Практика применения

DLP-систем
Андрей Прозоров, CISM
Ведущий эксперт по
информационной безопасности

2015-­‐04-­‐16  
Не все рекомендации
одинаково полезны…
NIST, ISACA, ENISA или InfoWatch

Идентифицировать  (понять)  
PRE-­‐  
DLP  
Защитить  

POST-­‐  
Обнаружить  
DLP  

DLP    
Реагировать  

Восстанавливать  
Зачем?

•  Возможность  преследования  нарушителей  

«по  закону»  (ТК  РФ,  ГК  РФ,  УК  РФ…)  
•  Повышение  эффективности  DLP:  повышение  
точности  детектирования,  снижение  ложных  
срабатываний,  снижение  времени  работы  
специалистов…  
•  Повышение  общего  уровня  ИБ,  снижение  
рисков    
•  Решение  дополнительных  управленческих  
задач  
«PRE-DLP»
1.  Анализ  информационных  потоков:  Инвентаризация  и  классификация  
информации  
2.  Анализ  системы  ИБ  (понимание  точки  «А»,  «что  уже  сделано?»)  
3.  Оценка  и  анализ  угроз  /  рисков  
4.  Документирование  правил  и  процедур  работы  с  информацией  
ограниченного  доступа  
5.  Построение  режима  КТ…  
6.  Документирование  Политик  и  Процедур  ИБ  
7.  Внедрение  базовых  мер  ИБ  (минимизация  прав  доступа,  АВЗ,  шредеры,  и  
физ.безопасность  оборудования  и  пр.)  
PRE-­‐  
8.  Повышение  
DLP   осведомленности  и  обучение  персонала  
POST-­‐  
DLP  
9.  Разработка  процедуры  реагирования  на  инциденты  (+см.POST-­‐DLP)  
DLP    
Положения важные для DLP
1.  Наличие  перечня  информации  ограниченного  доступа  и  правил  по  
работе  с  такой  информацией  
2.  Запрет  передачи  информации  ограниченного  доступа  по  
определенным  каналам  при  определенных  условиях  
3.  Запрет  на  хранение  на  корпоративных  устройствах  «личной  
информации»  
4.  Запрет  передачи  по  корпоративным  каналам  «личной  информации»  
5.  Уведомление  об  использовании  средств  мониторинга  /  наличии  
возможности  мониторинга  /  использование  автоматизированного  
контроля  выполнения  требований  
6.  Разграничение  и  контроль  доступа  
7.  Запрет  передачи  своих  паролей  другим  лицам  
8.  Запрет  на  предоставление  своей  учетной  записи  другим  лицам  
9.  Политика  «чистых  столов  и  экранов»  
Пропишите  эти  положения  в  своих  документах!!!  
Типовой набор документов (min)
1.  Перечень  информации  ограниченного  доступа  
2.  Политика  в  отношении  обработки  ПДн  
3.  Положение  об  обработке  ПДн  
4.  Положение  о  защите  ПДн  
5.  Положение  о  коммерческой  тайне  
6.  Политика  допустимого  использования  (или  
аналоги)  
7.  Положение  о  парольной  защите  
Ознакомьте  
работников  с   8.  Положение  об  антивирусной  защите  
документами   9.  Процедура  управления  доступом  
под  роспись  +  
расшифровка  
10. Должностные  инструкции…  
подписи!!!   11. Соглашение  с  сотрудником  /  Трудовой  договор  
12. Правила  внутреннего  трудового  распорядка  
Что писать в Политике
допустимого использования?
Требования  по  работе  со  следующими  информационными  системами,  
сервисами  и  средствами  обработки  и  хранения  информации:  
–  корпоративная  электронная  почта  
–  сеть  интернет  (включая  облачные  хранилища,  торрент-­‐трекеры,  
персональную  электронную  почту,  соц.сети,  блоги  и  пр.)  
–  внешние  носители  
–  корпоративные  рабочие  станции  
–  корпоративные  мобильные  устройства  
–  персональные  мобильные  устройства  
–  сервисы  мгновенных  сообщений  и  аналоги    
(в  том  числе  системы  аудио  и  видео  связи)  
–  удаленный  доступ  к  корпоративной  сети  
–  копировально-­‐множительная  техника  
–  файловые  хранилища  
«POST-DLP»
•  Реагирование  на  инциденты:  
–  Анализ  /  Расследование    
–  Сбор  и  оформление  доказательной  базы    
–  «Управленческое  решение»  по  отношению  к  сотрудникам  
•  Судебная  практика:  
–  Трудовые  споры  (со  стороны  уволенных  сотрудников)  
–  Возмещение  ущерба  
–  Преследование  «по  закону»  (УК  РФ:  ст.183  +  ст.272,  273,  274)  

