All about … DLP

v.1.1 от 08.02.2016

Прозоров Андрей, CISM

Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Источники угроз

JSOC Q3 2015
2
Внутренние угрозы

JSOC Q3 2015
3
Источники внутренних угроз

JSOC Q3 2015
4
Опрос HH.RU «Шпионы на работе»
• 37% опрошенных признаются, что при увольнении
копировали и уносили собственные наработки, 19% —
уникальные разработки, созданные в команде, 11% —
базы клиентов и партнеров, 6% — результаты труда
коллег, а 3% – конфиденциальные сведения о компании.
• Работники при этом рассчитывают на практическую пользу
от этих материалов в будущем — в последующей работе
(80%) или при трудоустройстве (25%).
• Каждый 3й работник уже выносил нужные файлы за
пределы корпоративной сети либо планирует так
поступить в будущем.

5
Каналы утечки

JSOC Q3 2015
6
Проблема терминологии…

7
Что не так на этой фотографии?

8
9
What Is Insider Threat?
NIST:
«Inside(r) Threat – An entity with authorized access (i.e.,
within the security domain) that has the potential to harm an
information system or enterprise through destruction,
disclosure, modification of data, and/or denial of service.»

CERT:
«A malicious insider threat to an organization is a current or
former employee, contractor, or other business partner who
has or had authorized access to an organization’s network,
system, or data and intentionally exceeded or misused that
access in a manner that negatively affected the
confidentiality, integrity, or availability of the organization’s
information or information systems. In addition, insider
threats can also be unintentional (non-malicious).»
10
Термин «инсайдер» в словарях
Вики:
Инсайдер (англ. insider) — член какой-либо группы людей,
имеющей доступ к информации, недоступной широкой
публике. Термин используется в контексте, связанном с
секретной, скрытой или какой-либо другой закрытой
информацией или знаниями: инсайдер — это член группы,
обладающий информацией, имеющейся только у этой
группы.
Большой экономический словарь:
Инсайдер — (от англ, inside-внутри) лицо, имеющее
благодаря своему служебному положению или
родственным связям доступ к конфиденциальной
информации о делах фирмы. 11
Инсайдеры в фин.сфере
Федеральный закон Российской Федерации от 27 июля 2010 г. N 224-ФЗ «О
противодействии неправомерному использованию инсайдерской информации и
манипулированию рынком и о внесении изменений в отдельные законодательные
акты Российской Федерации»:
«Инсайдерская информация - точная и конкретная информация, которая не была
распространена или предоставлена (в том числе сведения, составляющие
коммерческую, служебную, банковскую тайну, тайну связи (в части информации о
почтовых переводах денежных средств) и иную охраняемую законом тайну),
распространение или предоставление которой может оказать существенное
влияние на цены финансовых инструментов, иностранной валюты и (или) товаров (в
том числе сведения, касающиеся одного или нескольких эмитентов эмиссионных
ценных бумаг, одной или нескольких управляющих компаний инвестиционных
фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов,
одного или нескольких хозяйствующих субъектов, указанных в пункте 2 статьи 4
настоящего Федерального закона, либо одного или нескольких финансовых
инструментов, иностранной валюты и (или) товаров) и которая относится к
информации, включенной в соответствующий перечень инсайдерской информации,
указанный в статье 3 настоящего Федерального закона.»
Статья 4. Инсайдеры
К инсайдерам относятся следующие лица:
… «имеющие доступ к инсайдерской информации»…

12
Инсайдер Внутренний нарушитель

13
Термин «утечка» по ФСТЭК России
• БМУ ПДн ФСТЭК России
• Р 50.1.053-2005 «ИТ. Основные термины и
определения в области технической защиты
информации»
• Р 50.1.056-2005 «Техническая защита информации.
Основные термины и определения»

«Утечка (информации) по техническому каналу (Leakage):

Неконтролируемое распространение информации от
носителя защищаемой информации через физическую среду
до технического средства, осуществляющего перехват
информации.»

