Практика применения DLP-систем Андрей Прозоров, CISM Ведущий эксперт по информационной безопасности

2015-­‐04-­‐16  

Не все рекомендации одинаково полезны…

NIST, ISACA, ENISA или InfoWatch

Идентифицировать  (понять)  

Защитить  

Обнаружить  

Реагировать  

Восстанавливать  

DLP    

POST-­‐  DLP  

PRE-­‐  DLP  

•  Возможность  преследования  нарушителей  «по  закону»  (ТК  РФ,  ГК  РФ,  УК  РФ…)  

•  Повышение  эффективности  DLP:  повышение  точности  детектирования,  снижение  ложных  срабатываний,  снижение  времени  работы  специалистов…  

•  Повышение  общего  уровня  ИБ,  снижение  рисков    

•  Решение  дополнительных  управленческих  задач  

Зачем?

DLP    

POST-­‐  DLP  

PRE-­‐  DLP  

1.  Анализ  информационных  потоков:  Инвентаризация  и  классификация  информации  

2.  Анализ  системы  ИБ  (понимание  точки  «А»,  «что  уже  сделано?»)  3.  Оценка  и  анализ  угроз  /  рисков  4.  Документирование  правил  и  процедур  работы  с  информацией  

ограниченного  доступа  5.  Построение  режима  КТ…  6.  Документирование  Политик  и  Процедур  ИБ  7.  Внедрение  базовых  мер  ИБ  (минимизация  прав  доступа,  АВЗ,  шредеры,  и  

физ.безопасность  оборудования  и  пр.)  8.  Повышение  осведомленности  и  обучение  персонала  

9.  Разработка  процедуры  реагирования  на  инциденты  (+см.POST-­‐DLP)  

«PRE-DLP»

1.  Наличие  перечня  информации  ограниченного  доступа  и  правил  по  работе  с  такой  информацией  

2.  Запрет  передачи  информации  ограниченного  доступа  по  определенным  каналам  при  определенных  условиях  

3.  Запрет  на  хранение  на  корпоративных  устройствах  «личной  информации»  

4.  Запрет  передачи  по  корпоративным  каналам  «личной  информации»  5.  Уведомление  об  использовании  средств  мониторинга  /  наличии  

возможности  мониторинга  /  использование  автоматизированного  контроля  выполнения  требований  

6.  Разграничение  и  контроль  доступа  7.  Запрет  передачи  своих  паролей  другим  лицам  8.  Запрет  на  предоставление  своей  учетной  записи  другим  лицам  9.  Политика  «чистых  столов  и  экранов»  

Положения важные для DLP

Пропишите  эти  положения  в  своих  документах!!!  

1.  Перечень  информации  ограниченного  доступа  2.  Политика  в  отношении  обработки  ПДн  3.  Положение  об  обработке  ПДн  4.  Положение  о  защите  ПДн  5.  Положение  о  коммерческой  тайне  6.  Политика  допустимого  использования  (или  

аналоги)  

7.  Положение  о  парольной  защите  8.  Положение  об  антивирусной  защите  9.  Процедура  управления  доступом  10. Должностные  инструкции…  11. Соглашение  с  сотрудником  /  Трудовой  договор  12. Правила  внутреннего  трудового  распорядка  

Типовой набор документов (min)

Ознакомьте  работников  с  документами  под  роспись  +  расшифровка  подписи!!!  

Требования  по  работе  со  следующими  информационными  системами,  сервисами  и  средствами  обработки  и  хранения  информации:  –  корпоративная  электронная  почта  –  сеть  интернет  (включая  облачные  хранилища,  торрент-­‐трекеры,  

персональную  электронную  почту,  соц.сети,  блоги  и  пр.)  –  внешние  носители  –  корпоративные  рабочие  станции  –  корпоративные  мобильные  устройства  –  персональные  мобильные  устройства  –  сервисы  мгновенных  сообщений  и  аналоги    

(в  том  числе  системы  аудио  и  видео  связи)  –  удаленный  доступ  к  корпоративной  сети  –  копировально-­‐множительная  техника  –  файловые  хранилища  

Что писать в Политике допустимого использования?

