Внедрили DLP? Молодцы!

А что дальше?
ПРОЗОРОВ АНДРЕЙ, CISM, ЧЛЕН АРСИБ

2016-04-14 1
“By 2018, 90% of organizations will
implement at least one form of integrated
DLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-
28)

Есть ощущение, что это актуально и для России…

2016-04-14 2
Многие компании уже внедрили DLP

Объем рынка DLP в России в 2015 году -

4,7 млрд рублей,

рост 17,2%

https://www.anti-malware.ru/russian_dlp_market_2013_2016

2016-04-14 3
Почему Вы купили DLP?
 У нас были инциденты, надеюсь, что DLP нам поможет…
 У всех уже есть…
 Громкий маркетинг, уже более 10 лет настойчиво предлагают
купить
 Вроде бы помогает соответствовать требованиям (Приказы ФСТЭК
России №17/21, PCI DSS, СТО БР ИББС и др.)
 Наконец-то появились рекомендации(ОЦЛ.5 в «Меры защиты
информации в ГосИС» (ФСТЭК России), РС БР ИББС 2.9-2016
«Предотвращение утечек информации»), поняли, что пора
 Реально помогает расследовать инциденты ИБ и контролировать
сотрудников
 На пилоте выявили несколько инцидентов, это помогло убедить
руководство
 Внедрили еще до меня, выбирал не я…
 Продавец – мой хороший друг
 другие причины…
2016-04-14 4
Маркетинговая «эффективность» DLP
 «DLP позволяет эффективно защищать бизнес от убытков, связанных с
утечками информации»
 «DLP позволяет эффективно контролировать информационные потоки
предприятия на всех уровнях»
 «DLP позволяют эффективно защитить корпоративную информацию от
утечки или несанкционированного распространения»
 «В сегодняшних условиях эффективными становятся не запретительные
меры, а всесторонний контроль над информационными потоками и их
обработка в соответствии с политикой информационной безопасности»
 «Для эффективной работы с инцидентами в DLP реализована полноценная
система кейс-менеджмента, позволяющая управлять жизненным циклом
инцидента на всех этапах расследования»
…
Цитаты с сайтов DLP-вендоров

2016-04-14 5
 Что DLP делают ЭФФЕКТИВНО?
Защищают бизнес Контролируют потоки инф-ии

Защищают от утечки Помогают управлять инцид-ми

2016-04-14 6
 К сожалению, просто внедрить
DLP не достаточно…
2016-04-14 7
 Многое можно было сделать
до внедрения DLP или
во время внедрения…

Но как-то не сложилось…

2016-04-14 8
 Внедрили DLP! Что дальше?
Тематика Активность Зависимость
от вендора
0. Контекст Проанализируйте контекст использования DLP Нет
1. Легализация Легализуйте DLP при контроле переписки сотрудников Нет
(обеспечьте возможность использования отчетов DLP в Суде)
2. Точная настройка Настройте систему под свои задачи (уведомления, отчеты, Да
политики, роли и пр.), начните использовать модуль DLP
Discovery (Crawler)
3. Процедура Определите процедуру реагирования на инциденты Скорее Нет
реагирование
4. Обучение Решите вопрос с обучением сотрудников Скорее Нет
5. Орг.меры Внедрите полезные организационные меры Нет
6. Метрики и KPI Подумайте о метриках и KPI Скорее Да

2016-04-14 9
0.Проанализируйте контекст (DLP)
Зачем: Позволит правильно настроить и легализовать DLP
Вопросы:
1. Кто заинтересован во внедрении DLP и поддерживает инициативу? Какое мнение и ожидания от
системы DLP у ИБ, СБ, ЭБ, ИТ, HR, юристов, ключевых руководителей?
2. Какая конфиденциальная информация обрабатывается в организации? Какие требования (внешние и
внутренние) предъявляются к ее обработке и защите?
3. Какая информация «самая ценная», какой ее жизненный цикл (владельцы, формат, места хранения,
ИС, каналы передачи, срок ценности, права доступа и пр.)?
4. Какие инциденты (утечка информации, мошенничество) уже происходили (были выявлены) в
организации? Что в итоге? Какое отношение руководства к таким инцидентам и склонность к риску?
5. Какова модель нарушителя, кто находится в «группе риска»? Какие конкретные угрозы (сценарии)
могут быть реализованы?
6. Какие каналы передачи информации используются (и запрещены) в организации (официальные и
неофициальные)? Какие к ним предъявляются требования? Какие каналы требуется контролировать,
какие блокировать?
7. Какие цели и приоритеты у ИБ
8. Какие меры защиты от внутренних угроз уже реализованы в организации? Какие ресурсы и
полномочия есть у подразделения ИБ (и СБ)?
9. Какие особенности корпоративной культуры ИБ («все друзья»/«кругом враги», «все разрешено»/»все
запрещено», «все по бумажке»/»здравый смысл» и пр.)? Что принято делать с нарушителями?
10. Кому нужен доступ к системе DLP (управление, настройки, уведомления, только чтение и пр.)?
11. …
2016-04-14 10
2016-04-14 11
1.Легализация DLP
Зачем: Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) и
использовать отчеты DLP в Суде

