Внедрили DLP? Молодцы! А что дальше?

ПРОЗОРОВ АНДРЕЙ, CISM , ЧЛЕН АРСИБ

2016-04-14 1

2016-04-14 2

“By 2018, 90% of organizations willimplement at least one form of integratedDLP, up from 50% today.”

Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-28)

Есть ощущение, что это актуально и для России…

Многие компании уже внедрили DLP

Объем рынка DLP в России в 2015 году -

4,7 млрд рублей,

рост 17,2%

2016-04-14 3

https://www.anti-malware.ru/russian_dlp_market_2013_2016

Почему Вы купили DLP? У нас были инциденты, надеюсь, что DLP нам поможет… У всех уже есть… Громкий маркетинг, уже более 10 лет настойчиво предлагают

купить Вроде бы помогает соответствовать требованиям (Приказы ФСТЭК

России №17/21, PCI DSS, СТО БР ИББС и др.) Наконец-то появились рекомендации(ОЦЛ.5 в «Меры защиты

информации в ГосИС» (ФСТЭК России), РС БР ИББС 2.9-2016 «Предотвращение утечек информации»), поняли, что пора

Реально помогает расследовать инциденты ИБ и контролировать сотрудников

На пилоте выявили несколько инцидентов, это помогло убедить руководство

Внедрили еще до меня, выбирал не я… Продавец – мой хороший друг другие причины…

2016-04-14 4

Маркетинговая «эффективность» DLP «DLP позволяет эффективно защищать бизнес от убытков, связанных с

утечками информации»

«DLP позволяет эффективно контролировать информационные потокипредприятия на всех уровнях»

«DLP позволяют эффективно защитить корпоративную информацию отутечки или несанкционированного распространения»

«В сегодняшних условиях эффективными становятся не запретительныемеры, а всесторонний контроль над информационными потоками и ихобработка в соответствии с политикой информационной безопасности»

«Для эффективной работы с инцидентами в DLP реализована полноценнаясистема кейс-менеджмента, позволяющая управлять жизненным цикломинцидента на всех этапах расследования»

…

Цитаты с сайтов DLP-вендоров

2016-04-14 5

2016-04-14 6

Что DLP делают ЭФФЕКТИВНО?

Защищают бизнес Контролируют потоки инф-ии

Защищают от утечки Помогают управлять инцид-ми

2016-04-14 7

К сожалению, просто внедрить DLP не достаточно…

2016-04-14 8

Многое можно было сделать до внедрения DLP или во время внедрения…

Но как-то не сложилось…

Внедрили DLP! Что дальше?

2016-04-14 9

Тематика Активность Зависимость от вендора

0. Контекст Проанализируйте контекст использования DLP Нет

1. Легализация Легализуйте DLP при контроле переписки сотрудников (обеспечьте возможность использования отчетов DLP в Суде)

Нет

2. Точная настройка Настройте систему под свои задачи (уведомления, отчеты, политики, роли и пр.), начните использовать модуль DLP Discovery (Crawler)

Да

3. Процедура реагирование

Определите процедуру реагирования на инциденты Скорее Нет

4. Обучение Решите вопрос с обучением сотрудников Скорее Нет

5. Орг.меры Внедрите полезные организационные меры Нет

6. Метрики и KPI Подумайте о метриках и KPI Скорее Да

0.Проанализируйте контекст (DLP)Зачем: Позволит правильно настроить и легализовать DLP

Вопросы:1. Кто заинтересован во внедрении DLP и поддерживает инициативу? Какое мнение и ожидания от

системы DLP у ИБ, СБ, ЭБ, ИТ, HR, юристов, ключевых руководителей?2. Какая конфиденциальная информация обрабатывается в организации? Какие требования (внешние и

внутренние) предъявляются к ее обработке и защите?3. Какая информация «самая ценная», какой ее жизненный цикл (владельцы, формат, места хранения,

ИС, каналы передачи, срок ценности, права доступа и пр.)?4. Какие инциденты (утечка информации, мошенничество) уже происходили (были выявлены) в

организации? Что в итоге? Какое отношение руководства к таким инцидентам и склонность к риску?5. Какова модель нарушителя, кто находится в «группе риска»? Какие конкретные угрозы (сценарии)

могут быть реализованы?6. Какие каналы передачи информации используются (и запрещены) в организации (официальные и

неофициальные)? Какие к ним предъявляются требования? Какие каналы требуется контролировать,какие блокировать?

