Академический Документы
Профессиональный Документы
Культура Документы
А что дальше?
ПРОЗОРОВ АНДРЕЙ, CISM, ЧЛЕН АРСИБ
2016-04-14 1
“By 2018, 90% of organizations will
implement at least one form of integrated
DLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-
28)
2016-04-14 2
Многие компании уже внедрили DLP
https://www.anti-malware.ru/russian_dlp_market_2013_2016
2016-04-14 3
Почему Вы купили DLP?
У нас были инциденты, надеюсь, что DLP нам поможет…
У всех уже есть…
Громкий маркетинг, уже более 10 лет настойчиво предлагают
купить
Вроде бы помогает соответствовать требованиям (Приказы ФСТЭК
России №17/21, PCI DSS, СТО БР ИББС и др.)
Наконец-то появились рекомендации(ОЦЛ.5 в «Меры защиты
информации в ГосИС» (ФСТЭК России), РС БР ИББС 2.9-2016
«Предотвращение утечек информации»), поняли, что пора
Реально помогает расследовать инциденты ИБ и контролировать
сотрудников
На пилоте выявили несколько инцидентов, это помогло убедить
руководство
Внедрили еще до меня, выбирал не я…
Продавец – мой хороший друг
другие причины…
2016-04-14 4
Маркетинговая «эффективность» DLP
«DLP позволяет эффективно защищать бизнес от убытков, связанных с
утечками информации»
«DLP позволяет эффективно контролировать информационные потоки
предприятия на всех уровнях»
«DLP позволяют эффективно защитить корпоративную информацию от
утечки или несанкционированного распространения»
«В сегодняшних условиях эффективными становятся не запретительные
меры, а всесторонний контроль над информационными потоками и их
обработка в соответствии с политикой информационной безопасности»
«Для эффективной работы с инцидентами в DLP реализована полноценная
система кейс-менеджмента, позволяющая управлять жизненным циклом
инцидента на всех этапах расследования»
…
Цитаты с сайтов DLP-вендоров
2016-04-14 5
Что DLP делают ЭФФЕКТИВНО?
Защищают бизнес Контролируют потоки инф-ии
Но как-то не сложилось…
2016-04-14 8
Внедрили DLP! Что дальше?
Тематика Активность Зависимость
от вендора
0. Контекст Проанализируйте контекст использования DLP Нет
1. Легализация Легализуйте DLP при контроле переписки сотрудников Нет
(обеспечьте возможность использования отчетов DLP в Суде)
2. Точная настройка Настройте систему под свои задачи (уведомления, отчеты, Да
политики, роли и пр.), начните использовать модуль DLP
Discovery (Crawler)
3. Процедура Определите процедуру реагирования на инциденты Скорее Нет
реагирование
4. Обучение Решите вопрос с обучением сотрудников Скорее Нет
5. Орг.меры Внедрите полезные организационные меры Нет
6. Метрики и KPI Подумайте о метриках и KPI Скорее Да
2016-04-14 9
0.Проанализируйте контекст (DLP)
Зачем: Позволит правильно настроить и легализовать DLP
Вопросы:
1. Кто заинтересован во внедрении DLP и поддерживает инициативу? Какое мнение и ожидания от
системы DLP у ИБ, СБ, ЭБ, ИТ, HR, юристов, ключевых руководителей?
2. Какая конфиденциальная информация обрабатывается в организации? Какие требования (внешние и
внутренние) предъявляются к ее обработке и защите?
3. Какая информация «самая ценная», какой ее жизненный цикл (владельцы, формат, места хранения,
ИС, каналы передачи, срок ценности, права доступа и пр.)?
4. Какие инциденты (утечка информации, мошенничество) уже происходили (были выявлены) в
организации? Что в итоге? Какое отношение руководства к таким инцидентам и склонность к риску?
5. Какова модель нарушителя, кто находится в «группе риска»? Какие конкретные угрозы (сценарии)
могут быть реализованы?
6. Какие каналы передачи информации используются (и запрещены) в организации (официальные и
неофициальные)? Какие к ним предъявляются требования? Какие каналы требуется контролировать,
какие блокировать?