•  Реагирование  на  инциденты:  –  Анализ  /  Расследование    –  Сбор  и  оформление  доказательной  базы    –  «Управленческое  решение»  по  отношению  к  сотрудникам  

•  Судебная  практика:  –  Трудовые  споры  (со  стороны  уволенных  сотрудников)  –  Возмещение  ущерба  –  Преследование  «по  закону»  (УК  РФ:  ст.183  +  ст.272,  273,  274)  

«POST-DLP»

DLP    

POST-­‐  DLP  

PRE-­‐  DLP  

Важно:  успеть  в  срок  (по  ТК  РФ  1-­‐6  месяцев),  правильно  собрать  и  оформить  доказательную  базу  

Процесс реагирования

Выявленная  утечка  Подозрение  об  

утечке  Регулярный  

анализ  

Внутреннее  /  внешнее  

расследование  (анализ  

инцидента)  

«Управленческое  решение»  

«Управленческое решение»

1.  «Понять  и  простить»  2.  «Присмотреться  получше»  

3.  Изменение  прав  доступа  (расширение  или  ограничение)  4.  Пересмотр  правил  ИБ  (орг.  и  тех.)  

5.  Обучение  и  повышение  осведомленности  персонала  6.  Мотивация  персонала  7.  Лишение  благ  и  привилегий  8.  Кадровые  перестановки  

9.  Решение  об  увольнении  (по  собственному  желанию  /  по  соглашению  сторон)  

10.  Дисциплинарные  взыскания  (втч  увольнение)  11.  Решение  о  преследовании  в  судебном  порядке  12.  «Вывоз  в  лес»  

•  Тяжесть  инцидента  (состав  утекших  данных,  получатель  информации,  уровень  конкуренции  в  отрасли  и  пр.)  

•  Подробности  инцидента  (канал  утечки,  прошлые  нарушения,  объяснительная  записка,  умысел  и  пр.)    

•  Общее  экономическое  состояние  компании  •  Корпоративная  культура  и  культура  ИБ  •  Личность  нарушителя,  его  мотивы  и  поведение,  мнение  

непосредственного  руководителя  •  Знания  и  опыт  сотрудников  служб  ИБ,  HR  и  юристов  •  Авторитет  служб  ИБ,  HR  и  юристов  компании  •  Состояние  «бумажной  безопасности»  •  …  

От чего зависит решение?

Что стоит за утечкой? Может…

•  Производственная  необходимость  

•  Глупость  и  невнимательность  

•  Корыстные  интересы,  месть,  обида,  желание  сменить  работу  

Реакция  должна  быть  разной…  Но  «когда  нужно  стрелять  —  стреляй,  а  не  болтай»  

Кратко про процедуру увольнения

№   Этап   Документ  

1.   Обнаружение  инцидента,  сбор  дополнительной  информации  

Краткий  отчет  об  инциденте,  Служебная  записка  

2.   Обсуждение  возможных  вариантов  реагирования  с  HR,  юристами  и  руководством  

Приказ  о  проведении  служебного  расследования  (+  создание  Комиссии)  

3.   Запрос  объяснительной  записки  от  работника  (желательно  под  роспись)  

Объяснительная  записка  /  Акт  об  отказе  

4.   Заседание  Комиссии    (хорошей  практикой  является  заседание  2х  комиссий:  по  расследованию  и  по  кадровым  вопросам)  

Протокол(-­‐ы)  заседания  комиссии  (краткое  описание  инцидента,  оценка  тяжести  проступка,  обстоятельства  дела,  величина  ущерба,  решение)  

5.   Принятие  решения  об  увольнении,  издание  соответствующего  приказа  

Приказ    о  применении  дисциплинарного  взыскания  /  Акт  об  отказе  ознакомления  

Типовые ошибки при увольнении по статье 81 п.6 в)

•  Нарушение  процедуры  увольнения  (сроки  и  документы)  

•  Слабое  понимание  особенностей  режима  для  различных  видов  тайн  (ПДн,  КТ,  ВТ,  СТ,  БТ  и  пр.).  Отсутствие  ограничения  доступа  к  информации  и  других  необходимых  мер  защиты  

