Презентация для НИУ ВШЭ про DLP (расширенная версия)

1. All about … DLPv.1.1 от 08.02.2016
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave

2. 2
Источники угроз
JSOC Q3 2015

3. 3
Внутренние угрозы
JSOC Q3 2015

4. 4
Источники внутренних угроз
JSOC Q3 2015

5. • 37% опрошенных признаются, что при увольнении
копировали и уносили собственные наработки, 19% —
уникальные разработки, созданные в команде, 11% —
базы клиентов и партнеров, 6% — результаты труда
коллег, а 3% – конфиденциальные сведения о компании.
• Работники при этом рассчитывают на практическую пользу
от этих материалов в будущем — в последующей работе
(80%) или при трудоустройстве (25%).
• Каждый 3й работник уже выносил нужные файлы за
пределы корпоративной сети либо планирует так
поступить в будущем.
5
Опрос HH.RU «Шпионы на работе»

6. 6
Каналы утечки
JSOC Q3 2015

7. 7
Проблема терминологии…

8. 8
Что не так на этой фотографии?

9. 9

10. NIST:
«Inside(r) Threat – An entity with authorized access (i.e.,
within the security domain) that has the potential to harm an
information system or enterprise through destruction,
disclosure, modification of data, and/or denial of service.»
CERT:
«A malicious insider threat to an organization is a current or
former employee, contractor, or other business partner who
has or had authorized access to an organization’s network,
system, or data and intentionally exceeded or misused that
access in a manner that negatively affected the
confidentiality, integrity, or availability of the organization’s
information or information systems. In addition, insider
threats can also be unintentional (non-malicious).»
10
What Is Insider Threat?

11. Вики:
Инсайдер (англ. insider) — член какой-либо группы людей,
имеющей доступ к информации, недоступной широкой
публике. Термин используется в контексте, связанном с
секретной, скрытой или какой-либо другой закрытой
информацией или знаниями: инсайдер — это член группы,
обладающий информацией, имеющейся только у этой
группы.
Большой экономический словарь:
Инсайдер — (от англ, inside-внутри) лицо, имеющее
благодаря своему служебному положению или
родственным связям доступ к конфиденциальной
информации о делах фирмы. 11
Термин «инсайдер» в словарях

12. Федеральный закон Российской Федерации от 27 июля 2010 г. N 224-ФЗ «О
противодействии неправомерному использованию инсайдерской информации и
манипулированию рынком и о внесении изменений в отдельные законодательные
акты Российской Федерации»:
«Инсайдерская информация - точная и конкретная информация, которая не была
распространена или предоставлена (в том числе сведения, составляющие
коммерческую, служебную, банковскую тайну, тайну связи (в части информации о
почтовых переводах денежных средств) и иную охраняемую законом тайну),
распространение или предоставление которой может оказать существенное
влияние на цены финансовых инструментов, иностранной валюты и (или) товаров (в
том числе сведения, касающиеся одного или нескольких эмитентов эмиссионных
ценных бумаг, одной или нескольких управляющих компаний инвестиционных
фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов,
одного или нескольких хозяйствующих субъектов, указанных в пункте 2 статьи 4
настоящего Федерального закона, либо одного или нескольких финансовых
инструментов, иностранной валюты и (или) товаров) и которая относится к
информации, включенной в соответствующий перечень инсайдерской информации,
указанный в статье 3 настоящего Федерального закона.»
Статья 4. Инсайдеры
К инсайдерам относятся следующие лица:
… «имеющие доступ к инсайдерской информации»…
12
Инсайдеры в фин.сфере

13. 13
Внутренний нарушительИнсайдер

14. • БМУ ПДн ФСТЭК России
• Р 50.1.053-2005 «ИТ. Основные термины и
определения в области технической защиты
информации»
• Р 50.1.056-2005 «Техническая защита информации.
Основные термины и определения»
«Утечка (информации) по техническому каналу (Leakage):
Неконтролируемое распространение информации от
носителя защищаемой информации через физическую среду
до технического средства, осуществляющего перехват
информации.»
14
Термин «утечка» по ФСТЭК России

