2. 2016-04-14 2
“By 2018, 90% of organizations will
implement at least one form of integrated
DLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-
28)
Есть ощущение, что это актуально и для России…
3. Многие компании уже внедрили DLP
Объем рынка DLP в России в 2015 году -
4,7 млрд рублей,
рост 17,2%
2016-04-14 3
https://www.anti-malware.ru/russian_dlp_market_2013_2016
4. Почему Вы купили DLP?
У нас были инциденты, надеюсь, что DLP нам поможет…
У всех уже есть…
Громкий маркетинг, уже более 10 лет настойчиво предлагают
купить
Вроде бы помогает соответствовать требованиям (Приказы ФСТЭК
России №17/21, PCI DSS, СТО БР ИББС и др.)
Наконец-то появились рекомендации(ОЦЛ.5 в «Меры защиты
информации в ГосИС» (ФСТЭК России), РС БР ИББС 2.9-2016
«Предотвращение утечек информации»), поняли, что пора
Реально помогает расследовать инциденты ИБ и контролировать
сотрудников
На пилоте выявили несколько инцидентов, это помогло убедить
руководство
Внедрили еще до меня, выбирал не я…
Продавец – мой хороший друг
другие причины…
2016-04-14 4
5. Маркетинговая «эффективность» DLP
«DLP позволяет эффективно защищать бизнес от убытков, связанных с
утечками информации»
«DLP позволяет эффективно контролировать информационные потоки
предприятия на всех уровнях»
«DLP позволяют эффективно защитить корпоративную информацию от
утечки или несанкционированного распространения»
«В сегодняшних условиях эффективными становятся не запретительные
меры, а всесторонний контроль над информационными потоками и их
обработка в соответствии с политикой информационной безопасности»
«Для эффективной работы с инцидентами в DLP реализована полноценная
система кейс-менеджмента, позволяющая управлять жизненным циклом
инцидента на всех этапах расследования»
…
Цитаты с сайтов DLP-вендоров
2016-04-14 5
6. 2016-04-14 6
Что DLP делают ЭФФЕКТИВНО?
Защищают бизнес Контролируют потоки инф-ии
Защищают от утечки Помогают управлять инцид-ми
8. 2016-04-14 8
Многое можно было сделать
до внедрения DLP или
во время внедрения…
Но как-то не сложилось…
9. Внедрили DLP! Что дальше?
2016-04-14 9
Тематика Активность Зависимость
от вендора
0. Контекст Проанализируйте контекст использования DLP Нет
1. Легализация Легализуйте DLP при контроле переписки сотрудников
(обеспечьте возможность использования отчетов DLP в Суде)
Нет
2. Точная настройка Настройте систему под свои задачи (уведомления, отчеты,
политики, роли и пр.), начните использовать модуль DLP
Discovery (Crawler)
Да
3. Процедура
реагирование
Определите процедуру реагирования на инциденты Скорее Нет
4. Обучение Решите вопрос с обучением сотрудников Скорее Нет
5. Орг.меры Внедрите полезные организационные меры Нет
6. Метрики и KPI Подумайте о метриках и KPI Скорее Да
10. 0.Проанализируйте контекст (DLP)
Зачем: Позволит правильно настроить и легализовать DLP
Вопросы:
1. Кто заинтересован во внедрении DLP и поддерживает инициативу? Какое мнение и ожидания от
системы DLP у ИБ, СБ, ЭБ, ИТ, HR, юристов, ключевых руководителей?
2. Какая конфиденциальная информация обрабатывается в организации? Какие требования (внешние и
внутренние) предъявляются к ее обработке и защите?
3. Какая информация «самая ценная», какой ее жизненный цикл (владельцы, формат, места хранения,
ИС, каналы передачи, срок ценности, права доступа и пр.)?
4. Какие инциденты (утечка информации, мошенничество) уже происходили (были выявлены) в
организации? Что в итоге? Какое отношение руководства к таким инцидентам и склонность к риску?
5. Какова модель нарушителя, кто находится в «группе риска»? Какие конкретные угрозы (сценарии)
могут быть реализованы?
