Презентация с конференции БИТ СПб

1. Внедрили DLP? Молодцы!
А что дальше?
ПРОЗОРОВ АНДРЕЙ, CISM, ЧЛЕН АРСИБ
2016-04-14 1

2. 2016-04-14 2
“By 2018, 90% of organizations will
implement at least one form of integrated
DLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-
28)
Есть ощущение, что это актуально и для России…

3. Многие компании уже внедрили DLP
Объем рынка DLP в России в 2015 году -
4,7 млрд рублей,
рост 17,2%
2016-04-14 3
https://www.anti-malware.ru/russian_dlp_market_2013_2016

4. Почему Вы купили DLP?
 У нас были инциденты, надеюсь, что DLP нам поможет…
 У всех уже есть…
 Громкий маркетинг, уже более 10 лет настойчиво предлагают
купить
 Вроде бы помогает соответствовать требованиям (Приказы ФСТЭК
России №17/21, PCI DSS, СТО БР ИББС и др.)
 Наконец-то появились рекомендации(ОЦЛ.5 в «Меры защиты
информации в ГосИС» (ФСТЭК России), РС БР ИББС 2.9-2016
«Предотвращение утечек информации»), поняли, что пора
 Реально помогает расследовать инциденты ИБ и контролировать
сотрудников
 На пилоте выявили несколько инцидентов, это помогло убедить
руководство
 Внедрили еще до меня, выбирал не я…
 Продавец – мой хороший друг
 другие причины…
2016-04-14 4

5. Маркетинговая «эффективность» DLP
 «DLP позволяет эффективно защищать бизнес от убытков, связанных с
утечками информации»
 «DLP позволяет эффективно контролировать информационные потоки
предприятия на всех уровнях»
 «DLP позволяют эффективно защитить корпоративную информацию от
утечки или несанкционированного распространения»
 «В сегодняшних условиях эффективными становятся не запретительные
меры, а всесторонний контроль над информационными потоками и их
обработка в соответствии с политикой информационной безопасности»
 «Для эффективной работы с инцидентами в DLP реализована полноценная
система кейс-менеджмента, позволяющая управлять жизненным циклом
инцидента на всех этапах расследования»
 …
Цитаты с сайтов DLP-вендоров
2016-04-14 5

6. 2016-04-14 6
Что DLP делают ЭФФЕКТИВНО?
Защищают бизнес Контролируют потоки инф-ии
Защищают от утечки Помогают управлять инцид-ми

7. 2016-04-14 7
К сожалению, просто внедрить
DLP не достаточно…

8. 2016-04-14 8
Многое можно было сделать
до внедрения DLP или
во время внедрения…
Но как-то не сложилось…

9. Внедрили DLP! Что дальше?
2016-04-14 9
Тематика Активность Зависимость
от вендора
0. Контекст Проанализируйте контекст использования DLP Нет
1. Легализация Легализуйте DLP при контроле переписки сотрудников
(обеспечьте возможность использования отчетов DLP в Суде)
Нет
2. Точная настройка Настройте систему под свои задачи (уведомления, отчеты,
политики, роли и пр.), начните использовать модуль DLP
Discovery (Crawler)
Да
3. Процедура
реагирование
Определите процедуру реагирования на инциденты Скорее Нет
4. Обучение Решите вопрос с обучением сотрудников Скорее Нет
5. Орг.меры Внедрите полезные организационные меры Нет
6. Метрики и KPI Подумайте о метриках и KPI Скорее Да

10. 0.Проанализируйте контекст (DLP)
Зачем: Позволит правильно настроить и легализовать DLP
Вопросы:
1. Кто заинтересован во внедрении DLP и поддерживает инициативу? Какое мнение и ожидания от
системы DLP у ИБ, СБ, ЭБ, ИТ, HR, юристов, ключевых руководителей?
2. Какая конфиденциальная информация обрабатывается в организации? Какие требования (внешние и
внутренние) предъявляются к ее обработке и защите?
3. Какая информация «самая ценная», какой ее жизненный цикл (владельцы, формат, места хранения,
ИС, каналы передачи, срок ценности, права доступа и пр.)?
4. Какие инциденты (утечка информации, мошенничество) уже происходили (были выявлены) в
организации? Что в итоге? Какое отношение руководства к таким инцидентам и склонность к риску?
5. Какова модель нарушителя, кто находится в «группе риска»? Какие конкретные угрозы (сценарии)
могут быть реализованы?
6. Какие каналы передачи информации используются (и запрещены) в организации (официальные и
неофициальные)? Какие к ним предъявляются требования? Какие каналы требуется контролировать,
какие блокировать?
7. Какие цели и приоритеты у ИБ
8. Какие меры защиты от внутренних угроз уже реализованы в организации? Какие ресурсы и
полномочия есть у подразделения ИБ (и СБ)?
9. Какие особенности корпоративной культуры ИБ («все друзья»/«кругом враги», «все разрешено»/»все
запрещено», «все по бумажке»/»здравый смысл» и пр.)? Что принято делать с нарушителями?
10. Кому нужен доступ к системе DLP (управление, настройки, уведомления, только чтение и пр.)?
11. …
2016-04-14 10