14
ГОСТ Р 53114-2008 Защита информации. Обеспечение
информационной безопасности в организации. Основные
термины и определения
• «Утечка информации – Неконтролируемое распространение
защищаемой информации в результате ее разглашения,
несанкционированного доступа к информации и получения
защищаемой информации иностранными разведками»

ГОСТ Р 50922-2006 Защита информации. Основные термины и

определения
• «Защита информации от утечки – Защита информации,
направленная на предотвращение неконтролируемого
распространения защищаемой информации в результате ее
разглашения и несанкционированного доступа к ней, а также на
исключение (затруднение) получения защищаемой
информации [иностранными] разведками и другими
заинтересованными субъектами. Примечание -
Заинтересованными субъектами могут быть: государство,
юридическое лицо, группа физических лиц, отдельное
физическое лицо.»
15
РС БР ИББС 2.9 (проект)
«Предотвращение утечек безопасности»
• Утечка информации – несанкционированное предоставление или
распространение информации конфиденциального характера,
неконтролируемое организацией БС РФ.

Примечание. В настоящем документе рассматривается только случаи

утечки информации, реализуемые в результате действия работников
организации БС РФ и (или) иных лиц, обладающих легальным доступом
к информации или легальным доступом в помещения, в которых
осуществляется обработка информации

• Предоставление информации – действия, направленные на получение информации

определенным кругом лиц или передачу информации определенному кругу лиц.
• Распространение информации – действия, направленные на получение информации
неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
• Защита информации от утечки – деятельность, направленная на предотвращение
неконтролируемого предоставления или распространения информации
конфиденциального характера.

16
Leakage/Loss/Breach
ISACA:
Data leakage - Siphoning out or leaking information by
dumping computer files or stealing computer reports
and tapes.
NIST:
Data Loss – The exposure of proprietary, sensitive, or
classified information through either data theft or data
leakage.
PTAC:
A data breach is the intentional or unintentional release
of secure information to an untrusted environment.
17
Причины утечки информации

18
 Еще одно мнение про источники

http://www.idtheftcenter.org 19
Утечки по отраслям

20
 Утечки Внутренние
информации угрозы

Используем DLP для

контроля

21
 Защита от внутренних угроз
• DLP и аналоги
• IdM
• SIEM
• СКУД
• АВЗ
• HIPS
Процедуры • Антифрод
и
требования
• …

• Управление доступом
• Управление инцидентами СЗИ и
• Повышение осведомленности мониторинг
• Резервное копирование и
восстановление
• Перечень допустимого ПО и
контроль конфигураций
• Политика допустимого использования
• Режим КТ
• Физическая безопасность 22
• …
“By 2018, 90% of organizations will
implement at least one form of integrated
DLP, up from 50% today.”

Gartner «Magic Quadrant for Enterprise Data Loss

Prevention» (2016-01-28)

23
Приоритеты по ИБ на 2016 год
EnY опросили 1755 руководителей ИТ и ИБ

24
Vormetric 2015

25
Термин DLP и аналоги
• ADL: Anti Data Leakage - The 451 Group
• ALS: Anti-Leakage Software - Ernst&Young
• CMF: Content Monitoring and Filtering - Gartner
• EPS: Extrusion Prevention System
• ILP: Information Leak Prevention, Information Leak
Protection - Forrester
• IPC: Information Protection and Control - IDC
• ITP: Insider Threat Prevention

• ILDP: Information Leak Detection and Prevention – IDC

• DLP: Data Leakage Prevention, Data Loss Prevention, Data
Leak Prevention, Data Leakage Protection - IDC (~c 2005)
• СЗНПИ: средство защиты от несанкционированной
передачи (вывода) информации - ФСТЭК России, 2013
26
Характеристики DLP по Forrester

• Многоканальность
• Унифицированный
менеджмент
• Активная защита
• Учет содержания и контекста

27
DLP по Gartner
• Gartner defines the data loss prevention (DLP) market
as those technologies that, as a core function, perform
both content inspection and contextual analysis of
data at rest on-premises or in cloud applications and
cloud storage, in motion over the network, or in use
on a managed endpoint device.
• DLP solutions can execute responses — ranging from
simple notification to active blocking — based on
policy and rules defined to address the risk of
inadvertent or accidental leaks, or exposure of
sensitive data outside authorized channels.