15. ГОСТ Р 53114-2008 Защита информации. Обеспечение
информационной безопасности в организации. Основные
термины и определения
• «Утечка информации – Неконтролируемое распространение
защищаемой информации в результате ее разглашения,
несанкционированного доступа к информации и получения
защищаемой информации иностранными разведками»
ГОСТ Р 50922-2006 Защита информации. Основные термины и
определения
• «Защита информации от утечки – Защита информации,
направленная на предотвращение неконтролируемого
распространения защищаемой информации в результате ее
разглашения и несанкционированного доступа к ней, а также на
исключение (затруднение) получения защищаемой
информации [иностранными] разведками и другими
заинтересованными субъектами. Примечание -
Заинтересованными субъектами могут быть: государство,
юридическое лицо, группа физических лиц, отдельное
физическое лицо.»
15

16. «Предотвращение утечек безопасности»
• Утечка информации – несанкционированное предоставление или
распространение информации конфиденциального характера,
неконтролируемое организацией БС РФ.
Примечание. В настоящем документе рассматривается только случаи
утечки информации, реализуемые в результате действия работников
организации БС РФ и (или) иных лиц, обладающих легальным доступом
к информации или легальным доступом в помещения, в которых
осуществляется обработка информации
16
РС БР ИББС 2.9 (проект)
• Предоставление информации – действия, направленные на получение информации
определенным кругом лиц или передачу информации определенному кругу лиц.
• Распространение информации – действия, направленные на получение информации
неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
• Защита информации от утечки – деятельность, направленная на предотвращение
неконтролируемого предоставления или распространения информации
конфиденциального характера.

17. ISACA:
Data leakage - Siphoning out or leaking information by
dumping computer files or stealing computer reports
and tapes.
NIST:
Data Loss – The exposure of proprietary, sensitive, or
classified information through either data theft or data
leakage.
PTAC:
A data breach is the intentional or unintentional release
of secure information to an untrusted environment.
17
Leakage/Loss/Breach

18. 18
Причины утечки информации

19. 19
Еще одно мнение про источники
http://www.idtheftcenter.org

20. 20
Утечки по отраслям

21. 21
Утечки
информации
Используем DLP для
контроля
Внутренние
угрозы

22. 22
Защита от внутренних угроз
СЗИ и
мониторинг
Процедуры
и
требования
• Управление доступом
• Управление инцидентами
• Повышение осведомленности
• Резервное копирование и
восстановление
• Перечень допустимого ПО и
контроль конфигураций
• Политика допустимого использования
• Режим КТ
• Физическая безопасность
• …
• DLP и аналоги
• IdM
• SIEM
• СКУД
• АВЗ
• HIPS
• Антифрод
• …

23. “By 2018, 90% of organizations will
implement at least one form of integrated
DLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss
Prevention» (2016-01-28)
23

24. 24
Приоритеты по ИБ на 2016 год
EnY опросили 1755 руководителей ИТ и ИБ

25. 25
Vormetric 2015

26. • ADL: Anti Data Leakage - The 451 Group
• ALS: Anti-Leakage Software - Ernst&Young
• CMF: Content Monitoring and Filtering - Gartner
• EPS: Extrusion Prevention System
• ILP: Information Leak Prevention, Information Leak
Protection - Forrester
• IPC: Information Protection and Control - IDC
• ITP: Insider Threat Prevention
• ILDP: Information Leak Detection and Prevention – IDC
• DLP: Data Leakage Prevention, Data Loss Prevention, Data
Leak Prevention, Data Leakage Protection - IDC (~c 2005)
• СЗНПИ: средство защиты от несанкционированной
передачи (вывода) информации - ФСТЭК России, 2013
26
Термин DLP и аналоги

27. • Многоканальность
• Унифицированный
менеджмент
• Активная защита
• Учет содержания и контекста
27
Характеристики DLP по Forrester

28. • Gartner defines the data loss prevention (DLP) market
as those technologies that, as a core function, perform
both content inspection and contextual analysis of
data at rest on-premises or in cloud applications and
cloud storage, in motion over the network, or in use
on a managed endpoint device.
• DLP solutions can execute responses — ranging from
simple notification to active blocking — based on
policy and rules defined to address the risk of
inadvertent or accidental leaks, or exposure of
sensitive data outside authorized channels.
28
DLP по Gartner

29. СЗНПИ (средство защиты от несанкционированной
передачи (вывода) информации) - программные
средства, используемые в целях обеспечения защиты
(некриптографическими методами) информации,
содержащей сведения, составляющие
государственную тайну, иной информации с
ограниченным доступом, и реализующим функции
обнаружения и предотвращения
несанкционированной передачи (вывода)
информации ограниченного доступа из защищенного
сегмента информационной системы на основе
анализа смыслового содержания информации.
29
DLP по ФСТЭК России