•  Отсутствие  подтверждения  факта  разглашения  информации  (канал  утечки)  

HR  

ИБ  

Документы для подготовки к Суду (полезный перечень) Общее  •  Трудовой  договор  •  Правила  внутреннего  трудового  распорядка  •  Должностная  инструкция  работника  •  Положение  о  подразделении  работника  •  Доп.соглашения  с  работником  (ПДн,  КТ  и  пр.)  •  Характеристика  на  работника  (при  наличии  "полезных"  фактов  в  биографии)  

Об  инциденте  •  Отчет  об  инциденте  и/или  Служебная  записка  об  инциденте.  Желательно  вести  хронологию  инцидента  

•  Выгрузка  отчета  из  DLP    •  Справка  о  DLP  системе  (функционал  и  сертификаты)  Комплект  документов  по  увольнению    •  Приказ  о  назначении  комиссии  по  расследованию  инцидента  

•  Объяснительная  работника  •  Протоколы  заседаний  комиссии  •  Приказ  об  увольнении  Судебные  документы  •  Исковое  заявления  •  Возражения  ответчика  •  Перечень  документов  для  Суда    

Про  ИБ  •  Перечень  информации  ограниченного  доступа  •  Положения  об  обработке  информации  ограниченного  доступа  (ПДн,  КТ  и  пр.)  

•  Перечень  лиц,  допущенных  к  обработке  •  Модель  угроз  и  Модель  нарушителя  •  Техническое  задание  на  систему  защиты  (особенно  если  прописан  функционал  DLP)  

•  Положение  о  подразделении  ИБ  •  Должностные  инструкции  сотрудников  ИБ  •  Прочие  документы,  регламентирующие  ИБ  в  компании  •  про  работу  с  эл.почтой  и  сетью  Интернет  •  про  использование  съемных  носителей  •  про  парольную  защиту  •  про  контроль  доступа  •  про  реагирование  на  инциденты  •  ...  

•  Документы,  регламентирующие  использование  DLP  (при  наличии)  

Прочее  •  Аттестаты  соответствия  ИС  •  Отчеты  об  аудитах/проверках  ИБ  •  Отчеты  об  обучении/инструктаже  сотрудников  

«DLP»

DLP    

POST-­‐  DLP  

PRE-­‐  DLP  

1.  Принятие  решение  о  внедрении  DLP  –  Анализ  угроз  /  Рисков;  Оценка  стоимости  утечки  информации  (см.PRE-­‐DLP)  –  Соответствие  требованиям  (Compliance)  –  Понимание  целей  и  задач  («Потребители»  DLP)  

2.  Проектирование  системы  3.  Внедрение  и  Базовая  настройка  DLP  4.  Пилотное  внедрение  5.  Регламентация  работы  с  системой  6.  Использование  DLP    7.  Точная  настройка  DLP  под  задачи:  

–  Блокировка/мониторинг  –  DLP  Discovery  (InfoWatch  Crawler)  –  Точная  настройка  ролей  (процедуры  внутренний  аудит  и  управление  инцидентами)  –  Точная  настройка  событий  системы    –  Точная  настройка  БКФ  и  других  технологий  анализа  

8.  Применение  при  внутренних  аудитах    9.  Анализ  и  измерение  ИБ  10. Регулярное  совершенствование  

«Потребители» DLP

Бизнес,    ТОП-­‐менеджеры  

HR-­‐специалисты  

Сотрудники  службы  информационной  безопасности  

Сотрудники  службы  экономической  безопасности  

1.   Заблаговременное  уведомление  о  необходимости  найма  новых  сотрудников  (поиск  работы,  желание  уволиться,  декреты  и  пр.)  

2.   Выявление  неблагонадежных  сотрудников  (алкоголь,  наркотики,  азартные  игры,  кредиты  и  долги,  любители  "клубнички",  "левые"  подработки,  суицид,  экстремизм,  коррупция  и  пр.)  

3.   Выявление  лояльных  сотрудников  4.   Выявление  неблагоприятного  корпоративного  общения  

(моббинг,  буллинг,  сплетни,  угрозы,  ненормативная  лексика,  домогательства  и  пр.)  

