках регуляторов

Совершенствование системы защиты

Штраф и другие санкции

регуляторов

Ущерб от мошеннических

действий

1. 2.

4.

7. 8.

5.

3.

6.

«Удобнее» всего оценивать

Затраты на реагирование и расследование

Репутационные потери и

упущенная выгода

Штраф и другие санкции

регуляторов

1. 2.

4.

7.

5.

7.

6. • Трудозатраты персонала x величину ЗП

• Консалтинг • Стоимость

специального оборудования

• Кол-во клиентов: переставших пользоваться услугами компании

• Замедление темпов роста («непришедшие новые клиенты»)

• Кол-во клиентов, которых переманили конкуренты

х на среднюю прибыль с 1 клиента в год

• Штрафы • Угроза отзыва

лицензий / приостановления деятельности

Процесс реагирования

Выявленная утечка

Подозрение об утечке

Регулярный анализ

Внутреннее / внешнее

расследование (анализ

инцидента)

«Управленческое решение»

«Управленческое решение»

1. «Понять и простить»

2. «Присмотреться получше»

3. Изменение прав доступа (расширение или ограничение)

4. Пересмотр правил ИБ (орг. и тех.)

5. Обучение и повышение осведомленности персонала

6. Мотивация персонала

7. Лишение благ и привилегий

8. Кадровые перестановки

9. Решение об увольнении (по собственному желанию / по соглашению сторон)

10. Дисциплинарные взыскания (втч увольнение)

11. Решение о преследовании в судебном порядке

12. «Вывоз в лес»

Реагирование и расследование

инцидентов

• Специалист ИБ

• Специалист ИБ • Руководитель ИБ • Сотрудник

компании

• Специалист ИБ • Руководитель ИБ • Сотрудник ИТ • Специалист ИТ • Руководитель

подразделения • Сотрудник

компании (*Х) • Сотрудник HR • Юрист

• Специалист ИБ • Руководитель ИБ • Сотрудник ИТ • Специалист ИТ • Руководитель

подразделения • Сотрудник

компании (*Х) • Руководитель HR • Сотрудник HR • Юрист • Руководитель PR • Сотрудник PR • Топ-менеджер

(*Х)

• Внешние консультанты

Зависимость состава рабочей группы от масштаба утечки и ценности информации

Пример (по РФ)

методика InfoWatch

1 2 3

Отрасль Финансы Телеком и ИТ Ритейл

Состав данных ПДн 200 клиентов (сканы паспортов и

анкеты)

1,2 млн. логинов и паролей к эл.почте

1 000 000 анкет клиентов (не

критичные ПДн)

1.Затраты на реагирование, устранение и расследование

800 $ 56 000 $ 9 200 $

2.Репутационные потери и упущенная выгода

50 000$ 1 000 000 $ 616 000 $

7.Штрафы и другие санкции регуляторов

200 $ 200 $ 200 $

Итого 51 000 $ 1 056 200 $ 625 400 $

Россия на 2м месте в мире по количеству выявленных утечек

• Защита ПДн (85+ % утекших данных - ПДн)

• Рекомендации по наличию функционала DLP в приказах ФСТЭК России №21 (ПДн), №17 (ГосИС), №31 (АСУ ТП) + методические рекомендации

• Комплект документов по сертификации средств защиты информации (по ГОСТ 15408):

– Требования к средствам контроля съемных носителей информации

– Требования к средствам защиты от несанкционированной передачи (вывода) информации (проект)

• Ожидаем повышение штрафов (с 200$ до 10 000-20 000$):

• Рекомендации ЦБ РФ про защиту от утечки:

– Положения в СТО БР ИББС 1.0-2014

– (проект) Предотвращение утечек информации

• (проект)Требования по защите ПДн от утечки (Минздрав)

• Развитие темы управления инцидентами (методика ЦБ РФ) + идея национальных CERTов

Защита от утечки в РФ

InfoWatch подходит к защите информации комплексно и

системно!

Цикл вебинаров DLP-Hero

http://www.infowatch.ru/webinar/dlp-hero

…

26.11.2014 11.00 (Мск)

Təşəkkür edirəm!

www.infowatch.ru

+7 495 22 900 22

Андрей Прозоров, CISM Моя почта: Andrey.Prozorov@infowatch.com

Мой твиттер: twitter.com/3dwave

Мой блог: 80na20.blogspot.com