Прозоров Андрей Ведущий эксперт по информационной безопасности Общая проблематика защиты от утечек информации и задачи, решаемые с использованием DLP? Для IBS Platformix 08-2013
Прозоров АндрейВедущий эксперт по информационной безопасности
Общая проблематика защиты от утечек информации и задачи, решаемые с использованием DLP?
Для IBS Platformix 08-2013
Темой «защита от инсайдеров» занимаюсь с 2007 года
В 2008 защитил диплом «Разработка методики комплексной защиты конфиденциальной информации предприятия от инсайдеров»
Работал с решениями DLP от InfoWatch, McAfee, Websense, Symantec.
4,5 года работал в системных интеграторах (ЛЕТА, IBS Platformix). С мая 2013 работаю в компании InfoWatch
Эксперт / Консультант по ИБ
Блогер («Жизнь 80 на 20», http://80na20.blogspot.ru )
Почему я?
Аналитика по утечкам информации
InfoWatch
Аналитика (продолжение)
Распределение утечек по источникам, 2012 г.
Распределение утечек по типу данных2011-2012 гг.
InfoWatch
Аналитика (продолжение)
InfoWatch
Аналитика (продолжение)
InfoWatch
Отчет Ponemon Institute «Is Your Company Ready For A Big Data Breach?»:
33% опрошенных компаний зафиксировали более 1000 случаев утечки конфиденциальной информации за последние 2 года: у 48% данные утекли однократно; у 27% - дважды; 16% сталкивались с инцидентами утечки до 5 раз; 9% зафиксировали более 5 случаев утечки
Другие аналитические отчеты
Ponemon Institute
Из общего количества утечек, зафиксированных в 2012 году как РКН, так и различными независимыми аналитическими организациями, только 72% (53 случая) непосредственно связаны с ПДн. В остальных случаях имели место факты распространения информации, составляющей коммерческую, служебную тайны.
В тоже время из инцидентов с ПДн только 62% (33 случая) можно отнести непосредственно к утечкам, произошедшим ввиду несоблюдения Операторами требований по обеспечению их конфиденциальности и безопасности, в остальных 38% (20 случаев)- установлены факты нарушения требований законодательства РФ в области ПДн в части передачи ПДн без соответствующего согласия (передача коллекторам в целях взыскания задолженности, передача третьим лицам в рамках поручения по обработке ПДн).
В большинстве своем факты утечек были связаны с несанкционированным распространением персональной информации, содержащейся на бумажных носителях
Отчет РКН за 2012 год
РКН
Умысел источника
Категория информации
Особенности контейнера информации
Канал передачи / Способ реализации
Получатель информации
Последствия
Модель утечки информации
1. Наличие Перечня конфиденциальной информации, Перечня лиц, допущенных к обработке конфиденциальной информации, Политики допустимого использования активов и документов, описывающих ответственность персонала
2. Мониторинг и контроль передачи информации по сети интернет, электронной почте, использование сервисов мгновенных сообщений (ICQ, Skype, и пр.)
3. Мониторинг и контроль подключения внешних носителей и периферийных устройств, контроль печати
4. Шифрование информации на ноутбуках и съемных носителях
5. Использование средств антивирусной защиты
6. Наличие перечня допустимого ПО, контроль установки и использования ПО
7. Контроль подключения к сетям WiFi и другим сетям передачи информации
8. Точная настройка межсетевых экранов и proxy-серверов (фильтрация)
9. Повышение осведомленности и обучение персонала, развитие культуры ИБ
10. Гарантированное уничтожение информации на электронных носителях и использование шредеров для уничтожения бумаг
ТОП 10 мер по комплексной защите информации от утечки
Элементы DLP
Host-based DLP / Endpoint
Discovery DLP
Network-based DLP
WEB DLP
«Классическое» DLP
Перспективное направление
Как DLP «понимает» информацию?
DLP InfoWatch
БКФ(лингвистика)
Регулярные выражения
Текстовые объекты
(по опр.стр-ре)
Шаблоны форм
Печати и штампы
Сканы кредитных
карт*
Сканы паспортов
Выгрузка из БД
Цифровые отпечатки
- Методики выявления ПДн
* - в разработке
Цифровые метки
- Основные технологии
Стадии, которые проходят в своем развитииDLP-системы:
1. Контроль почты и/или внешних носителей
2. Расширение перечня каналов мониторинга
3. DLP + консалтинг
4. Решение по защите информации от внутренних угроз
5. Универсальная аналитическая система
Развитие DLP
Все задачи, решаемые DLPГруппы задач Задачи !!!
1.Выявление недобросовестных сотрудниковЦель: Принятие управленческого решения по конкретным сотрудникам
1.1.Выявление "слива" информации !!!
1.2.Выявление экономических преступлений !!!
1.3.Выявление распространения ложной, неэтичной информации, фактов подстрекательства и саботажа
!!
1.4.Архивирование событий и управление инцидентами (утечки данных)
!!!
2.Снижение рисковЦель: Повышение общего уровня ИБ
2.1.Блокирование каналов утечки информации !!
2.2.Выявление систематического нарушения политики безопасности
!!
3.Соответствие требованиям (сompliance)Цель: Выполнение требований регуляторов, повышение общего уровня ИБ
3.1.Автоматизированная классификация информации
!!!
3.2.Выполнение обязательных (формализованных) требований регуляторов
!!!
3.3.Помощь в решении дополнительных задач (compliance)
!
4.Анализ и повышение эффективности процессовЦель: Повышение эффективности бизнес-процессов
4.1.Прогнозирование и выявление проблем с сотрудниками компании
!!
4.2.Анализ потоков данных !
1. Какие задачи планируется решать?
2. Какие каналы требуется мониторить?
3. Мониторинг или блокировка?
4. Какие технологии анализа предпочтительнее?
5. Необходим ли сертификат ФСТЭК России?
6. Необходимо ли хранение всех сообщений или только инциденты?
7. Есть ли требования по языку интерфейса системы и отчетов?
8. Необходим ли дополнительный консалтинг (разработка документов, категорирование информации и пр.)?
На что обратить внимание при выборе решения (DLP)?
http://www.infowatch.ru
@InfoWatchNews
http://platformix.ru
И контакты…
http://80na20.blogspot.ru
@3dwave