28
DLP по ФСТЭК России
СЗНПИ (средство защиты от несанкционированной
передачи (вывода) информации) - программные
средства, используемые в целях обеспечения защиты
(некриптографическими методами) информации,
содержащей сведения, составляющие
государственную тайну, иной информации с
ограниченным доступом, и реализующим функции
обнаружения и предотвращения
несанкционированной передачи (вывода)
информации ограниченного доступа из защищенного
сегмента информационной системы на основе
анализа смыслового содержания информации.
29
Позиция ФСТЭК России

DLP – средство защиты информации,

а значит оно должно уметь
блокировать передачу информации
ограниченного доступа…

30
 Рекомендации ФСТЭК России
по функционалу DLP
ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ,
ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ
ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ
ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:
• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы
сетевых соединений, включая сети связи общего пользования, и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители
информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и
реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из
буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота,
базы данных, почтовые архивы и иные ресурсы).
Требования к усилению
• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы
информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение
времени, определяемого оператором;
• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с
недопустимым содержанием

Методический документ. Меры защиты информации в государственных

31 ИС
Базовая идея DLP
Уровень узла (хоста),
Data-in-Use
Endpoint

Crawler

Discovery Уровень сети,

Data-in-Motion

Уровень хранилищ Network

данных, Data at rest

32
Иногда термином «DLP» ошибочно
называют следующие системы с
расширенным функционалом:
• Системы контроля съемных носителей
• Кейлоггеры
• Системы контроля рабочего времени работников
• Снифферы трафика
• Прокси-серверы и МСЭ
• Системы электронного документооборота
(с метками документов)
• Решения для защиты эл.почты
• …
33
Принцип работы DLP

34
Как DLP понимает события?

Контекстный
анализ

Контентный
анализ

35
Контекстный анализ
• Активность (дата/время, периодичность, частота)
• Отправитель (права пользователя, группы (втч под
особым контролем, например, «На увольнении»)
и роли)
• Получатель (внутренний/внешний,
знакомый/неизвестный, «из перечня» и пр.)
• Канал передачи, протокол передачи,
тип приложения
• Местоположение
(географическое и аппаратное)
36
Контентный анализ
• Анализ вложения (тип вложения (формат),
наименование файла, размер, цифровые
отпечатки бинарных файлов, свойства файлов)
• Регулярные выражения, БКФ и другие
лингвистические методы (например, выявление
опечаток и транслитерации)
• Идентификаторы / текстовые объекты по
определенной структуре (ИНН, номер паспорта,
номер кредитной карты и пр.)
• Шаблоны документов / документы по
определенной структуре (анкеты, протоколы,
заявления и пр.)
• Цифровые отпечатки (текст) и выгрузки из БД
• Анализ изображений и схем (сканы паспортов,
кредитные карты, карты местности, схемы,
подписи, печати и штампы и пр.)
• Цифровые метки
37
Задачи, решаемые DLP

Основные Дополнительные
• Снижение рисков утечки • Снижение кадровых рисков
информации • Контроль рабочего времени
• Обеспечение возможности • Анализ процессов обмена
расследования инцидентов информации (каналы передачи и
утечки информации места хранения)
• Выявление экономических • …
преступлений
• Compliance

38
39
Дилемма DLP: блокировать или нет?

Блокировать Только мониторить

• Возможность защиты • Меньше рисков нарушения
действительно важной работы бизнес-процессов
информации от случайной утечки • Возможность наказания за
• Наличие формальных требований разглашение информации
• Наказание только за нарушение ограниченного доступа
правил обработки и защиты
информации (слабое)
• Недовольство пользователей

40
К сожалению, система DLP без
процесса управления инцидентами
практически бесполезна…

41
http://solarsecurity.ru/analytics/webinars/614
42
Термины по ГОСТ 27000-2012

• Событие ИБ – выявленное состояние системы, услуги или

состояние сети, указывающее на возможное нарушение
политики обеспечения ИБ, нарушение или отказ мер и
средств контроля и управления или прежде неизвестная
ситуации, которая может иметь значение для
безопасности.

• Инцидент ИБ – одно или несколько нежелательных или

неожиданных событий ИБ, которые со значительной
степенью вероятности приводят к компрометации
бизнеса и создают угрозы для ИБ.