Это важно:
• Документированные требования
• Правила работы с DLP (проведение расследований)
• Аргументация в Суде

2016-04-14 12
Отчеты DLP для доказательства в суде
• Дозор-Джет и Контур безопасности:
Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• Дозор-Джет:
Дело №33-90/11, Садыков Т.Ф. против ЗАО ???
• InfoWatch:
Дело №2-11976/2014 ~ М-10846/2014, ???ФИО1 против Фонда
социального страхования
• InfoWatch:
Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А.
против ООО Национальная служба взыскания
http://80na20.blogspot.ru/2016/08/dlp.html

2016-04-14 13
Об этом рассказывал на БИТ Урал 2016

http://80na20.blogspot.ru/2016/04/dlp-2016.html
http://80na20.blogspot.ru/2016/04/dlp_15.html

2016-04-14 14
Подробнее…

2016-04-14 15
Стр-ра корпоративного мошенничества
Корпоративное мошенничество

Нецелевое Махинации с
Коррупция использование финансовой
активов отчетностью

Имущество и
Конфликт Нелегальные
Взяточничество Вымогательство Cash нематериальные
интересов подарки
активы

В закупках Откаты Злоупотребление

Управляемые
В продажах Кража
тендеры

2016-04-14 16
2.Точная настройка DLP + Discovery

• Понимайте контекст
• Настройте политики под задачи и кейсы
• Настройте уведомления, виджеты и отчеты (оптимальное
время работы с DLP – 15-120 минут в день)
• Подумайте про разграничение доступа к DLP (группы
исключения, настройки, инциденты, тело сообщения)
• Настройте правила для модуля DLP Discovery (Crawler)

• Если есть сложности с этим, то ориентируйтесь на

Консалтинг или Аутсорсинг

2016-04-14 17
3.А что вы будете делать при инциденте?
Важно понимать:
1. Возможные варианты (и последствия)
реагирования
2. Процедуры (роли (RACI-chart) и шаги)
3. Документы и записи
4. Ограничения (по времени, по сбору данных,
по используемым тех.средствам и пр.)
5. А если дойдет до Суда?

2016-04-14 18
 3.Процедура реагирования +ТК РФ
1.Обнаружение и регистрация событий системой DLP

3.Оперативное реагирование на
2.Выявление инцидентов
инцидент
6 мес.
1 мес. 4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

2016-04-14 19
Модель принятия решения по инцидентам
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1

2. Выявлен ли умысел сотрудника?

Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0

3. Какой уровень доверия к сотруднику?

Низкий – 3; Обычный – 1; Высокий – 0

4. Были ли у сотрудника инциденты до этого?

Да – 2; Нет – 0

5. Какова вероятность, что инцидент повториться у этого сотрудника?

Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0

Если сумма баллов до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В

2016-04-14 20
Решение по инцидентам утечки
1. Перевод в группу «Особый контроль»
А) По решению ИБ
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:
Б) По решению руководства и HR
◦ замечание
◦ выговор
◦ увольнение по соответствующим основаниям
В) По решению руководства,
6. Увольнение по инициативе работника / по соглашению сторон
HR, юристов и ИБ.
Необходимо четкое понимание 7. Возмещение ущерба
процедур и высокий уровень 8. Уголовное преследование
«бумажной безопасности»
9. Прочее

2016-04-14 21
Подробнее…

2016-04-14 22
4.Обучение и повышение осведомленности
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации,
взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации

2016-04-14 23
5.Организационные (и технические) меры
• Минимизация прав доступа и контроль
• Перечень допустимого ПО и его контроль
• Обучении и повышение осведомленности
• Шифрование носителей информации
• Шифрование передаваемых сообщений
• Какая политика организации относительно
удаленной работы, BYOD, мобильных устройств,
внешних носителей информации?
• Анализ логов
• …
• Физическая безопасность
• СКУД и видеонаблюдение
• Уничтожение носителей (бумажные и
электронные)
• Техническое обслуживание средств обработки
информации
• Политика чистых столов и экранов
• Аудит выполнения внутренних требований
• Тестирование методом соц.инженерии
• …