30. DLP – средство защиты информации,
а значит оно должно уметь
блокировать передачу информации
ограниченного доступа…
30
Позиция ФСТЭК России

31. 31
Рекомендации ФСТЭК России
по функционалу DLP
ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ,
ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ
ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ
ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:
• выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы
сетевых соединений, включая сети связи общего пользования, и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители
информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и
реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из
буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота,
базы данных, почтовые архивы и иные ресурсы).
Требования к усилению
• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы
информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение
времени, определяемого оператором;
• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с
недопустимым содержанием
Методический документ. Меры защиты информации в государственных ИС

32. 32
Базовая идея DLP
Network
Discovery
Endpoint
Уровень сети,
Data-in-Motion
Уровень хранилищ
данных, Data at rest
Уровень узла (хоста),
Data-in-Use
Crawler

33. • Системы контроля съемных носителей
• Кейлоггеры
• Системы контроля рабочего времени работников
• Снифферы трафика
• Прокси-серверы и МСЭ
• Системы электронного документооборота
(с метками документов)
• Решения для защиты эл.почты
• …
33
Иногда термином «DLP» ошибочно
называют следующие системы с
расширенным функционалом:

34. 34
Принцип работы DLP

35. 35
Как DLP понимает события?
Контентный
анализ
Контекстный
анализ

36. • Активность (дата/время, периодичность, частота)
• Отправитель (права пользователя, группы (втч под
особым контролем, например, «На увольнении»)
и роли)
• Получатель (внутренний/внешний,
знакомый/неизвестный, «из перечня» и пр.)
• Канал передачи, протокол передачи,
тип приложения
• Местоположение
(географическое и аппаратное)
36
Контекстный анализ

37. • Анализ вложения (тип вложения (формат),
наименование файла, размер, цифровые
отпечатки бинарных файлов, свойства файлов)
• Регулярные выражения, БКФ и другие
лингвистические методы (например, выявление
опечаток и транслитерации)
• Идентификаторы / текстовые объекты по
определенной структуре (ИНН, номер паспорта,
номер кредитной карты и пр.)
• Шаблоны документов / документы по
определенной структуре (анкеты, протоколы,
заявления и пр.)
• Цифровые отпечатки (текст) и выгрузки из БД
• Анализ изображений и схем (сканы паспортов,
кредитные карты, карты местности, схемы,
подписи, печати и штампы и пр.)
• Цифровые метки
37
Контентный анализ

38. 38
Задачи, решаемые DLP
Основные Дополнительные
• Снижение рисков утечки
информации
• Обеспечение возможности
расследования инцидентов
утечки информации
• Выявление экономических
преступлений
• Compliance
• Снижение кадровых рисков
• Контроль рабочего времени
• Анализ процессов обмена
информации (каналы передачи и
места хранения)
• …

39. 39

40. 40
Дилемма DLP: блокировать или нет?
Блокировать Только мониторить
• Возможность защиты
действительно важной
информации от случайной утечки
• Наличие формальных требований
• Наказание только за нарушение
правил обработки и защиты
информации (слабое)
• Недовольство пользователей
• Меньше рисков нарушения
работы бизнес-процессов
• Возможность наказания за
разглашение информации
ограниченного доступа

41. К сожалению, система DLP без
процесса управления инцидентами
практически бесполезна…
41

42. 42
http://solarsecurity.ru/analytics/webinars/614

43. • Событие ИБ – выявленное состояние системы, услуги или
состояние сети, указывающее на возможное нарушение
политики обеспечения ИБ, нарушение или отказ мер и
средств контроля и управления или прежде неизвестная
ситуации, которая может иметь значение для
безопасности.
• Инцидент ИБ – одно или несколько нежелательных или
неожиданных событий ИБ, которые со значительной
степенью вероятности приводят к компрометации
бизнеса и создают угрозы для ИБ.
43
Термины по ГОСТ 27000-2012