43
Типовые инциденты
(утечки информации и внутрикорпоративное мошенничество)

• Увольняющийся сотрудник скопировал на флешку все, что с мог

достать (наработки, методологии, базу клиентов, проектную
документацию, стратегии и планы)
• Сотрудник отдела закупок договорился с поставщиком о
завышении закупочных цен при условии личной мотивации
(откат)
• Операционист в банке пересылает заявления на кредиты
своему коллеге в конкурирующем банке, который
переманивает этих клиентов, делая целевые
контрпредложения
• Сотрудник одела продаж некоторые заказы проводит через
свою фирму
• Секретарь регулярно пересылает протоколы совещаний
руководства на незнакомый внешний ящик электронной почты
• …

44
Процедура упр.инцидентами
1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

45
 Ограничения по ТК РФ
1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование на
2.Выявление инцидентов инцидент
6 мес.
1 мес.
4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

46
 1.Обнаружение и регистрация событий системой DLP -

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

47
 1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

48
Что запускает работу ИБ?
Источник Оперативность
1. Оповещение по email Высокая
2. Оповещение в системе DLP Высокая
3. Оповещение по SMS Высокая
4. Информация на рабочем столе (Dashboard) Средняя
5. Информация из автоматического регулярного отчета Средняя
6. Информация из отчетов по запросу Низкая
7. Регулярный мониторинг и анализ Низкая
8. Внешняя информация об инциденте Низкая
9. Запрос со стороны руководства / заинтересованных лиц Низкая
10. «Чутье» (Подозрение на инцидент) Низкая
11. Скука / Интерес Низкая

49
Рабочий стол офицера ИБ
Solar Dozor v.6

1. Регулярный мониторинг событий

2. Расследование инцидентов
50
Фокус внимания на самое важное
Досье на Досье на персон и
информационные группы:
объекты: • Общая
• места хранения информация
• каналы передачи • События и
• отправители и инциденты
получатели Информация Люди • Граф-связей
• Уровень доверия
(«карма»)

События и
инциденты
• Канал передачи
• Сработавшая политика
• Отправители и получатели
51
 1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

52
 Оперативное реагирование
Технические Организационные
• Блокировка передачи (с • Получение объяснительной
уведомлением / без уведомления) • Изъятие оборудования*
• Блокировка передачи до • Досмотр*
подтверждения • Обращение в МВД России / ФСБ
• Отправка сообщения с России
реконструкцией: • Задержание до выяснения*
• Удаление информации
ограниченного доступа
• Замена информации на
предупреждение
• Добавление предупреждения
• Блокирование доступа к ИС
• Оповещение службы охраны / ЧОП

53
 1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

54
Спец.инструменты расследования
1. Детальная информация об инциденте и Архив
сообщений
2. Отчеты и Поиск
3. «Досье» (на субъекта или группу)
4. «Уровень доверия» / «Карма» / Рейтинг нарушителей
5. «Граф связей»
6. «Досье» на информационные объекты
7. Снимки экрана / Видеозапись экрана / Рабочий стол в
режиме реального времени
8. Аудиозапись / Видеозапись пользователя
9. Кейлоггер
10. Контроль рабочего времени (запуск программ и
«активное» окно)
11. Категоризатор сайтов сети Интернет
55
 1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

56
Пример модели принятия решения
по инциденту (по сумме баллов)
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1

2. Выявлен ли умысел сотрудника?

Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0

3. Какой уровень доверия к сотруднику?

Низкий – 3; Обычный – 1; Высокий – 0

4. Были ли у сотрудника инциденты до этого?

Да – 2; Нет – 0

5. Какова вероятность, что инцидент повториться у

этого сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0

до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В 57

Решение в случае виновности
1. Перевод в группу «Особый контроль»
А) По решению ИБ 2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий
(втч и лишение прав доступа)
Б) По решению 5. Дисциплинарные взыскания:
руководства и HR – замечание
– выговор
В) По решению – увольнение по соответствующим
руководства, HR, основаниям
юристов и ИБ. 6. Увольнение по инициативе работника /
Необходимо четкое по соглашению сторон
понимание процедур и 7. Возмещение ущерба
высокий уровень 8. Уголовное преследование
«бумажной
9. Прочее
безопасности»

58
Дисциплинарные взыскания
ТК РФ ст.192-193
• 1 дисциплинарный проступок – 1 дисциплинарное
взыскание
• Не позднее 6 месяцев со дня совершения проступка
• Не позднее 1 месяца со дня обнаружения проступка
• Необходимо запросить от работника письменное
объяснение

Статья 81. Расторжение трудового договора по

инициативе работодателя
6) однократного грубого нарушения работником трудовых обязанностей:
в) разглашения охраняемой законом тайны (государственной, коммерческой,
служебной и иной), ставшей известной работнику в связи с исполнением им трудовых
обязанностей, в том числе разглашения персональных данных другого работника