5.   Выявление  использования  ненормативной  лексики  при  общении  с  внешними  лицами  (партнеры,  клиенты,  регулирующие  органы,  аудиторы  и  пр.)  

6.   Анализ  мнения  сотрудников  по  различным  вопросам  (кадровые  перестановки,  топ-­‐менеджмент,  система  мотивации,  новый  офис,  корпоративы  и  тимбилдинг,  соц.пакет,  корпоративное  обучение  и  пр.)  

7.   Контроль  рабочего  времени  8.   Выявление  фактов  нецелевого  использования  корпоративных  ресурсов  

(печать  личных  документов,  закупка  офисных  принадлежностей  и  техники,  использование  офисных  помещений  и  других  площадок,  и  пр.)  

DLP для HR

1.   Контроль  сотрудников  «в  зоне  риска»,  минимизация  прав  по  использованию  корпоративных  сервисов  

2.   Помощь  в  расследовании  инцидентов  утечки  информации  (своевременное  обнаружение,  сбор  дополнительной  информации,  архив  сообщений)  

3.   Предупреждение  утечки  информации  (выявление  подготовки  к  краже  информации,  выявление  неблагонадежных  сотрудников,  DLP  в  режиме  блокировки)  

4.   Защита  от  неумышленных  утечек  и  атак  с  использованием  соц.инженерии    (DLP  в  режиме  блокировки)  

5.   Инвентаризация  информационных  активов,  анализ  потоков  информации  и  мест  хранения.  Контроль  мест  хранения  информации  (DLP  Discovery)  

6.   Выявление  аномального  трафика    (бот-­‐сети,  целевые  атаки,  настройки  переадресации  и  пр.)  

7.   Помощь  для  соответствия  требованиям  /  Compliance  (PCI  DSS,  СТО  БР  ИББС,  382-­‐П,  152-­‐ФЗ  (ПДн),  224-­‐ФЗ  (об  инсайдерской  информации))  

8.   Анализ  мнений  сотрудников  по  различным  вопросам  (ограничения  со  стороны  ИБ,  контроль  доступа,  обучение  вопросам  ИБ  и  пр.)  

DLP для ИБ

1.   Выявление  утечки  информации  о  конкурсах  и  закупках  2.   Выявление  сговоров  и  коррупционных  схем.  Ведение  архива  сообщений  

для  дальнейшего  анализа.  3.   Построение  графов  связей  и  выявление  заинтересованных  сторон  (групп)  4.   Выявление  пересылки  «подозрительных»  документов  

(пустые  бланки  с  печатями  организации,  документы  с  измененными  и/или  устаревшими  реквизитами,  учредительные  документы  компаний  со  схожими  названиями  и  пр.)    

5.   Выявление  неблагонадежных  сотрудников  (алкоголь,  наркотики,  азартные  игры,  кредиты  и  долги,  "левые"  подработки,  коррупция,  сбор  информации  об  экономических  преступлениях  и  пр.)  

6.   Выявление  лояльных  сотрудников  7.   Ведение  информационного  досье  по  отдельным  сотрудникам  

DLP для ЭБ

DLP для ТОП-менеджмента

1.   Подготовка  специализированных  отчетов  по:  –  Общий  уровень  внутренних  угроз  –  Общее  количество  непроизводственных  затрат  времени  

работников  –  Общее  мнение  сотрудников  по  различным  вопросах  

(кадровые  перестановки,  топ-­‐менеджмент,  система  мотивации,  новый  офис,  корпоративы  и  тимбилдинг,  соц.пакет  и  пр.)  

–  Использование  ненормативной  лексики  про  общении  с  внешними  лицами  (партнеры,  клиенты,  регулирующие  органы,  аудиторы  и  пр.)  

2.   Ведение  информационного  досье  по  отдельным  сотрудникам  

Хотите еще про PreDLP / DLP /

PostDLP ?

Спасибо за внимание! www.infowatch.ru +7 495 22 900 22

Андрей Прозоров, CISM Моя почта: Andrey.Prozorov@infowatch.com

Мой твиттер: twitter.com/3dwave Мой блог: 80na20.blogspot.com