44. • Увольняющийся сотрудник скопировал на флешку все, что с мог
достать (наработки, методологии, базу клиентов, проектную
документацию, стратегии и планы)
• Сотрудник отдела закупок договорился с поставщиком о
завышении закупочных цен при условии личной мотивации
(откат)
• Операционист в банке пересылает заявления на кредиты
своему коллеге в конкурирующем банке, который
переманивает этих клиентов, делая целевые
контрпредложения
• Сотрудник одела продаж некоторые заказы проводит через
свою фирму
• Секретарь регулярно пересылает протоколы совещаний
руководства на незнакомый внешний ящик электронной почты
• …
44
Типовые инциденты
(утечки информации и внутрикорпоративное мошенничество)

45. 45
Процедура упр.инцидентами
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

46. 46
Ограничения по ТК РФ
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на
инцидент
6 мес.
1 мес.

47. 47
1.Обнаружение и регистрация событий системой DLP -
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

48. 48
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

49. 49
Что запускает работу ИБ?
Источник Оперативность
1. Оповещение по email Высокая
2. Оповещение в системе DLP Высокая
3. Оповещение по SMS Высокая
4. Информация на рабочем столе (Dashboard) Средняя
5. Информация из автоматического регулярного отчета Средняя
6. Информация из отчетов по запросу Низкая
7. Регулярный мониторинг и анализ Низкая
8. Внешняя информация об инциденте Низкая
9. Запрос со стороны руководства / заинтересованных лиц Низкая
10. «Чутье» (Подозрение на инцидент) Низкая
11. Скука / Интерес Низкая

50. Рабочий стол офицера ИБ
Solar Dozor v.6
1. Регулярный мониторинг событий
2. Расследование инцидентов
50

51. 51
Фокус внимания на самое важное
Люди
События и
инциденты
Информация
Досье на
информационные
объекты:
• места хранения
• каналы передачи
• отправители и
получатели
Досье на персон и
группы:
• Общая
информация
• События и
инциденты
• Граф-связей
• Уровень доверия
(«карма»)
• Канал передачи
• Сработавшая политика
• Отправители и получатели

52. 52
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

53. 53
Оперативное реагирование
Технические Организационные
• Блокировка передачи (с
уведомлением / без уведомления)
• Блокировка передачи до
подтверждения
• Отправка сообщения с
реконструкцией:
• Удаление информации
ограниченного доступа
• Замена информации на
предупреждение
• Добавление предупреждения
• Блокирование доступа к ИС
• Оповещение службы охраны / ЧОП
• Получение объяснительной
• Изъятие оборудования*
• Досмотр*
• Обращение в МВД России / ФСБ
России
• Задержание до выяснения*

54. 54
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

55. 1. Детальная информация об инциденте и Архив
сообщений
2. Отчеты и Поиск
3. «Досье» (на субъекта или группу)
4. «Уровень доверия» / «Карма» / Рейтинг нарушителей
5. «Граф связей»
6. «Досье» на информационные объекты
7. Снимки экрана / Видеозапись экрана / Рабочий стол в
режиме реального времени
8. Аудиозапись / Видеозапись пользователя
9. Кейлоггер
10. Контроль рабочего времени (запуск программ и
«активное» окно)
11. Категоризатор сайтов сети Интернет
55
Спец.инструменты расследования

56. 56
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

57. 1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника?
Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?
Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого?
Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у
этого сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
57
Пример модели принятия решения
по инциденту (по сумме баллов)
до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В

58. 1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий
(втч и лишение прав доступа)
5. Дисциплинарные взыскания:
– замечание
– выговор
– увольнение по соответствующим
основаниям
6. Увольнение по инициативе работника /
по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
58
Решение в случае виновности
Б) По решению
руководства и HR
В) По решению
руководства, HR,
юристов и ИБ.
Необходимо четкое
понимание процедур и
высокий уровень
«бумажной
безопасности»
А) По решению ИБ

59. ТК РФ ст.192-193
• 1 дисциплинарный проступок – 1 дисциплинарное
взыскание
• Не позднее 6 месяцев со дня совершения проступка
• Не позднее 1 месяца со дня обнаружения проступка
• Необходимо запросить от работника письменное
объяснение
Статья 81. Расторжение трудового договора по
инициативе работодателя
6) однократного грубого нарушения работником трудовых обязанностей:
в) разглашения охраняемой законом тайны (государственной, коммерческой,
служебной и иной), ставшей известной работнику в связи с исполнением им трудовых
обязанностей, в том числе разглашения персональных данных другого работника
59
Дисциплинарные взыскания

