пр После внедрения Dlp (прозоров)
-
Upload
andrey-prozorov-cism -
Category
Technology
-
view
4.411 -
download
7
Transcript of пр После внедрения Dlp (прозоров)
Внедрили DLP? Молодцы! А что дальше?
ПРОЗОРОВ АНДРЕЙ, CISM , ЧЛЕН АРСИБ
2016-04-14 1
2016-04-14 2
“By 2018, 90% of organizations willimplement at least one form of integratedDLP, up from 50% today.”
Gartner «Magic Quadrant for Enterprise Data Loss Prevention» (2016-01-28)
Есть ощущение, что это актуально и для России…
Многие компании уже внедрили DLP
Объем рынка DLP в России в 2015 году -
4,7 млрд рублей,
рост 17,2%
2016-04-14 3
https://www.anti-malware.ru/russian_dlp_market_2013_2016
Почему Вы купили DLP? У нас были инциденты, надеюсь, что DLP нам поможет… У всех уже есть… Громкий маркетинг, уже более 10 лет настойчиво предлагают
купить Вроде бы помогает соответствовать требованиям (Приказы ФСТЭК
России №17/21, PCI DSS, СТО БР ИББС и др.) Наконец-то появились рекомендации(ОЦЛ.5 в «Меры защиты
информации в ГосИС» (ФСТЭК России), РС БР ИББС 2.9-2016 «Предотвращение утечек информации»), поняли, что пора
Реально помогает расследовать инциденты ИБ и контролировать сотрудников
На пилоте выявили несколько инцидентов, это помогло убедить руководство
Внедрили еще до меня, выбирал не я… Продавец – мой хороший друг другие причины…
2016-04-14 4
Маркетинговая «эффективность» DLP «DLP позволяет эффективно защищать бизнес от убытков, связанных с
утечками информации»
«DLP позволяет эффективно контролировать информационные потокипредприятия на всех уровнях»
«DLP позволяют эффективно защитить корпоративную информацию отутечки или несанкционированного распространения»
«В сегодняшних условиях эффективными становятся не запретительныемеры, а всесторонний контроль над информационными потоками и ихобработка в соответствии с политикой информационной безопасности»
«Для эффективной работы с инцидентами в DLP реализована полноценнаясистема кейс-менеджмента, позволяющая управлять жизненным цикломинцидента на всех этапах расследования»
…
Цитаты с сайтов DLP-вендоров
2016-04-14 5
2016-04-14 6
Что DLP делают ЭФФЕКТИВНО?
Защищают бизнес Контролируют потоки инф-ии
Защищают от утечки Помогают управлять инцид-ми
2016-04-14 7
К сожалению, просто внедрить DLP не достаточно…
2016-04-14 8
Многое можно было сделать до внедрения DLP или во время внедрения…
Но как-то не сложилось…
Внедрили DLP! Что дальше?
2016-04-14 9
Тематика Активность Зависимость от вендора
0. Контекст Проанализируйте контекст использования DLP Нет
1. Легализация Легализуйте DLP при контроле переписки сотрудников (обеспечьте возможность использования отчетов DLP в Суде)
Нет
2. Точная настройка Настройте систему под свои задачи (уведомления, отчеты, политики, роли и пр.), начните использовать модуль DLP Discovery (Crawler)
Да
3. Процедура реагирование
Определите процедуру реагирования на инциденты Скорее Нет
4. Обучение Решите вопрос с обучением сотрудников Скорее Нет
5. Орг.меры Внедрите полезные организационные меры Нет
6. Метрики и KPI Подумайте о метриках и KPI Скорее Да
0.Проанализируйте контекст (DLP)Зачем: Позволит правильно настроить и легализовать DLP
Вопросы:1. Кто заинтересован во внедрении DLP и поддерживает инициативу? Какое мнение и ожидания от
системы DLP у ИБ, СБ, ЭБ, ИТ, HR, юристов, ключевых руководителей?2. Какая конфиденциальная информация обрабатывается в организации? Какие требования (внешние и
внутренние) предъявляются к ее обработке и защите?3. Какая информация «самая ценная», какой ее жизненный цикл (владельцы, формат, места хранения,
ИС, каналы передачи, срок ценности, права доступа и пр.)?4. Какие инциденты (утечка информации, мошенничество) уже происходили (были выявлены) в
организации? Что в итоге? Какое отношение руководства к таким инцидентам и склонность к риску?5. Какова модель нарушителя, кто находится в «группе риска»? Какие конкретные угрозы (сценарии)
могут быть реализованы?6. Какие каналы передачи информации используются (и запрещены) в организации (официальные и
неофициальные)? Какие к ним предъявляются требования? Какие каналы требуется контролировать,какие блокировать?