7. Какие цели и приоритеты у ИБ
8. Какие меры защиты от внутренних угроз уже реализованы в организации? Какие ресурсы и
полномочия есть у подразделения ИБ (и СБ)?
9. Какие особенности корпоративной культуры ИБ («все друзья»/«кругом враги», «все разрешено»/»все
запрещено», «все по бумажке»/»здравый смысл» и пр.)? Что принято делать с нарушителями?
10. Кому нужен доступ к системе DLP (управление, настройки, уведомления, только чтение и пр.)?
11. …
2016-04-14 10
2016-04-14 11
1.Легализация DLP
Зачем: Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) и
использовать отчеты DLP в Суде
Это важно:
• Документированные требования
• Правила работы с DLP (проведение расследований)
• Аргументация в Суде
2016-04-14 12
Отчеты DLP для доказательства в суде
• Дозор-Джет и Контур безопасности:
Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• Дозор-Джет:
Дело №33-90/11, Садыков Т.Ф. против ЗАО ???
• InfoWatch:
Дело №2-11976/2014 ~ М-10846/2014, ???ФИО1 против Фонда
социального страхования
• InfoWatch:
Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А.
против ООО Национальная служба взыскания
http://80na20.blogspot.ru/2016/08/dlp.html
2016-04-14 13
Об этом рассказывал на БИТ Урал 2016
http://80na20.blogspot.ru/2016/04/dlp-2016.html
http://80na20.blogspot.ru/2016/04/dlp_15.html
2016-04-14 14
Подробнее…
2016-04-14 15
Стр-ра корпоративного мошенничества
Корпоративное мошенничество
Нецелевое Махинации с
Коррупция использование финансовой
активов отчетностью
Имущество и
Конфликт Нелегальные
Взяточничество Вымогательство Cash нематериальные
интересов подарки
активы
Управляемые
В продажах Кража
тендеры
2016-04-14 16
2.Точная настройка DLP + Discovery
• Понимайте контекст
• Настройте политики под задачи и кейсы
• Настройте уведомления, виджеты и отчеты (оптимальное
время работы с DLP – 15-120 минут в день)
• Подумайте про разграничение доступа к DLP (группы
исключения, настройки, инциденты, тело сообщения)
• Настройте правила для модуля DLP Discovery (Crawler)
2016-04-14 17
3.А что вы будете делать при инциденте?
Важно понимать:
1. Возможные варианты (и последствия)
реагирования
2. Процедуры (роли (RACI-chart) и шаги)
3. Документы и записи
4. Ограничения (по времени, по сбору данных,
по используемым тех.средствам и пр.)
5. А если дойдет до Суда?
2016-04-14 18
3.Процедура реагирования +ТК РФ
1.Обнаружение и регистрация событий системой DLP
3.Оперативное реагирование на
2.Выявление инцидентов
инцидент
6 мес.
1 мес. 4.Расследование инцидента
5.Реагирование на инцидент
2016-04-14 19
Модель принятия решения по инцидентам
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2016-04-14 20
Решение по инцидентам утечки
1. Перевод в группу «Особый контроль»
А) По решению ИБ
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:
Б) По решению руководства и HR
◦ замечание
◦ выговор
◦ увольнение по соответствующим основаниям
В) По решению руководства,
6. Увольнение по инициативе работника / по соглашению сторон
HR, юристов и ИБ.
Необходимо четкое понимание 7. Возмещение ущерба
процедур и высокий уровень 8. Уголовное преследование
«бумажной безопасности»
9. Прочее
2016-04-14 21
Подробнее…
2016-04-14 22
4.Обучение и повышение осведомленности
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации,
взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации
2016-04-14 23
5.Организационные (и технические) меры
• Минимизация прав доступа и контроль • Физическая безопасность
• Перечень допустимого ПО и его контроль • СКУД и видеонаблюдение
• Обучении и повышение осведомленности • Уничтожение носителей (бумажные и
• Шифрование носителей информации электронные)
• Шифрование передаваемых сообщений • Техническое обслуживание средств обработки
информации
• Какая политика организации относительно
удаленной работы, BYOD, мобильных устройств, • Политика чистых столов и экранов
внешних носителей информации? • Аудит выполнения внутренних требований
• Анализ логов • Тестирование методом соц.инженерии
• … • …
2016-04-14 24
6.Метрики и KPI
1. Трудозатраты при работе с системой DLP:
• Настройка политик
• Мониторинг событий и расследование инцидентов
2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей
политике, по контролируемому каналу, по персоне/группе и пр.