6. Какие каналы передачи информации используются (и запрещены) в организации (официальные и
неофициальные)? Какие к ним предъявляются требования? Какие каналы требуется контролировать,
какие блокировать?
7. Какие цели и приоритеты у ИБ
8. Какие меры защиты от внутренних угроз уже реализованы в организации? Какие ресурсы и
полномочия есть у подразделения ИБ (и СБ)?
9. Какие особенности корпоративной культуры ИБ («все друзья»/«кругом враги», «все разрешено»/»все
запрещено», «все по бумажке»/»здравый смысл» и пр.)? Что принято делать с нарушителями?
10. Кому нужен доступ к системе DLP (управление, настройки, уведомления, только чтение и пр.)?
11. …
2016-04-14 10
12. 1.Легализация DLP
2016-04-14 12
Зачем: Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) и
использовать отчеты DLP в Суде
Это важно:
• Документированные требования
• Правила работы с DLP (проведение расследований)
• Аргументация в Суде
13. Отчеты DLP для доказательства в суде
• Дозор-Джет и Контур безопасности:
Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• Дозор-Джет:
Дело №33-90/11, Садыков Т.Ф. против ЗАО ???
• InfoWatch:
Дело №2-11976/2014 ~ М-10846/2014, ???ФИО1 против Фонда
социального страхования
• InfoWatch:
Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А.
против ООО Национальная служба взыскания
2016-04-14 13
http://80na20.blogspot.ru/2016/08/dlp.html
14. Об этом рассказывал на БИТ Урал 2016
2016-04-14 14
http://80na20.blogspot.ru/2016/04/dlp-2016.html
http://80na20.blogspot.ru/2016/04/dlp_15.html
16. Корпоративное мошенничество
Коррупция
Конфликт
интересов
В закупках
В продажах
Взяточничество
Откаты
Управляемые
тендеры
Нелегальные
подарки
Вымогательство
Нецелевое
использование
активов
Cash
Имущество и
нематериальные
активы
Злоупотребление
Кража
Махинации с
финансовой
отчетностью
Стр-ра корпоративного мошенничества
2016-04-14 16
17. 2.Точная настройка DLP + Discovery
• Понимайте контекст
• Настройте политики под задачи и кейсы
• Настройте уведомления, виджеты и отчеты (оптимальное
время работы с DLP – 15-120 минут в день)
• Подумайте про разграничение доступа к DLP (группы
исключения, настройки, инциденты, тело сообщения)
• Настройте правила для модуля DLP Discovery (Crawler)
• Если есть сложности с этим, то ориентируйтесь на
Консалтинг или Аутсорсинг
2016-04-14 17
18. 3.А что вы будете делать при инциденте?
Важно понимать:
1. Возможные варианты (и последствия)
реагирования
2. Процедуры (роли (RACI-chart) и шаги)
3. Документы и записи
4. Ограничения (по времени, по сбору данных,
по используемым тех.средствам и пр.)
5. А если дойдет до Суда?
2016-04-14 18
19. 3.Процедура реагирования +ТК РФ
2016-04-14 19
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на
инцидент
6 мес.
1 мес.
20. Модель принятия решения по инцидентам
2016-04-14 20
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника?
Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?
Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого?
Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
Если сумма баллов до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
21. Решение по инцидентам утечки
2016-04-14 21
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:
◦ замечание
◦ выговор
◦ увольнение по соответствующим основаниям
6. Увольнение по инициативе работника / по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
Б) По решению руководства и HR
В) По решению руководства,
HR, юристов и ИБ.
Необходимо четкое понимание
процедур и высокий уровень
«бумажной безопасности»
А) По решению ИБ
23. 4.Обучение и повышение осведомленности
2016-04-14 23
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации,
взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации
24. 5.Организационные (и технические) меры
2016-04-14 24
• Минимизация прав доступа и контроль
• Перечень допустимого ПО и его контроль
• Обучении и повышение осведомленности
• Шифрование носителей информации
• Шифрование передаваемых сообщений
• Какая политика организации относительно
удаленной работы, BYOD, мобильных устройств,
внешних носителей информации?