PRE-­‐  
DLP  
Важно:  успеть  в  срок  (по  ТК  РФ  1-­‐6  
POST-­‐  
DLP   месяцев),  правильно  собрать  и  
DLP     оформить  доказательную  базу  
Процесс реагирования

Выявленная  утечка   Внутреннее  /  

Подозрение  об   внешнее  
«Управленческое  
утечке   расследование  
(анализ   решение»  
Регулярный  
анализ   инцидента)  
«Управленческое решение»
1.  «Понять  и  простить»  
2.  «Присмотреться  получше»  
3.  Изменение  прав  доступа  (расширение  или  ограничение)  
4.  Пересмотр  правил  ИБ  (орг.  и  тех.)  
5.  Обучение  и  повышение  осведомленности  персонала  
6.  Мотивация  персонала  
7.  Лишение  благ  и  привилегий  
8.  Кадровые  перестановки  
9.  Решение  об  увольнении  
(по  собственному  желанию  /  по  соглашению  сторон)  
10.  Дисциплинарные  взыскания  (втч  увольнение)  
11.  Решение  о  преследовании  в  судебном  порядке  
12.  «Вывоз  в  лес»  
От чего зависит решение?
•  Тяжесть  инцидента  (состав  утекших  данных,  получатель  
информации,  уровень  конкуренции  в  отрасли  и  пр.)  
•  Подробности  инцидента  (канал  утечки,  прошлые  нарушения,  
объяснительная  записка,  умысел  и  пр.)    
•  Общее  экономическое  состояние  компании  
•  Корпоративная  культура  и  культура  ИБ  
•  Личность  нарушителя,  его  мотивы  и  поведение,  мнение  
непосредственного  руководителя  
•  Знания  и  опыт  сотрудников  служб  ИБ,  HR  и  юристов  
•  Авторитет  служб  ИБ,  HR  и  юристов  компании  
•  Состояние  «бумажной  безопасности»  
•  …  
Что стоит за утечкой? Может…

•  Производственная  
необходимость  
•  Глупость  и  
невнимательность  
•  Корыстные  интересы,  
месть,  обида,  
желание  сменить  
работу  

Реакция  должна  быть  разной…  

Но  «когда  нужно  стрелять  —  стреляй,  а  не  болтай»  
Кратко про процедуру увольнения