3. % ложных срабатываний (FP и FN)
4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе
5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)
6. Трудозатраты при реагировании на инциденты (рабочая группа)
7. Кол-во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)
8. Количество дисциплинарных взысканий
9. Величина нанесенного и/или предотвращенного ущерба
10. …
2016-04-14 25
Простые рекомендации
Next 7 Days
• Составьте перечень и проведите аудит документов с полезными для ИБ положениями («легализация
DLP»), составьте план по их актуализации и доработке.
• Оцените кол-во времени, которое уходит на работу в DLP системе. Какие задачи при этом решаются?
Next 90 Days
• Проанализируйте выявленные DLP события и инциденты: кол-во инцидентов по типам (канал, политики,
технологии анализа, подразделения, триггеры и пр.), кол-во ошибок (FP и FN). Определите критичные
инциденты и их атрибуты
• Определяете кейсы (типовые сценарии реализации угроз)
• Актуализируйте (разработайте) «Политику допустимого использования»
http://80na20.blogspot.ru/2013/09/blog-post_12.html и другие документы
Next 12 Months
• Согласуйте с руководством, подразделениями HR и юристами свой подход к реагированию на
инциденты. Разработайте необходимые шаблоны документов (для дисциплинарного взыскания).
• Разработайте корпоративный стандарт по настройке DLP (для крупных организаций). Внесите
необходимые правки в настройки системы
• Начните пользоваться модулем DLP Discovery
• Задумайтесь, а подходит ли существующее DLP для решения ваших задач?
2016-04-14 26
Способно ли ваше DLP
быть эффективным?
2016-04-14 27
Одна из проблем –
завышенные ожидания
от DLP (спасибо
маркетингу и сейлам),
которые приводят к
разочарованию…
2016-04-14 28
Если закупленное DLP не устраивает?
• Гос.организациям и гос.компаниям следует использовать российское ПО.
Реестр - https://reestr.minsvyaz.ru (+см.далее)
• Причины перехода на другое DLP:
• Не устраивает существующее
• Интересно другое
• Многие производители DLP дают скидки за переход на их решение
• Некоторые компании используют 2 решения от разных производителей, типовые
подходы:
• Иностранное DLP (compliance) + Российское DLP (архив + расследование
инцидентов)
• DLP для аналитики и расследования инцидентов + решение для контроля
сотрудников
• DLP для контроля сети (Network) + решение для контроля рабочих станций
(Endpoint)
2016-04-14 29
Импортозамещение ПО
Для гос.органов: 188-ФЗ от 29.06.2015 и ПП РФ от
16.11.2015 N 1236 "Об установлении запрета на
допуск ПО, происходящего из иностранных
государств, для целей осуществления закупок для
обеспечения государственных и муниципальных
нужд"
Для гос.компаний: Директивы от 11 июля 2016
года 4972п-П13 (Шувалов)
2016-04-14 30
Минкомсвязь России: Иностранные DLP
• 0556 - Digital Guardian Data Loss Prevention Software
• 0615 - Fidelis Cybersecurity DLP
• 0658 - GTB Technologies Data Loss Prevention
• 0857 - McAfee Data Loss Prevention
• 0859 - McAfee Total Protection for Data Loss Prevention
• 1696 - Symantec Data Loss Prevention
• 1744 - TRITON AP-DATA (ex. Websence Data Security Suite)
• 1745 - TRITON AP-ENDPOINT (ex. Websence Data Security Suite)
• 1746 - TRITON AP-EMAIL (ex. Websence Email Security Suite)
«Таблица соответствия ПО, происходящего
• 1747 - TRITON AP-WEB (ex. Websence Web Security Suite) из иностранных государств, классам ПО,
• 1836 - КИБ SearchInform предусмотренных Классификатором»
2016-04-14 31
Что еще посмотреть по теме?
2016-04-14 http://80na20.blogspot.ru 32
Спасибо за внимание!
Прозоров Андрей, CISM, член АРСИБ
Руководитель экспертного направления, Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2016-04-14 33