11. 2016-04-14 11

12. 1.Легализация DLP
2016-04-14 12
Зачем: Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) и
использовать отчеты DLP в Суде
Это важно:
• Документированные требования
• Правила работы с DLP (проведение расследований)
• Аргументация в Суде

13. Отчеты DLP для доказательства в суде
• Дозор-Джет и Контур безопасности:
Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• Дозор-Джет:
Дело №33-90/11, Садыков Т.Ф. против ЗАО ???
• InfoWatch:
Дело №2-11976/2014 ~ М-10846/2014, ???ФИО1 против Фонда
социального страхования
• InfoWatch:
Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А.
против ООО Национальная служба взыскания
2016-04-14 13
http://80na20.blogspot.ru/2016/08/dlp.html

14. Об этом рассказывал на БИТ Урал 2016
2016-04-14 14
http://80na20.blogspot.ru/2016/04/dlp-2016.html
http://80na20.blogspot.ru/2016/04/dlp_15.html

15. Подробнее…
2016-04-14 15

16. Корпоративное мошенничество
Коррупция
Конфликт
интересов
В закупках
В продажах
Взяточничество
Откаты
Управляемые
тендеры
Нелегальные
подарки
Вымогательство
Нецелевое
использование
активов
Cash
Имущество и
нематериальные
активы
Злоупотребление
Кража
Махинации с
финансовой
отчетностью
Стр-ра корпоративного мошенничества
2016-04-14 16

17. 2.Точная настройка DLP + Discovery
• Понимайте контекст
• Настройте политики под задачи и кейсы
• Настройте уведомления, виджеты и отчеты (оптимальное
время работы с DLP – 15-120 минут в день)
• Подумайте про разграничение доступа к DLP (группы
исключения, настройки, инциденты, тело сообщения)
• Настройте правила для модуля DLP Discovery (Crawler)
• Если есть сложности с этим, то ориентируйтесь на
Консалтинг или Аутсорсинг
2016-04-14 17

18. 3.А что вы будете делать при инциденте?
Важно понимать:
1. Возможные варианты (и последствия)
реагирования
2. Процедуры (роли (RACI-chart) и шаги)
3. Документы и записи
4. Ограничения (по времени, по сбору данных,
по используемым тех.средствам и пр.)
5. А если дойдет до Суда?
2016-04-14 18

19. 3.Процедура реагирования +ТК РФ
2016-04-14 19
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на
инцидент
6 мес.
1 мес.

20. Модель принятия решения по инцидентам
2016-04-14 20
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника?
Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?
Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого?
Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
Если сумма баллов до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В

21. Решение по инцидентам утечки
2016-04-14 21
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:
◦ замечание
◦ выговор
◦ увольнение по соответствующим основаниям
6. Увольнение по инициативе работника / по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
Б) По решению руководства и HR
В) По решению руководства,
HR, юристов и ИБ.
Необходимо четкое понимание
процедур и высокий уровень
«бумажной безопасности»
А) По решению ИБ

22. Подробнее…
2016-04-14 22

23. 4.Обучение и повышение осведомленности
2016-04-14 23
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации,
взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации

24. 5.Организационные (и технические) меры
2016-04-14 24
• Минимизация прав доступа и контроль
• Перечень допустимого ПО и его контроль
• Обучении и повышение осведомленности
• Шифрование носителей информации
• Шифрование передаваемых сообщений
• Какая политика организации относительно
удаленной работы, BYOD, мобильных устройств,
внешних носителей информации?
• Анализ логов
• …
• Физическая безопасность
• СКУД и видеонаблюдение
• Уничтожение носителей (бумажные и
электронные)
• Техническое обслуживание средств обработки
информации
• Политика чистых столов и экранов
• Аудит выполнения внутренних требований
• Тестирование методом соц.инженерии
• …