• Анализ логов
• …
• Физическая безопасность
• СКУД и видеонаблюдение
• Уничтожение носителей (бумажные и
электронные)
• Техническое обслуживание средств обработки
информации
• Политика чистых столов и экранов
• Аудит выполнения внутренних требований
• Тестирование методом соц.инженерии
• …
25. 6.Метрики и KPI
1. Трудозатраты при работе с системой DLP:
• Настройка политик
• Мониторинг событий и расследование инцидентов
2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей
политике, по контролируемому каналу, по персоне/группе и пр.
3. % ложных срабатываний (FP и FN)
4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе
5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)
6. Трудозатраты при реагировании на инциденты (рабочая группа)
7. Кол-во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)
8. Количество дисциплинарных взысканий
9. Величина нанесенного и/или предотвращенного ущерба
10. …
2016-04-14 25
26. Простые рекомендации
Next 7 Days
• Составьте перечень и проведите аудит документов с полезными для ИБ положениями («легализация
DLP»), составьте план по их актуализации и доработке.
• Оцените кол-во времени, которое уходит на работу в DLP системе. Какие задачи при этом решаются?
Next 90 Days
• Проанализируйте выявленные DLP события и инциденты: кол-во инцидентов по типам (канал, политики,
технологии анализа, подразделения, триггеры и пр.), кол-во ошибок (FP и FN). Определите критичные
инциденты и их атрибуты
• Определяете кейсы (типовые сценарии реализации угроз)
• Актуализируйте (разработайте) «Политику допустимого использования»
http://80na20.blogspot.ru/2013/09/blog-post_12.html и другие документы
Next 12 Months
• Согласуйте с руководством, подразделениями HR и юристами свой подход к реагированию на
инциденты. Разработайте необходимые шаблоны документов (для дисциплинарного взыскания).
• Разработайте корпоративный стандарт по настройке DLP (для крупных организаций). Внесите
необходимые правки в настройки системы
• Начните пользоваться модулем DLP Discovery
• Задумайтесь, а подходит ли существующее DLP для решения ваших задач?
2016-04-14 26
28. 2016-04-14 28
Одна из проблем –
завышенные ожидания
от DLP (спасибо
маркетингу и сейлам),
которые приводят к
разочарованию…
29. Если закупленное DLP не устраивает?
• Гос.организациям и гос.компаниям следует использовать российское ПО.
Реестр - https://reestr.minsvyaz.ru (+см.далее)
• Причины перехода на другое DLP:
• Не устраивает существующее
• Интересно другое
• Многие производители DLP дают скидки за переход на их решение
• Некоторые компании используют 2 решения от разных производителей, типовые
подходы:
• Иностранное DLP (compliance) + Российское DLP (архив + расследование
инцидентов)
• DLP для аналитики и расследования инцидентов + решение для контроля
сотрудников
• DLP для контроля сети (Network) + решение для контроля рабочих станций
(Endpoint)
2016-04-14 29
30. Импортозамещение ПО
2016-04-14 30
Для гос.органов: 188-ФЗ от 29.06.2015 и ПП РФ от
16.11.2015 N 1236 "Об установлении запрета на
допуск ПО, происходящего из иностранных
государств, для целей осуществления закупок для
обеспечения государственных и муниципальных
нужд"
Для гос.компаний: Директивы от 11 июля 2016
года 4972п-П13 (Шувалов)
31. Минкомсвязь России: Иностранные DLP
2016-04-14 31
• 0556 - Digital Guardian Data Loss Prevention Software
• 0615 - Fidelis Cybersecurity DLP
• 0658 - GTB Technologies Data Loss Prevention
• 0857 - McAfee Data Loss Prevention
• 0859 - McAfee Total Protection for Data Loss Prevention
• 1696 - Symantec Data Loss Prevention
• 1744 - TRITON AP-DATA (ex. Websence Data Security Suite)
• 1745 - TRITON AP-ENDPOINT (ex. Websence Data Security Suite)
• 1746 - TRITON AP-EMAIL (ex. Websence Email Security Suite)
• 1747 - TRITON AP-WEB (ex. Websence Web Security Suite)
• 1836 - КИБ SearchInform
«Таблица соответствия ПО, происходящего
из иностранных государств, классам ПО,
предусмотренных Классификатором»