7. Какие цели и приоритеты у ИБ8. Какие меры защиты от внутренних угроз уже реализованы в организации? Какие ресурсы и

полномочия есть у подразделения ИБ (и СБ)?9. Какие особенности корпоративной культуры ИБ («все друзья»/«кругом враги», «все разрешено»/»все

запрещено», «все по бумажке»/»здравый смысл» и пр.)? Что принято делать с нарушителями?10. Кому нужен доступ к системе DLP (управление, настройки, уведомления, только чтение и пр.)?11. …

2016-04-14 10

2016-04-14 11

1.Легализация DLP

2016-04-14 12

Зачем: Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) ииспользовать отчеты DLP в Суде

Это важно:• Документированные требования• Правила работы с DLP (проведение расследований)• Аргументация в Суде

Отчеты DLP для доказательства в суде

• Дозор-Джет и Контур безопасности:Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)

• Дозор-Джет:Дело №33-90/11, Садыков Т.Ф. против ЗАО ???

• InfoWatch: Дело №2-11976/2014 ~ М-10846/2014, ???ФИО1 против Фонда социального страхования

• InfoWatch: Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО Национальная служба взыскания

2016-04-14 13

http://80na20.blogspot.ru/2016/08/dlp.html

Об этом рассказывал на БИТ Урал 2016

2016-04-14 14

http://80na20.blogspot.ru/2016/04/dlp-2016.htmlhttp://80na20.blogspot.ru/2016/04/dlp_15.html

Подробнее…

2016-04-14 15

Корпоративное мошенничество

Коррупция

Конфликт интересов

В закупках

В продажах

Взяточничество

Откаты

Управляемые тендеры

Нелегальные подарки

Вымогательство

Нецелевое использование

активов

CashИмущество и

нематериальные активы

Злоупотребление

Кража

Махинации с финансовой отчетностью

Стр-ра корпоративного мошенничества

2016-04-14 16

2.Точная настройка DLP + Discovery

• Понимайте контекст

• Настройте политики под задачи и кейсы

• Настройте уведомления, виджеты и отчеты (оптимальное время работы с DLP – 15-120 минут в день)

• Подумайте про разграничение доступа к DLP (группы исключения, настройки, инциденты, тело сообщения)

• Настройте правила для модуля DLP Discovery (Crawler)

• Если есть сложности с этим, то ориентируйтесь на Консалтинг или Аутсорсинг

2016-04-14 17

3.А что вы будете делать при инциденте?

Важно понимать:

1. Возможные варианты (и последствия) реагирования

2. Процедуры (роли (RACI-chart) и шаги)

3. Документы и записи

4. Ограничения (по времени, по сбору данных, по используемым тех.средствам и пр.)

5. А если дойдет до Суда?

2016-04-14 18

3.Процедура реагирования +ТК РФ

2016-04-14 19

1.Обнаружение и регистрация событий системой DLP

2.Выявление инцидентов

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

3.Оперативное реагирование на инцидент

6 мес.

1 мес.

Модель принятия решения по инцидентам

2016-04-14 20

1. Какова величина ущерба?Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1

2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0

3. Какой уровень доверия к сотруднику?Низкий – 3; Обычный – 1; Высокий – 0

4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0

5. Какова вероятность, что инцидент повториться у этого сотрудника?Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0

Если сумма баллов до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В

Решение по инцидентам утечки

2016-04-14 21

1. Перевод в группу «Особый контроль»

2. Получение объяснительной

3. Профилактическая беседа

4. Лишение благ и привилегий (втч и лишение прав доступа)

5. Дисциплинарные взыскания:

◦ замечание

◦ выговор

◦ увольнение по соответствующим основаниям

6. Увольнение по инициативе работника / по соглашению сторон

7. Возмещение ущерба

8. Уголовное преследование

9. Прочее

Б) По решению руководства и HR

В) По решению руководства,HR, юристов и ИБ.

Необходимо четкое понимание процедур и высокий уровень

«бумажной безопасности»

А) По решению ИБ

Подробнее…

2016-04-14 22

4.Обучение и повышение осведомленности

2016-04-14 23

Кто? Тематики

Рядовые пользователи • Правила работы с информацией и средствами обработки• Базовые требования по защите информации• Кейсы (типовые ошибки, соц.инженерия)• Ответственность

ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов• Сбор цифровых доказательств• Работа со средствами мониторинга и защиты информации

HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала

• Судебная практика• Развитие корпоративной культуры• Compliance (соблюдение требований)

Менеджмент • Кейсы (инциденты и ущерб)• Базовые рекомендации по защите информации

5.Организационные (и технические) меры

2016-04-14 24

• Минимизация прав доступа и контроль

• Перечень допустимого ПО и его контроль

• Обучении и повышение осведомленности

• Шифрование носителей информации

• Шифрование передаваемых сообщений

• Какая политика организации относительно удаленной работы, BYOD, мобильных устройств, внешних носителей информации?