60. 60
«Идеальная» процедура увольнения
№ Шаги Ключевое
подразделение
Документы
1. Обнаружение инцидента, сбор
дополнительной информации
ИБ Краткий отчет об инциденте,
Служебная записка
2. Обсуждение возможных
вариантов реагирования
Руководство и
HR
Приказ о проведении служебного
расследования (о создании
Комиссии)
3. Запрос объяснительной
записки от работника
(желательно под роспись)
HR Объяснительная записка / Акт об
отказе
4. Заседание Комиссии
(хорошей практикой является
заседание 2х комиссий: по
расследованию и по кадровым
вопросам)
HR, ИБ Протокол(-ы) заседания комиссии
(краткое описание инцидента,
оценка тяжести проступка,
обстоятельства дела, величина
ущерба, решение)
5. Принятие решения об
увольнении, издание
соответствующего приказа
HR, руководство Приказ о применении
дисциплинарного взыскания / Акт
об отказе ознакомления
Шаблоны документов http://www.infowatch.ru/iwc_files/12803

61. ТК РФ ст.238-250
• Работник обязан возместить работодателю
причиненный ему прямой действительный
ущерб. Неполученные доходы (упущенная
выгода) взысканию с работника не подлежат.
• Работник несет материальную ответственность в
пределах своего среднего месячного заработка.
Если больше, то нужно судебное решение.
61
Материальная ответственность

62. • Статья 183. Незаконные получение и разглашение сведений, составляющих
коммерческую, налоговую или банковскую тайну
• Статья 185.6. Неправомерное использование инсайдерской информации
• Статья 147. Нарушение изобретательских и патентных прав
• Статья 159. Мошенничество
• Статья 163. Вымогательство
• Статья 272. Неправомерный доступ к компьютерной информации
• Статья 273. Создание, использование и распространение вредоносных
компьютерных программ
• Статья 274. Нарушение правил эксплуатации средств хранения, обработки
или передачи компьютерной информации и информационно-
телекоммуникационных сетей
• Статья 276. Шпионаж
• Статья 283. Разглашение государственной тайны
62
Статьи УК РФ

63. Важные:
• По ТК РФ: Объяснительная от работника (либо Акт об
отказе), Служебная записка об инциденте и Протокол
заседания комиссии, рассматривающей инцидент. В документах
следует указать краткое описание инцидента, оценку тяжести и
обстоятельства совершенного проступка.
• По УПК: Показания потерпевшего, свидетеля, Заключение и
показания эксперта и Заключение и показания специалиста,
Вещественные доказательства.
Отчеты DLP вторичны, но тоже принимаются Судом.
Дополнительно к отчету рекомендуется приложить краткое
описание решения с указанием сертификатов (подойдет брошюра
от производителя).
63
Про доказательства для Суда

64. 64
Кража электронных
носителей и/или средств
обработки информации
Корпоративная эл.почта
Личная эл.почта
(с корп.устройств)
Сеть Интернет
Корпоративные
мессенджеры
Агент на ПК для облачных
хранилищ
Персональные мессенджеры
Предоставление
неправомерных
расширенных прав доступа к
ИС
Вынос бумажных
документов (твердые копии)
Фото и видео
Аудио (разговор)
Личная эл.почта
(с персональных устройств)
Внешние (съемные)
носители
Печать документов
Синхронизация мобильных
устройств
Просто доказать
Сложно доказать
Сложно выявить Просто выявить
Про каналы
утечки

65. 65
Статья 23
1) Каждый имеет право на неприкосновенность
частной жизни, личную и семейную тайну,
защиту своей чести и доброго имени.
2) Каждый имеет право на тайну переписки,
телефонных переговоров, почтовых,
телеграфных и иных сообщений. Ограничение
этого права допускается только на основании
судебного решения.