№   Этап   Документ  
1.   Обнаружение  инцидента,  сбор   Краткий  отчет  об  инциденте,  
дополнительной  информации   Служебная  записка  
2.   Обсуждение  возможных  вариантов   Приказ  о  проведении  служебного  
реагирования  с  HR,  юристами  и   расследования  (+  создание  Комиссии)  
руководством  
3.   Запрос  объяснительной  записки  от   Объяснительная  записка  /  Акт  об  
работника  (желательно  под  роспись)   отказе  
4.   Заседание  Комиссии     Протокол(-­‐ы)  заседания  комиссии  
(хорошей  практикой  является  заседание  2х   (краткое  описание  инцидента,  оценка  
комиссий:  по  расследованию  и  по  кадровым   тяжести  проступка,  обстоятельства  дела,  
вопросам)   величина  ущерба,  решение)  
5.   Принятие  решения  об  увольнении,   Приказ    о  применении  
издание  соответствующего  приказа   дисциплинарного  взыскания  /  Акт  об  
отказе  ознакомления  
Типовые ошибки при
увольнении по статье 81 п.6 в)
•  Нарушение  процедуры  
HR  
увольнения  (сроки  и  документы)  
•  Слабое  понимание  
особенностей  режима  для  
различных  видов  тайн  (ПДн,  КТ,  
ВТ,  СТ,  БТ  и  пр.).  Отсутствие  
ограничения  доступа  к  
ИБ   информации  и  других  
необходимых  мер  защиты  
•  Отсутствие  подтверждения  
факта  разглашения  информации  
(канал  утечки)  
Документы для подготовки к Суду
(полезный перечень)
Общее   Про  ИБ  
•  Трудовой  договор   •  Перечень  информации  ограниченного  доступа  
•  Правила  внутреннего  трудового  распорядка   •  Положения  об  обработке  информации  
•  Должностная  инструкция  работника   ограниченного  доступа  (ПДн,  КТ  и  пр.)  
•  Положение  о  подразделении  работника   •  Перечень  лиц,  допущенных  к  обработке  
•  Доп.соглашения  с  работником  (ПДн,  КТ  и  пр.)   •  Модель  угроз  и  Модель  нарушителя  
•  Характеристика  на  работника  (при  наличии   •  Техническое  задание  на  систему  защиты  (особенно  
"полезных"  фактов  в  биографии)   если  прописан  функционал  DLP)  
Об  инциденте   •  Положение  о  подразделении  ИБ  
•  Отчет  об  инциденте  и/или  Служебная  записка  об   •  Должностные  инструкции  сотрудников  ИБ  
инциденте.  Желательно  вести  хронологию   •  Прочие  документы,  регламентирующие  ИБ  в  
инцидента   компании  
•  Выгрузка  отчета  из  DLP     •  про  работу  с  эл.почтой  и  сетью  Интернет  
•  Справка  о  DLP  системе  (функционал  и  сертификаты)   •  про  использование  съемных  носителей  
Комплект  документов  по  увольнению     •  про  парольную  защиту  
•  Приказ  о  назначении  комиссии  по  расследованию   •  про  контроль  доступа  
инцидента   •  про  реагирование  на  инциденты  
•  Объяснительная  работника   •  ...  
•  Протоколы  заседаний  комиссии   •  Документы,  регламентирующие  использование  DLP  
•  Приказ  об  увольнении   (при  наличии)  
Судебные  документы   Прочее  
•  Исковое  заявления   •  Аттестаты  соответствия  ИС  
•  Возражения  ответчика   •  Отчеты  об  аудитах/проверках  ИБ  
•  Перечень  документов  для  Суда   •  Отчеты  об  обучении/инструктаже  сотрудников  
 
«DLP»
1.  Принятие  решение  о  внедрении  DLP  
–  Анализ  угроз  /  Рисков;  Оценка  стоимости  утечки  информации  (см.PRE-­‐DLP)  
–  Соответствие  требованиям  (Compliance)  
–  Понимание  целей  и  задач  («Потребители»  DLP)  
2.  Проектирование  системы  
3.  Внедрение  и  Базовая  настройка  DLP  
4.  Пилотное  внедрение  
5.  Регламентация  работы  с  системой  
6.  Использование  DLP    
7.  Точная  настройка  DLP  под  задачи:  
–  Блокировка/мониторинг  
–  DLP  Discovery  (InfoWatch  Crawler)  
–  Точная  настройка  ролей  (процедуры  внутренний  аудит  и  управление  инцидентами)  
–  Точная  настройка  событий  системы    
PRE-­‐  
–  Точная  
DLP   настройка  БКФ  и  других  технологий  анализа  

8.  POST-­‐  
Применение  
DLP   при  внутренних  аудитах    
9.  Анализ  и  DLP  
измерение  
 
ИБ  
10. Регулярное  совершенствование  
«Потребители» DLP

Сотрудники  
Бизнес,     службы  
ТОП-­‐менеджеры   информационной  
безопасности  