• Анализ логов

• …

• Физическая безопасность

• СКУД и видеонаблюдение

• Уничтожение носителей (бумажные и электронные)

• Техническое обслуживание средств обработки информации

• Политика чистых столов и экранов

• Аудит выполнения внутренних требований

• Тестирование методом соц.инженерии

• …

6.Метрики и KPI1. Трудозатраты при работе с системой DLP:

• Настройка политик• Мониторинг событий и расследование инцидентов

2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей политике, по контролируемому каналу, по персоне/группе и пр.

3. % ложных срабатываний (FP и FN)

4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе

5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)

6. Трудозатраты при реагировании на инциденты (рабочая группа)

7. Кол-во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)

8. Количество дисциплинарных взысканий

9. Величина нанесенного и/или предотвращенного ущерба

10. …

2016-04-14 25

Простые рекомендацииNext 7 Days• Составьте перечень и проведите аудит документов с полезными для ИБ положениями («легализация

DLP»), составьте план по их актуализации и доработке.• Оцените кол-во времени, которое уходит на работу в DLP системе. Какие задачи при этом решаются?

Next 90 Days• Проанализируйте выявленные DLP события и инциденты: кол-во инцидентов по типам (канал, политики,

технологии анализа, подразделения, триггеры и пр.), кол-во ошибок (FP и FN). Определите критичные инциденты и их атрибуты

• Определяете кейсы (типовые сценарии реализации угроз)• Актуализируйте (разработайте) «Политику допустимого использования»

http://80na20.blogspot.ru/2013/09/blog-post_12.html и другие документы

Next 12 Months• Согласуйте с руководством, подразделениями HR и юристами свой подход к реагированию на

инциденты. Разработайте необходимые шаблоны документов (для дисциплинарного взыскания).• Разработайте корпоративный стандарт по настройке DLP (для крупных организаций). Внесите

необходимые правки в настройки системы• Начните пользоваться модулем DLP Discovery• Задумайтесь, а подходит ли существующее DLP для решения ваших задач?

2016-04-14 26

2016-04-14 27

Способно ли ваше DLP быть эффективным?

2016-04-14 28

Одна из проблем –завышенные ожидания

от DLP (спасибо маркетингу и сейлам), которые приводят к

разочарованию…

Если закупленное DLP не устраивает?• Гос.организациям и гос.компаниям следует использовать российское ПО.

Реестр - https://reestr.minsvyaz.ru (+см.далее)• Причины перехода на другое DLP:

• Не устраивает существующее• Интересно другое

• Многие производители DLP дают скидки за переход на их решение• Некоторые компании используют 2 решения от разных производителей, типовые

подходы:• Иностранное DLP (compliance) + Российское DLP (архив + расследование

инцидентов)• DLP для аналитики и расследования инцидентов + решение для контроля

сотрудников• DLP для контроля сети (Network) + решение для контроля рабочих станций

(Endpoint)

2016-04-14 29

Импортозамещение ПО

2016-04-14 30

Для гос.органов: 188-ФЗ от 29.06.2015 и ПП РФ от16.11.2015 N 1236 "Об установлении запрета надопуск ПО, происходящего из иностранныхгосударств, для целей осуществления закупок дляобеспечения государственных и муниципальныхнужд"

Для гос.компаний: Директивы от 11 июля 2016года 4972п-П13 (Шувалов)

Минкомсвязь России: Иностранные DLP

2016-04-14 31

• 0556 - Digital Guardian Data Loss Prevention Software

• 0615 - Fidelis Cybersecurity DLP

• 0658 - GTB Technologies Data Loss Prevention

• 0857 - McAfee Data Loss Prevention

• 0859 - McAfee Total Protection for Data Loss Prevention

• 1696 - Symantec Data Loss Prevention

• 1744 - TRITON AP-DATA (ex. Websence Data Security Suite)

• 1745 - TRITON AP-ENDPOINT (ex. Websence Data Security Suite)

• 1746 - TRITON AP-EMAIL (ex. Websence Email Security Suite)

• 1747 - TRITON AP-WEB (ex. Websence Web Security Suite)

• 1836 - КИБ SearchInform

«Таблица соответствия ПО, происходящего из иностранных государств, классам ПО,

предусмотренных Классификатором»

Что еще посмотреть по теме?

2016-04-14 32http://80na20.blogspot.ru

Прозоров Андрей, CISM, член АРСИБРуководитель экспертного направления, Solar SecurityМой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

2016-04-14 33

Спасибо за внимание!