2016-04-14 24
6.Метрики и KPI
1. Трудозатраты при работе с системой DLP:
• Настройка политик
• Мониторинг событий и расследование инцидентов
2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей
политике, по контролируемому каналу, по персоне/группе и пр.
3. % ложных срабатываний (FP и FN)
4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе
5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)
6. Трудозатраты при реагировании на инциденты (рабочая группа)
7. Кол-во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)
8. Количество дисциплинарных взысканий
9. Величина нанесенного и/или предотвращенного ущерба
10. …

2016-04-14 25
Простые рекомендации
Next 7 Days
• Составьте перечень и проведите аудит документов с полезными для ИБ положениями («легализация
DLP»), составьте план по их актуализации и доработке.
• Оцените кол-во времени, которое уходит на работу в DLP системе. Какие задачи при этом решаются?
Next 90 Days
• Проанализируйте выявленные DLP события и инциденты: кол-во инцидентов по типам (канал, политики,
технологии анализа, подразделения, триггеры и пр.), кол-во ошибок (FP и FN). Определите критичные
инциденты и их атрибуты
• Определяете кейсы (типовые сценарии реализации угроз)
• Актуализируйте (разработайте) «Политику допустимого использования»
http://80na20.blogspot.ru/2013/09/blog-post_12.html и другие документы
Next 12 Months
• Согласуйте с руководством, подразделениями HR и юристами свой подход к реагированию на
инциденты. Разработайте необходимые шаблоны документов (для дисциплинарного взыскания).
• Разработайте корпоративный стандарт по настройке DLP (для крупных организаций). Внесите
необходимые правки в настройки системы
• Начните пользоваться модулем DLP Discovery
• Задумайтесь, а подходит ли существующее DLP для решения ваших задач?

2016-04-14 26
 Способно ли ваше DLP
быть эффективным?

2016-04-14 27
 Одна из проблем –
завышенные ожидания
от DLP (спасибо
маркетингу и сейлам),
которые приводят к
разочарованию…

2016-04-14 28
Если закупленное DLP не устраивает?
• Гос.организациям и гос.компаниям следует использовать российское ПО.
Реестр - https://reestr.minsvyaz.ru (+см.далее)
• Причины перехода на другое DLP:
• Не устраивает существующее
• Интересно другое
• Многие производители DLP дают скидки за переход на их решение
• Некоторые компании используют 2 решения от разных производителей, типовые
подходы:
• Иностранное DLP (compliance) + Российское DLP (архив + расследование
инцидентов)
• DLP для аналитики и расследования инцидентов + решение для контроля
сотрудников
• DLP для контроля сети (Network) + решение для контроля рабочих станций
(Endpoint)

2016-04-14 29
Импортозамещение ПО
Для гос.органов: 188-ФЗ от 29.06.2015 и ПП РФ от
16.11.2015 N 1236 "Об установлении запрета на
допуск ПО, происходящего из иностранных
государств, для целей осуществления закупок для
обеспечения государственных и муниципальных
нужд"
Для гос.компаний: Директивы от 11 июля 2016
года 4972п-П13 (Шувалов)

2016-04-14 30
Минкомсвязь России: Иностранные DLP
• 0556 - Digital Guardian Data Loss Prevention Software
• 0615 - Fidelis Cybersecurity DLP
• 0658 - GTB Technologies Data Loss Prevention
• 0857 - McAfee Data Loss Prevention
• 0859 - McAfee Total Protection for Data Loss Prevention
• 1696 - Symantec Data Loss Prevention
• 1744 - TRITON AP-DATA (ex. Websence Data Security Suite)
• 1745 - TRITON AP-ENDPOINT (ex. Websence Data Security Suite)
• 1746 - TRITON AP-EMAIL (ex. Websence Email Security Suite)
«Таблица соответствия ПО, происходящего
• 1747 - TRITON AP-WEB (ex. Websence Web Security Suite) из иностранных государств, классам ПО,
• 1836 - КИБ SearchInform предусмотренных Классификатором»

2016-04-14 31
Что еще посмотреть по теме?

2016-04-14 http://80na20.blogspot.ru 32
Спасибо за внимание!
Прозоров Андрей, CISM, член АРСИБ
Руководитель экспертного направления, Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2016-04-14 33