59
 «Идеальная» процедура увольнения
№ Шаги
1. Обнаружение инцидента, сбор
дополнительной информации
2. Обсуждение возможных
вариантов реагирования
3. Запрос объяснительной
записки от работника
(желательно под роспись)
4. Заседание Комиссии
(хорошей практикой является
заседание 2х комиссий: по
расследованию и по кадровым
вопросам)
5. Принятие решения об
увольнении, издание
соответствующего приказа
Шаблоны документов http://www.infowatch.ru/iwc_files/12803
Ключевое Документы
подразделение
ИБ Краткий отчет об инциденте,
Служебная записка
Руководство и Приказ о проведении служебного
HR расследования (о создании
Комиссии)
HR Объяснительная записка / Акт об
отказе
HR, ИБ Протокол(-ы) заседания комиссии
(краткое описание инцидента,
оценка тяжести проступка,
обстоятельства дела, величина
ущерба, решение)
HR, руководство Приказ о применении
дисциплинарного взыскания / Акт
об отказе ознакомления
60
Материальная ответственность
ТК РФ ст.238-250
• Работник обязан возместить работодателю
причиненный ему прямой действительный
ущерб. Неполученные доходы (упущенная
выгода) взысканию с работника не подлежат.
• Работник несет материальную ответственность в
пределах своего среднего месячного заработка.
Если больше, то нужно судебное решение.

61
Статьи УК РФ
• Статья 183. Незаконные получение и разглашение сведений, составляющих
коммерческую, налоговую или банковскую тайну
• Статья 185.6. Неправомерное использование инсайдерской информации
• Статья 147. Нарушение изобретательских и патентных прав
• Статья 159. Мошенничество
• Статья 163. Вымогательство
• Статья 272. Неправомерный доступ к компьютерной информации
• Статья 273. Создание, использование и распространение вредоносных
компьютерных программ
• Статья 274. Нарушение правил эксплуатации средств хранения, обработки
или передачи компьютерной информации и информационно-
телекоммуникационных сетей
• Статья 276. Шпионаж
• Статья 283. Разглашение государственной тайны

62
Про доказательства для Суда
Важные:
• По ТК РФ: Объяснительная от работника (либо Акт об
отказе), Служебная записка об инциденте и Протокол
заседания комиссии, рассматривающей инцидент. В документах
следует указать краткое описание инцидента, оценку тяжести и
обстоятельства совершенного проступка.
• По УПК: Показания потерпевшего, свидетеля, Заключение и
показания эксперта и Заключение и показания специалиста,
Вещественные доказательства.

Отчеты DLP вторичны, но тоже принимаются Судом.

Дополнительно к отчету рекомендуется приложить краткое
описание решения с указанием сертификатов (подойдет брошюра
от производителя).

63
Про каналы Просто доказать

утечки Корпоративная эл.почта

Личная эл.почта
(с корп.устройств)
Кража электронных
Сеть Интернет
носителей и/или средств
обработки информации Корпоративные
мессенджеры
Агент на ПК для облачных
хранилищ

Сложно выявить Просто выявить

Персональные мессенджеры
Предоставление Личная эл.почта
неправомерных (с персональных устройств)
расширенных прав доступа к Внешние (съемные)
ИС носители
Вынос бумажных Печать документов
документов (твердые копии)
Синхронизация мобильных
Фото и видео устройств
Аудио (разговор)

Сложно доказать 64
Статья 23
1) Каждый имеет право на неприкосновенность
частной жизни, личную и семейную тайну,
защиту своей чести и доброго имени.

2) Каждый имеет право на тайну переписки,

телефонных переговоров, почтовых,
телеграфных и иных сообщений. Ограничение
этого права допускается только на основании
судебного решения.