7. Какие цели и приоритеты у ИБ8. Какие меры защиты от внутренних угроз уже реализованы в организации? Какие ресурсы и
полномочия есть у подразделения ИБ (и СБ)?9. Какие особенности корпоративной культуры ИБ («все друзья»/«кругом враги», «все разрешено»/»все
запрещено», «все по бумажке»/»здравый смысл» и пр.)? Что принято делать с нарушителями?10. Кому нужен доступ к системе DLP (управление, настройки, уведомления, только чтение и пр.)?11. …
2016-04-14 10
2016-04-14 11
1.Легализация DLP
2016-04-14 12
Зачем: Позволит преследовать нарушителей «по закону» (ТК РФ, УК РФ) ииспользовать отчеты DLP в Суде
Это важно:• Документированные требования• Правила работы с DLP (проведение расследований)• Аргументация в Суде
Отчеты DLP для доказательства в суде
• Дозор-Джет и Контур безопасности:Дело 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А. (УК РФ)
• Дозор-Джет:Дело №33-90/11, Садыков Т.Ф. против ЗАО ???
• InfoWatch: Дело №2-11976/2014 ~ М-10846/2014, ???ФИО1 против Фонда социального страхования
• InfoWatch: Дело №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО Национальная служба взыскания
2016-04-14 13
http://80na20.blogspot.ru/2016/08/dlp.html
Об этом рассказывал на БИТ Урал 2016
2016-04-14 14
http://80na20.blogspot.ru/2016/04/dlp-2016.htmlhttp://80na20.blogspot.ru/2016/04/dlp_15.html
Подробнее…
2016-04-14 15
Корпоративное мошенничество
Коррупция
Конфликт интересов
В закупках
В продажах
Взяточничество
Откаты
Управляемые тендеры
Нелегальные подарки
Вымогательство
Нецелевое использование
активов
CashИмущество и
нематериальные активы
Злоупотребление
Кража
Махинации с финансовой отчетностью
Стр-ра корпоративного мошенничества
2016-04-14 16
2.Точная настройка DLP + Discovery
• Понимайте контекст
• Настройте политики под задачи и кейсы
• Настройте уведомления, виджеты и отчеты (оптимальное время работы с DLP – 15-120 минут в день)
• Подумайте про разграничение доступа к DLP (группы исключения, настройки, инциденты, тело сообщения)
• Настройте правила для модуля DLP Discovery (Crawler)
• Если есть сложности с этим, то ориентируйтесь на Консалтинг или Аутсорсинг
2016-04-14 17
3.А что вы будете делать при инциденте?
Важно понимать:
1. Возможные варианты (и последствия) реагирования
2. Процедуры (роли (RACI-chart) и шаги)
3. Документы и записи
4. Ограничения (по времени, по сбору данных, по используемым тех.средствам и пр.)
5. А если дойдет до Суда?
2016-04-14 18
3.Процедура реагирования +ТК РФ
2016-04-14 19
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
6 мес.
1 мес.
Модель принятия решения по инцидентам
2016-04-14 20
1. Какова величина ущерба?Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого сотрудника?Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
Если сумма баллов до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
Решение по инцидентам утечки
2016-04-14 21
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:
◦ замечание
◦ выговор
◦ увольнение по соответствующим основаниям
6. Увольнение по инициативе работника / по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
Б) По решению руководства и HR
В) По решению руководства,HR, юристов и ИБ.
Необходимо четкое понимание процедур и высокий уровень
«бумажной безопасности»
А) По решению ИБ
Подробнее…
2016-04-14 22
4.Обучение и повышение осведомленности
2016-04-14 23
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки• Базовые требования по защите информации• Кейсы (типовые ошибки, соц.инженерия)• Ответственность
ИТ и ИБ-специалисты • Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов• Сбор цифровых доказательств• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала
• Судебная практика• Развитие корпоративной культуры• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)• Базовые рекомендации по защите информации
5.Организационные (и технические) меры
2016-04-14 24
• Минимизация прав доступа и контроль
• Перечень допустимого ПО и его контроль
• Обучении и повышение осведомленности
• Шифрование носителей информации
• Шифрование передаваемых сообщений
• Какая политика организации относительно удаленной работы, BYOD, мобильных устройств, внешних носителей информации?