25. 6.Метрики и KPI
1. Трудозатраты при работе с системой DLP:
• Настройка политик
• Мониторинг событий и расследование инцидентов
2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей
политике, по контролируемому каналу, по персоне/группе и пр.
3. % ложных срабатываний (FP и FN)
4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе
5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)
6. Трудозатраты при реагировании на инциденты (рабочая группа)
7. Кол-во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)
8. Количество дисциплинарных взысканий
9. Величина нанесенного и/или предотвращенного ущерба
10. …
2016-04-14 25

26. Простые рекомендации
Next 7 Days
• Составьте перечень и проведите аудит документов с полезными для ИБ положениями («легализация
DLP»), составьте план по их актуализации и доработке.
• Оцените кол-во времени, которое уходит на работу в DLP системе. Какие задачи при этом решаются?
Next 90 Days
• Проанализируйте выявленные DLP события и инциденты: кол-во инцидентов по типам (канал, политики,
технологии анализа, подразделения, триггеры и пр.), кол-во ошибок (FP и FN). Определите критичные
инциденты и их атрибуты
• Определяете кейсы (типовые сценарии реализации угроз)
• Актуализируйте (разработайте) «Политику допустимого использования»
http://80na20.blogspot.ru/2013/09/blog-post_12.html и другие документы
Next 12 Months
• Согласуйте с руководством, подразделениями HR и юристами свой подход к реагированию на
инциденты. Разработайте необходимые шаблоны документов (для дисциплинарного взыскания).
• Разработайте корпоративный стандарт по настройке DLP (для крупных организаций). Внесите
необходимые правки в настройки системы
• Начните пользоваться модулем DLP Discovery
• Задумайтесь, а подходит ли существующее DLP для решения ваших задач?
2016-04-14 26

27. 2016-04-14 27
Способно ли ваше DLP
быть эффективным?

28. 2016-04-14 28
Одна из проблем –
завышенные ожидания
от DLP (спасибо
маркетингу и сейлам),
которые приводят к
разочарованию…

29. Если закупленное DLP не устраивает?
• Гос.организациям и гос.компаниям следует использовать российское ПО.
Реестр - https://reestr.minsvyaz.ru (+см.далее)
• Причины перехода на другое DLP:
• Не устраивает существующее
• Интересно другое
• Многие производители DLP дают скидки за переход на их решение
• Некоторые компании используют 2 решения от разных производителей, типовые
подходы:
• Иностранное DLP (compliance) + Российское DLP (архив + расследование
инцидентов)
• DLP для аналитики и расследования инцидентов + решение для контроля
сотрудников
• DLP для контроля сети (Network) + решение для контроля рабочих станций
(Endpoint)
2016-04-14 29

30. Импортозамещение ПО
2016-04-14 30
Для гос.органов: 188-ФЗ от 29.06.2015 и ПП РФ от
16.11.2015 N 1236 "Об установлении запрета на
допуск ПО, происходящего из иностранных
государств, для целей осуществления закупок для
обеспечения государственных и муниципальных
нужд"
Для гос.компаний: Директивы от 11 июля 2016
года 4972п-П13 (Шувалов)

31. Минкомсвязь России: Иностранные DLP
2016-04-14 31
• 0556 - Digital Guardian Data Loss Prevention Software
• 0615 - Fidelis Cybersecurity DLP
• 0658 - GTB Technologies Data Loss Prevention
• 0857 - McAfee Data Loss Prevention
• 0859 - McAfee Total Protection for Data Loss Prevention
• 1696 - Symantec Data Loss Prevention
• 1744 - TRITON AP-DATA (ex. Websence Data Security Suite)
• 1745 - TRITON AP-ENDPOINT (ex. Websence Data Security Suite)
• 1746 - TRITON AP-EMAIL (ex. Websence Email Security Suite)
• 1747 - TRITON AP-WEB (ex. Websence Web Security Suite)
• 1836 - КИБ SearchInform
«Таблица соответствия ПО, происходящего
из иностранных государств, классам ПО,
предусмотренных Классификатором»

32. Что еще посмотреть по теме?
2016-04-14 32http://80na20.blogspot.ru

33. Прозоров Андрей, CISM, член АРСИБ
Руководитель экспертного направления, Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2016-04-14 33
Спасибо за внимание!