65
http://80na20.blogspot.ru/2015/12/blog-post_14.html
66
 Легализация DLP
1. Работодатель, как обладатель (владелец) информации, информационных
систем и сервисов, обладает правом предъявлять требования по их
использованию и контролировать их выполнение. В организации определен
Перечень информации ограниченного доступа, Правила работы с информацией
ограниченного доступа, Политика допустимого использования (средств
обработки и ИТ-сервисов). В частности, в явном виде запрещена передача
информации ограниченного доступа с использованием персональных средств и
систем (например, личной электронной почты или мессенджеров, не
утвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию на
корпоративных ресурсах (рабочие станции и файловые хранилища) и
передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет).
3. Работники уведомлены, что правила использования корпоративной
информации и информационных ресурсов регулярно контролируются с
использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода
услуги и не обеспечивает тайну связи для передачи информации по своим
корпоративным каналам. О возможности мониторинга и контроля
67
корпоративной переписки известно работникам (см.п 3).
 Легализация DLP (продолжение)
5. У работодателя отсутствует умысел нарушения тайны частной жизни.
Предполагается, что на контролируемых ресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то она
будет удалена, а к работнику могут применяться дисциплинарные взыскания
за нарушение правил внутреннего трудового распорядка.
7. Обнаруженная личная информация не будет использована (по крайней мере
официально) при принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников.
Содержание информации, хранимой в личных сервисах передачи данных
(например, внешняя эл.почта) не проверяется даже при получении такой
возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контроле
входящей почты. Работники уведомлены, что они обязаны уведомить тех, с
кем общаются, о недопустимости использовании корпоративных сервисов для
осуществления любых видов коммуникаций, не связанных со служебной
деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована
(по крайней мере официально) при принятии решений.

68
 1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование
2.Выявление инцидентов
на инцидент

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

69
Что после реагирования?

• Подготовка и передача материалов на хранение (архив)

• Анализ причин инцидента
• Подготовка итогового отчета (при необходимости)
• Проведение итогового совещания (при необходимости)
• Награждение (или наказание) участников процедуры
управления инцидентами (при необходимости)
• Решение о том, «что делать дальше»

70
Что дальше?
• Ничего, все молодцы
• Проведение Аудита ИБ и/или дополнительных проверок
• Совершенствование процедуры управления инцидентами
• Совершенствование системы ИБ:
– Пересмотр прав доступа
– Пересмотр требований по обработке и хранению информации
– Обучение и повышение осведомленности:
– «Точная» настройка СЗИ
– Внедрение новых мер и СЗИ
– …
• Пересмотр кадровой политики (процедура найма и увольнения,
мотивация персонала, корпоративная культура)
• Изменение бизнес-процессов

71
Обучение и повышение осведомленности
Кто? Тематики
Рядовые • Правила работы с информацией и средствами обработки
пользователи • Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность

ИТ и ИБ- • Процедуры обнаружения и реагирования на инциденты

специалисты • Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации

HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации,

мотивации, взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)

Менеджмент • Кейсы (инциденты и ущерб)

• Базовые рекомендации по защите информации

72
Краткий обзор рынка
систем DLP в России и Мире

73
 DLP в Мире, 2016

https://digitalguardian.com 74
Рынок DLP в России, 2014

Не только лишь DLP:

75
Пример сравнения DLP (2014)

• https://www.anti-
malware.ru/comparisons/data_leak_protectio
n_2014_part1
• https://www.anti-
malware.ru/comparisons/data_leak_protectio
n_2014_part2

76
Проблема сравнений DLP
• Объективность и непредвзятость 
• Какая методология? (изучение стенда, анализ
маркетинговых материалов, опрос
производителя, опрос заказчиков и пр.)
• А какая версия и состав модулей?
• Готовы ли сами производители сравнивать
решения и публиковать итог?
• Много неконкретных критериев
• Слишком много критериев (что важное?)

77
Об этом часто «преувеличивают»
• Сертификаты (на какую версию, модули)
• Возможность блокировки / реагирования
• Системные требования
• Технологии анализа и возможность анализа на
агенте
• Нестандартные протоколы, ОС и другие условия
(например, DLP на мобильных устройствах)
• Интеграция и совместные проекты
• Централизованное управление
• Масштабируемость
• Гибкость и скорость построения отчетов и поиска
• Скорость и простота внедрения и настройки
78
 Сравнение DLP и аналогов
Solar Intel
InfoWatch Security SearchInform Symantec Security
(Дозор) (McAfee)
Функционал DLP
(рекомендации ФСТЭК России)

Технологии анализа
Инструменты расследования
инцидентов
Отчеты и консоль управления
Импортозамещение
(возможность использовать для
гос.органов)
Цена

Выбраны ключевые игроки рынка РФ и важнейшие верхнеуровневые

критерии. Задача: В таблице 8 красных («слабая сторона продукта»), 6
желтых («ну, нормально») и 16 зеленых ячеек («сильная сторона
продукта»). Расставьте ))
79
Лучшее решение - тестирование (пилот) на своей
площадке с заранее определенными
критериями сравнения.
Кстати, удобно проранжировать их по степени
важности…