• Анализ логов
• …
• Физическая безопасность
• СКУД и видеонаблюдение
• Уничтожение носителей (бумажные и электронные)
• Техническое обслуживание средств обработки информации
• Политика чистых столов и экранов
• Аудит выполнения внутренних требований
• Тестирование методом соц.инженерии
• …
6.Метрики и KPI1. Трудозатраты при работе с системой DLP:
• Настройка политик• Мониторинг событий и расследование инцидентов
2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей политике, по контролируемому каналу, по персоне/группе и пр.
3. % ложных срабатываний (FP и FN)
4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе
5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)
6. Трудозатраты при реагировании на инциденты (рабочая группа)
7. Кол-во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)
8. Количество дисциплинарных взысканий
9. Величина нанесенного и/или предотвращенного ущерба
10. …
2016-04-14 25
Простые рекомендацииNext 7 Days• Составьте перечень и проведите аудит документов с полезными для ИБ положениями («легализация
DLP»), составьте план по их актуализации и доработке.• Оцените кол-во времени, которое уходит на работу в DLP системе. Какие задачи при этом решаются?
Next 90 Days• Проанализируйте выявленные DLP события и инциденты: кол-во инцидентов по типам (канал, политики,
технологии анализа, подразделения, триггеры и пр.), кол-во ошибок (FP и FN). Определите критичные инциденты и их атрибуты
• Определяете кейсы (типовые сценарии реализации угроз)• Актуализируйте (разработайте) «Политику допустимого использования»
http://80na20.blogspot.ru/2013/09/blog-post_12.html и другие документы
Next 12 Months• Согласуйте с руководством, подразделениями HR и юристами свой подход к реагированию на
инциденты. Разработайте необходимые шаблоны документов (для дисциплинарного взыскания).• Разработайте корпоративный стандарт по настройке DLP (для крупных организаций). Внесите
необходимые правки в настройки системы• Начните пользоваться модулем DLP Discovery• Задумайтесь, а подходит ли существующее DLP для решения ваших задач?
2016-04-14 26
2016-04-14 27
Способно ли ваше DLP быть эффективным?
2016-04-14 28
Одна из проблем –завышенные ожидания
от DLP (спасибо маркетингу и сейлам), которые приводят к
разочарованию…
Если закупленное DLP не устраивает?• Гос.организациям и гос.компаниям следует использовать российское ПО.
Реестр - https://reestr.minsvyaz.ru (+см.далее)• Причины перехода на другое DLP:
• Не устраивает существующее• Интересно другое
• Многие производители DLP дают скидки за переход на их решение• Некоторые компании используют 2 решения от разных производителей, типовые
подходы:• Иностранное DLP (compliance) + Российское DLP (архив + расследование
инцидентов)• DLP для аналитики и расследования инцидентов + решение для контроля
сотрудников• DLP для контроля сети (Network) + решение для контроля рабочих станций
(Endpoint)
2016-04-14 29
Импортозамещение ПО
2016-04-14 30
Для гос.органов: 188-ФЗ от 29.06.2015 и ПП РФ от16.11.2015 N 1236 "Об установлении запрета надопуск ПО, происходящего из иностранныхгосударств, для целей осуществления закупок дляобеспечения государственных и муниципальныхнужд"
Для гос.компаний: Директивы от 11 июля 2016года 4972п-П13 (Шувалов)
Минкомсвязь России: Иностранные DLP
2016-04-14 31
• 0556 - Digital Guardian Data Loss Prevention Software
• 0615 - Fidelis Cybersecurity DLP
• 0658 - GTB Technologies Data Loss Prevention
• 0857 - McAfee Data Loss Prevention
• 0859 - McAfee Total Protection for Data Loss Prevention
• 1696 - Symantec Data Loss Prevention
• 1744 - TRITON AP-DATA (ex. Websence Data Security Suite)
• 1745 - TRITON AP-ENDPOINT (ex. Websence Data Security Suite)
• 1746 - TRITON AP-EMAIL (ex. Websence Email Security Suite)
• 1747 - TRITON AP-WEB (ex. Websence Web Security Suite)
• 1836 - КИБ SearchInform
«Таблица соответствия ПО, происходящего из иностранных государств, классам ПО,
предусмотренных Классификатором»
Что еще посмотреть по теме?
2016-04-14 32http://80na20.blogspot.ru
Прозоров Андрей, CISM, член АРСИБРуководитель экспертного направления, Solar SecurityМой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave
2016-04-14 33
Спасибо за внимание!