66. 66
http://80na20.blogspot.ru/2015/12/blog-post_14.html

67. 1. Работодатель, как обладатель (владелец) информации, информационных
систем и сервисов, обладает правом предъявлять требования по их
использованию и контролировать их выполнение. В организации определен
Перечень информации ограниченного доступа, Правила работы с информацией
ограниченного доступа, Политика допустимого использования (средств
обработки и ИТ-сервисов). В частности, в явном виде запрещена передача
информации ограниченного доступа с использованием персональных средств и
систем (например, личной электронной почты или мессенджеров, не
утвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию на
корпоративных ресурсах (рабочие станции и файловые хранилища) и
передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет).
3. Работники уведомлены, что правила использования корпоративной
информации и информационных ресурсов регулярно контролируются с
использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода
услуги и не обеспечивает тайну связи для передачи информации по своим
корпоративным каналам. О возможности мониторинга и контроля
корпоративной переписки известно работникам (см.п 3). 67
Легализация DLP

68. 5. У работодателя отсутствует умысел нарушения тайны частной жизни.
Предполагается, что на контролируемых ресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то она
будет удалена, а к работнику могут применяться дисциплинарные взыскания
за нарушение правил внутреннего трудового распорядка.
7. Обнаруженная личная информация не будет использована (по крайней мере
официально) при принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников.
Содержание информации, хранимой в личных сервисах передачи данных
(например, внешняя эл.почта) не проверяется даже при получении такой
возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контроле
входящей почты. Работники уведомлены, что они обязаны уведомить тех, с
кем общаются, о недопустимости использовании корпоративных сервисов для
осуществления любых видов коммуникаций, не связанных со служебной
деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована
(по крайней мере официально) при принятии решений.
68
Легализация DLP (продолжение)

69. 69
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование
на инцидент

70. • Подготовка и передача материалов на хранение (архив)
• Анализ причин инцидента
• Подготовка итогового отчета (при необходимости)
• Проведение итогового совещания (при необходимости)
• Награждение (или наказание) участников процедуры
управления инцидентами (при необходимости)
• Решение о том, «что делать дальше»
70
Что после реагирования?

71. • Ничего, все молодцы
• Проведение Аудита ИБ и/или дополнительных проверок
• Совершенствование процедуры управления инцидентами
• Совершенствование системы ИБ:
– Пересмотр прав доступа
– Пересмотр требований по обработке и хранению информации
– Обучение и повышение осведомленности:
– «Точная» настройка СЗИ
– Внедрение новых мер и СЗИ
– …
• Пересмотр кадровой политики (процедура найма и увольнения,
мотивация персонала, корпоративная культура)
• Изменение бизнес-процессов
71
Что дальше?

72. 72
Обучение и повышение осведомленности
Кто? Тематики
Рядовые
пользователи
• Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-
специалисты
• Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации,
мотивации, взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации

73. Краткий обзор рынка
систем DLP в России и Мире
73

74. 74
DLP в Мире, 2016
https://digitalguardian.com

75. 75
Рынок DLP в России, 2014
Не только лишь DLP:

76. • https://www.anti-
malware.ru/comparisons/data_leak_protectio
n_2014_part1
• https://www.anti-
malware.ru/comparisons/data_leak_protectio
n_2014_part2
76
Пример сравнения DLP (2014)

77. • Объективность и непредвзятость 
• Какая методология? (изучение стенда, анализ
маркетинговых материалов, опрос
производителя, опрос заказчиков и пр.)
• А какая версия и состав модулей?
• Готовы ли сами производители сравнивать
решения и публиковать итог?
• Много неконкретных критериев
• Слишком много критериев (что важное?)
77
Проблема сравнений DLP

78. • Сертификаты (на какую версию, модули)
• Возможность блокировки / реагирования
• Системные требования
• Технологии анализа и возможность анализа на
агенте
• Нестандартные протоколы, ОС и другие условия
(например, DLP на мобильных устройствах)
• Интеграция и совместные проекты
• Централизованное управление
• Масштабируемость
• Гибкость и скорость построения отчетов и поиска
• Скорость и простота внедрения и настройки
78
Об этом часто «преувеличивают»

79. 79
Сравнение DLP и аналогов
InfoWatch
Solar
Security
(Дозор)
SearchInform Symantec
Intel
Security
(McAfee)
Функционал DLP
(рекомендации ФСТЭК России)
Технологии анализа
Инструменты расследования
инцидентов
Отчеты и консоль управления
Импортозамещение
(возможность использовать для
гос.органов)
Цена
Выбраны ключевые игроки рынка РФ и важнейшие верхнеуровневые
критерии. Задача: В таблице 8 красных («слабая сторона продукта»), 6
желтых («ну, нормально») и 16 зеленых ячеек («сильная сторона
продукта»). Расставьте ))