80
Вопросы при выборе DLP
1. Какие задачи планируется решать? Какая самая главная?
2. Какие область действия (scope) и ограничения проекта?
3. Какие каналы требуется мониторить? Мониторинг или
блокировка? Требуется ли блокировка на агенте?
4. Какие технологии анализа необходимы?
5. Необходимо ли хранение всех сообщений или только
инциденты? Сколько по времени?
6. А может посчитаем TCO? А какие будут трудозатраты на
работу с системой? Какой % ложных срабатываний?
Насколько сложно настраивать политики DLP?
7. Необходим ли сертификат ФСТЭК России?
8. Есть ли система в реестре отечественного ПО
https://reestr.minsvyaz.ru ?
9. …
81
Дополнительные материалы
• CERT: Insider Threat - http://cert.org/insider-threat/
• Библиотека SANS - www.sans.org

• Статьи и материалы Anti-malware.ru - https://www.anti-

malware.ru/data_leak_protection
• Статьи и материалы Information Security - http://www.itsec.ru
• Вебинары, статьи и другие материалы производителей DLP
• Мой блог - http://80na20.blogspot.ru

82
83
 Базы инцидентов и новости про
утечки информации
• http://breachlevelindex.com
• http://www.informationisbeautiful.net/visualizations/worlds-
biggest-data-breaches-hacks
• http://www.trendmicro.com/vinfo/us/security/news/data-breach
• https://www.privacyrights.org/data-breach/new
• http://oag.ca.gov/ecrime/databreach/list
• http://www.infowatch.ru/analytics/leaks_monitoring
• ITRC Data Breach Report:
– 2016 - http://www.idtheftcenter.org/2016databreaches.html
– 2015 - http://www.idtheftcenter.org/ITRC-Surveys-Studies/2015databreaches.html
– 2014 - http://www.idtheftcenter.org/ITRC-Surveys-Studies/2014databreaches.html
84
Аналитика про утечки
• JSOC Security flash report - http://solarsecurity.ru/analytics/reports
• Опрос HH.RU «Шпионы на работе» 2014 http://hh.ru/article/14682
• Creating trust in the digital world. EY’s Global Information Security Survey
2015 - http://www.ey.com/Publication/vwLUAssets/ey-global-information-
security-survey-2015/$FILE/ey-global-information-security-survey-2015.pdf
• The 2015 Vormetric Insider Threat Report -
http://www.vormetric.com/campaigns/insiderthreat/2015
• Verizon 2015 Data Breach Investigations Report -
http://news.verizonenterprise.com/2015/04/2015-data-breach-report-info
• Symantec Internet Security Threat Report (ISTR 20) -
https://www.symantec.com/security_response/publications/threatreport.jsp
• Check Point 2015 Security Report -
http://www.checkpoint.com/resources/2015securityreport
• Ponemon Institute: 2015 Cost of Cyber Crime Study: Russian Federation
• Ponemon Institute: Cost of Data Breach Study
85
Вебинары от DLP вендоров (РФ)
• Как реагировать на инциденты ИБ с помощью DLP -
http://solarsecurity.ru/analytics/webinars/614
• Один день офицера по безопасности. Стандартные
сценарии работы с DLP-системой -
http://solarsecurity.ru/analytics/webinars/590
• Используем DLP «по закону» -
http://www.infowatch.ru/webinar/iw_10_07_2014
• 4 «горячих» юридических вопроса про DLP -
http://www.infowatch.ru/webinar/iw_13_08_2014
• Начинаем работать с моделью зрелости DLP -
http://www.infowatch.ru/webinar/iw_23_06_2015
• …
86
Направления исследований для
курсовых и дипломных работ
• Результативность и эффективность DLP
• Анализ поведения работников / Прогнозирование
инцидентов / Big Data
• Обеспечение экономической безопасности с
использованием DLP
• Решение кадровых проблем с использованием DLP
• Комплексный подход в защите от внутренних угроз
/ инсайдеров / утечек информации
• Контентный анализ (мат.модели)
• Методология использования DLP Discovery
• Инвентаризация и классификация информации
• … 87
Спасибо за внимание!
Прозоров Андрей, CISM

Мой блог: 80na20.blogspot.com

Мой твиттер: twitter.com/3dwave
Моя почта: prozorov.info@gmail.com

88