Сотрудники  
HR-­‐специалисты   службы  
экономической  
безопасности  
DLP для HR
1.  Заблаговременное  уведомление  о  необходимости  найма  
новых  сотрудников  
(поиск  работы,  желание  уволиться,  декреты  и  пр.)  
2.  Выявление  неблагонадежных  сотрудников  
(алкоголь,  наркотики,  азартные  игры,  кредиты  и  долги,  любители  "клубнички",  "левые"  
подработки,  суицид,  экстремизм,  коррупция  и  пр.)  
3.  Выявление  лояльных  сотрудников  
4.  Выявление  неблагоприятного  корпоративного  общения  
(моббинг,  буллинг,  сплетни,  угрозы,  ненормативная  лексика,  домогательства  и  пр.)  
5.  Выявление  использования  ненормативной  лексики  при  общении  с  
внешними  лицами  (партнеры,  клиенты,  регулирующие  органы,  аудиторы  и  пр.)  
6.  Анализ  мнения  сотрудников  по  различным  вопросам  
(кадровые  перестановки,  топ-­‐менеджмент,  система  мотивации,  новый  офис,  корпоративы  и  
тимбилдинг,  соц.пакет,  корпоративное  обучение  и  пр.)  
7.  Контроль  рабочего  времени  
8.  Выявление  фактов  нецелевого  использования  корпоративных  ресурсов  
(печать  личных  документов,  закупка  офисных  принадлежностей  и  техники,  использование  
офисных  помещений  и  других  площадок,  и  пр.)  
DLP для ИБ
1.  Контроль  сотрудников  «в  зоне  риска»,  минимизация  прав  по  
использованию  корпоративных  сервисов  
2.  Помощь  в  расследовании  инцидентов  утечки  информации  
(своевременное  обнаружение,  сбор  дополнительной  информации,  архив  сообщений)  
3.  Предупреждение  утечки  информации  
(выявление  подготовки  к  краже  информации,  выявление  неблагонадежных  сотрудников,  DLP  
в  режиме  блокировки)  
4.  Защита  от  неумышленных  утечек  и  атак  с  использованием  соц.инженерии    
(DLP  в  режиме  блокировки)  
5.  Инвентаризация  информационных  активов,  анализ  потоков  информации  
и  мест  хранения.  Контроль  мест  хранения  информации  (DLP  Discovery)  
6.  Выявление  аномального  трафика    
(бот-­‐сети,  целевые  атаки,  настройки  переадресации  и  пр.)  
7.  Помощь  для  соответствия  требованиям  /  Compliance  
(PCI  DSS,  СТО  БР  ИББС,  382-­‐П,  152-­‐ФЗ  (ПДн),  224-­‐ФЗ  (об  инсайдерской  информации))  
8.  Анализ  мнений  сотрудников  по  различным  вопросам  
(ограничения  со  стороны  ИБ,  контроль  доступа,  обучение  вопросам  ИБ  и  пр.)  
DLP для ЭБ

1.  Выявление  утечки  информации  о  конкурсах  и  закупках  

2.  Выявление  сговоров  и  коррупционных  схем.  Ведение  архива  сообщений  
для  дальнейшего  анализа.  
3.  Построение  графов  связей  и  выявление  заинтересованных  сторон  (групп)  
4.  Выявление  пересылки  «подозрительных»  документов  
(пустые  бланки  с  печатями  организации,  документы  с  измененными  и/или  
устаревшими  реквизитами,  учредительные  документы  компаний  со  схожими  
названиями  и  пр.)    
5.  Выявление  неблагонадежных  сотрудников  
(алкоголь,  наркотики,  азартные  игры,  кредиты  и  долги,  "левые"  подработки,  
коррупция,  сбор  информации  об  экономических  преступлениях  и  пр.)  
6.  Выявление  лояльных  сотрудников  
7.  Ведение  информационного  досье  по  отдельным  сотрудникам  
DLP для ТОП-менеджмента

1.  Подготовка  специализированных  отчетов  по:  

–  Общий  уровень  внутренних  угроз  
–  Общее  количество  непроизводственных  затрат  времени  
работников  
–  Общее  мнение  сотрудников  по  различным  вопросах  
(кадровые  перестановки,  топ-­‐менеджмент,  система  мотивации,  
новый  офис,  корпоративы  и  тимбилдинг,  соц.пакет  и  пр.)  
–  Использование  ненормативной  лексики  про  общении  с  
внешними  лицами  (партнеры,  клиенты,  регулирующие  органы,  
аудиторы  и  пр.)  
2.  Ведение  информационного  досье  по  отдельным  сотрудникам  
Хотите еще про
PreDLP / DLP /
PostDLP ?
Спасибо за внимание! Андрей Прозоров, CISM
www.infowatch.ru Моя почта: Andrey.Prozorov@infowatch.com
+7 495 22 900 22 Мой твиттер: twitter.com/3dwave
Мой блог: 80na20.blogspot.com