Soft

war

e C

lou

d

Serv

ices

Защита конфиденциальной

информации от утечек и

инсайдеров с помощью

современных DLP-решений Тимур Ханнанов

Руководитель направления по

информационной безопасности

Timur.Khannanov@softline.ru

Содержание

1. О DLP-системах

2. Проблемы внедрения DLP-системы

3. Подход компании Softline при внедрении DLP-систем

Август 2011 страховая компания АСС скомпрометировала

персональные данные 7 тыс. клиентов.

Июль 2011 сотрудники Pulaski Bank трудились на конкурента

работодателя.

Январь 2008 июнь 2009 директор по управлению бизнес-

процессами в Yahoo! разглашал конфиденциальную

информацию о сделках – 389 тыс. долларов упущенной

прибыли.

Инциденты, связанные с утечкой конфиденциальной информации

Первый шаг к решению проблемы – признание ее наличия

Допускаете такую возможность в Вашей Компании?

Сотрудник

Забирает наработки

Рассылает почту по ошибке

«Сливает» клиентскую

базу

Передает бизнес-планы

бывшему коллеге

Напомним, что (по определению Gartner) DLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой.

DLP системы предназначены для мониторинга и аудита, для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать.

Data Loss Prevention и Data Leak Prevention…

Общее сведения о DLP

Лингвистический анализ информации;

Регулярные выражения (шаблоны);

Характеристики файловой информации;

Цифровые отпечатки;

Метки.

В современных DLP системах используются комбинации этих методов.

Основные методы определения конфиденциальной информации

Типовая структура DLP решения

Купили Установили Включили

Проблема существует. Что делать?

Защищены?

Решили использовать DLP-систему…

Проблема существует. Что делать?

Система DLP должна решить все проблемы, о них много пишут и говорят.

Почему нет?

Нужно снова

исправлять ситуацию

Слишком большой объем

оповещений?

Неясно, как реагировать на

инциденты?

Снова утечки защищаемых

данных?

Главный бухгалтер не смог отправить финансовый отчет

директору на личную почту?

Сначала нужно ответить себе на вопросы:

Что конкретно защищаем?

От кого защищаем?

Как может произойти утечка?

Что же конкретно защищаем?

Информационны

е потоки

Владелец

Критичность

Места хранения

Формат

Конфиденциальная

информация

От кого защищаемся?

Тип поведения Умысел Корысть Постановка

задачи Действия

Халатный Нет Нет Нет Случайные

Манипулируемый Нет Нет Нет Непреднамеренные

Обиженный Да Нет Сам Сознательные

Нелояльный Да Нет Сам Сознательные

Подрабатывающий Да Да Сам\Извне Сознательные

Внедренный Да Да Извне Сознательные,

спланированные

Как может произойти утечка?

Адресат:

• Случайный получатель

• Конкуренты

• Неопределенное лицо

Модель состояний защищаемых информационных активов

При определении сценариев утечки данных удобно

использовать модель состояний и переходов

Пример табличной модели угроз №

сценария События/Состояния

S1.1

Вынос рабочей станции, ноутбука, носителя

информации за периметр КЗ

Хранение информации на

съемных носителях

S1.2

Хранение и обработка

информации на рабочей станции

S1.2.1.1

Копирование информации на рабочую станцию

Хранение информации на съемных носителях

S1.2.1.2 Хранение информации в

хранилище резервных копий

S1.2.1.3 Хранение информации на

файловом сервере

S1.2.2.1 Подготовка отчета с

использованием штатного функционала

Хранение и обработка информации в БД

приложения

S1.2.3.1 Выгрузка информации в файл через выполнение

SQL-запроса

Хранение и обработка информации в БД

приложения

Изучение нормативно-регламентной документации организации в

сфере информационной безопасности

Технический аудит архитектуры сети организации и используемых

средств защиты информации

Разработка Технического задания на внедрение системы защиты от

утечек конфиденциальной информации (ТЗ)

Определение наиболее подходящей системы DLP для Заказчика

Описание политик работы DLP системы

Формирование рекомендаций по повышению общего уровня

защищенности конфиденциальной информации

Разработка архитектуры решения по защите конфиденциальной информации

Формирование рабочей группы Исполнителя и Заказчика,

согласование план-графика работ и т.д.

Поставка и подготовка оборудования для установки системы DLP

Установка системы на тестовую среду организации

Настройка политик работ системы в соответствии с требованиями ТЗ

Тестирование системы заявленным требованиям

Масштабирование системы на ресурсы организации

Ввод системы в промышленную эксплуатацию

Разработка документации по проекту (положения, регламенты,

инструкции и т.д.)

Внедрение системы DLP

Выгоды

«Активный» режим работы DLP-системы: блокирование утечек конфиденциальной

информации; снижение юридических и репутационных

рисков для компании; количество предотвращенных утечек, как

показатель эффективности ИТ или ИБ подразделения.

Soft

war

e C

lou

d

Serv

ices

Спасибо за внимание

Тимур Ханнанов

Руководитель направления по

информационной безопасности

Timur.Khannanov@softline.ru