80. Лучшее решение - тестирование (пилот) на своей
площадке с заранее определенными
критериями сравнения.
Кстати, удобно проранжировать их по степени
важности…
80

81. 1.Какие задачи планируется решать? Какая самая главная?
2.Какие область действия (scope) и ограничения проекта?
3.Какие каналы требуется мониторить? Мониторинг или
блокировка? Требуется ли блокировка на агенте?
4.Какие технологии анализа необходимы?
5.Необходимо ли хранение всех сообщений или только
инциденты? Сколько по времени?
6.А может посчитаем TCO? А какие будут трудозатраты на
работу с системой? Какой % ложных срабатываний?
Насколько сложно настраивать политики DLP?
7.Необходим ли сертификат ФСТЭК России?
8.Есть ли система в реестре отечественного ПО
https://reestr.minsvyaz.ru ?
9.…
81
Вопросы при выборе DLP

82. • CERT: Insider Threat - http://cert.org/insider-threat/
• Библиотека SANS - www.sans.org
• Статьи и материалы Anti-malware.ru - https://www.anti-
malware.ru/data_leak_protection
• Статьи и материалы Information Security - http://www.itsec.ru
• Вебинары, статьи и другие материалы производителей DLP
• Мой блог - http://80na20.blogspot.ru
82
Дополнительные материалы

83. 83

84. • http://breachlevelindex.com
• http://www.informationisbeautiful.net/visualizations/worlds-
biggest-data-breaches-hacks
• http://www.trendmicro.com/vinfo/us/security/news/data-breach
• https://www.privacyrights.org/data-breach/new
• http://oag.ca.gov/ecrime/databreach/list
• http://www.infowatch.ru/analytics/leaks_monitoring
• ITRC Data Breach Report:
– 2016 - http://www.idtheftcenter.org/2016databreaches.html
– 2015 - http://www.idtheftcenter.org/ITRC-Surveys-Studies/2015databreaches.html
– 2014 - http://www.idtheftcenter.org/ITRC-Surveys-Studies/2014databreaches.html
84
Базы инцидентов и новости про
утечки информации

85. • JSOC Security flash report - http://solarsecurity.ru/analytics/reports
• Опрос HH.RU «Шпионы на работе» 2014 http://hh.ru/article/14682
• Creating trust in the digital world. EY’s Global Information Security Survey
2015 - http://www.ey.com/Publication/vwLUAssets/ey-global-information-
security-survey-2015/$FILE/ey-global-information-security-survey-2015.pdf
• The 2015 Vormetric Insider Threat Report -
http://www.vormetric.com/campaigns/insiderthreat/2015
• Verizon 2015 Data Breach Investigations Report -
http://news.verizonenterprise.com/2015/04/2015-data-breach-report-info
• Symantec Internet Security Threat Report (ISTR 20) -
https://www.symantec.com/security_response/publications/threatreport.jsp
• Check Point 2015 Security Report -
http://www.checkpoint.com/resources/2015securityreport
• Ponemon Institute: 2015 Cost of Cyber Crime Study: Russian Federation
• Ponemon Institute: Cost of Data Breach Study
85
Аналитика про утечки

86. • Как реагировать на инциденты ИБ с помощью DLP -
http://solarsecurity.ru/analytics/webinars/614
• Один день офицера по безопасности. Стандартные
сценарии работы с DLP-системой -
http://solarsecurity.ru/analytics/webinars/590
• Используем DLP «по закону» -
http://www.infowatch.ru/webinar/iw_10_07_2014
• 4 «горячих» юридических вопроса про DLP -
http://www.infowatch.ru/webinar/iw_13_08_2014
• Начинаем работать с моделью зрелости DLP -
http://www.infowatch.ru/webinar/iw_23_06_2015
• …
86
Вебинары от DLP вендоров (РФ)

87. • Результативность и эффективность DLP
• Анализ поведения работников / Прогнозирование
инцидентов / Big Data
• Обеспечение экономической безопасности с
использованием DLP
• Решение кадровых проблем с использованием DLP
• Комплексный подход в защите от внутренних угроз
/ инсайдеров / утечек информации
• Контентный анализ (мат.модели)
• Методология использования DLP Discovery
• Инвентаризация и классификация информации
• … 87
Направления исследований для
курсовых и дипломных работ

88. 88
Спасибо за внимание!
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Моя почта: prozorov.info@gmail.com