Презентация с вебинара про Модель зрелости DLP

1. DLP Hero: DLP Maturity Model
(Модель зрелости DLP)
Андрей Прозоров, CISM
Ведущий эксперт по
информационной безопасности

3. Capability Maturity Model Integration (CMMI) —
набор моделей (методологий) совершенствования
процессов в организациях разных размеров и видов
деятельности. CMMI содержит набор рекомендаций
в виде практик, реализация которых, по мнению
разработчиков модели, позволяет реализовать
цели, необходимые для полной реализации
определённых областей деятельности.
CMMI является развитием методологии CMM,
которая разрабатывалась со второй половины 1980х
годов Software Engineering Institute (SEI) в
университете Карнеги-Меллона (Carnegie Mellon
University).
Первоисточник

4. Information Security
Governance Maturity
Model
(IT Governance Institute)
Mobile Maturity
Model
(Gartner, 995$)
+ISO 15504-1

5. Уровни зрелости
0.Несуществующий
(Non-existent)
Подходы не применимы
1.Начальный / Повторяющийся
эпизодически и бессистемно
(Initial / Ad hoc)
Процессы используются разово или в
отдельных случаях и не организованы
2.Повторяющийся, но интуитивный
(Repeatable but intuitive)
Процессы повторяются по образцу
3.Определенный
(Defined)
Процессы и требования документально
оформлены и доведены до сведения
заинтересованных лиц
4.Управляемый и измеряемый
(Managed and measurable)
Ведется мониторинг процессов в
измеряемых показателях
5.Оптимизированный
(Optimised)
Лучшие практики внедрены и
автоматизированы

6. Про модель зрелости есть в РС 2.7, но без атрибутов и примеров (только уровни)

7. • Осведомленность и коммуникации
• Политики, планы и процедуры
• Инструменты и автоматизация
• Навыки и квалификация
• Ответственность и подотчетность
• Цели и измерение
Атрибуты зрелости по COBIT4.1

8. Атрибуты зрелости по COBIT4.1

9. • Проще для понимания и описания
• Субъективнее
• Более известная и проверенная временем
• Больше примеров и рекомендаций
• К модели из COBIT5 пока не готовы
(ориентир на результат)…
Почему модель из COBIT4.1,
а не COBIT5?
COBIT 5
Process
Capability
Model
COBIT 4.1
Maturity
Model

10. COBIT Self-Assessment
Guide: Using COBIT 5
+Toolkit
COBIT Assessor Guide:
Using COBIT 5
+Toolkit

11. • ISO/IEC 15504-1:2004 «Information technology -- Process assessment -- Part 1: Concepts and
vocabulary» (withdrawn)
• ISO/IEC 15504-2:2003 «Information technology -- Process assessment -- Part 2: Performing an
assessment» (withdrawn)
• ISO/IEC 15504-3:2004 «Information technology -- Process assessment -- Part 3: Guidance on
performing an assessment»
• ISO/IEC 15504-4:2004 «Information technology -- Process assessment -- Part 4: Guidance on use for
process improvement and process capability determination»
• ISO/IEC 15504-5:2012 «Information technology -- Process assessment -- Part 5: An exemplar
software life cycle process assessment model»
• ISO/IEC 15504-6:2013 «Information technology -- Process assessment -- Part 6: An exemplar system
life cycle process assessment model»
• ISO/IEC TS 15504-8:2012 «Information technology -- Process assessment -- Part 8: An exemplar
process assessment model for IT service management»
• ISO/IEC TS 15504-9:2011 «Information technology -- Process assessment -- Part 9: Target process
profiles»
• ISO/IEC TS 15504-10:2011 «Information technology -- Process assessment -- Part 10: Safety
extension»
• ISO/IEC TR 20000-4:2010 «Information technology -- Service management -- Part 4: Process
reference model»
ISO

12. • ГОСТ Р ИСО/МЭК 15504-1-2009 «Информационные технологии. Оценка
процессов. Часть 1. Концепция и словарь»
• ГОСТ Р ИСО/МЭК 15504-2-2009 «Информационная технология. Оценка
процесса. Часть 2. Проведение оценки»
• ГОСТ Р ИСО/МЭК 15504-3-2009 «Информационная технология. Оценка
процесса. Часть 3. Руководство по проведению оценки»
• ГОСТ Р ИСО/МЭК 15504-4-2012 «Информационная технология. Оценка
процесса. Часть 4. Руководство по применению для улучшения и оценки
возможностей процесса»
• ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и
средства обеспечения безопасности. Проектирование систем
безопасности. Модель зрелости процесса»
ГОСТы

13. COBIT 5 Process Capability Model

14. Maturity Model & Capability Model

15. Давайте вернемся к документу
«DLP Maturity Model – Модель
зрелости DLP»

17. Модель зрелости DLP позволяет
оценить текущий статус (уровень)
использования DLP-систем в
организации и определить
дальнейшие шаги по
совершенствованию подходов по
защите информации от утечки

18. Использование модели обеспечивает:
• Культуру постоянного улучшения ИБ
• Результативное использование DLP
• Оптимизацию ресурсов (выбор
правильных приоритетов),
эффективное использование DLP
• Гармонизацию «лучших практик»
InfoWatch

19. Определение
атрибутов
Улучшение
ИБ
Оценка
зрелости
мотивирует
может
вызвать
приводит кприводит к

20. PRE-DLP DLP POST-DLP
0 текст текст текст
1 текст текст текст
2 текст текст текст
3 текст текст текст
4 текст текст текст
5 текст текст текст
5 страниц текста, 4 из которых
занимает таблица вида:
Гармонизация подходов

21. Концепция InfoWatch
«Идеальная система»
DLP
POST-
DLP
PRE-
DLP

22. DLP
POST-
DLP
PRE-
DLP
1. Анализ информационных потоков: Инвентаризация и классификация
информации
2. Анализ системы ИБ («Что уже сделано?»)
3. Оценка и анализ угроз / рисков
4. Документирование правил и процедур работы с информацией
ограниченного доступа
5. Построение режима КТ…
6. Документирование Политик и Процедур ИБ
7. Внедрение базовых мер ИБ (минимизация прав доступа, АВЗ, шредеры, и
физ.безопасность оборудования и пр.)
8. Повышение осведомленности и обучение персонала
9. Разработка процедуры реагирования на инциденты (+см.POST-DLP)
«PRE-DLP»

23. 1. Принятие решение о внедрении DLP
– Анализ угроз / Рисков; Оценка стоимости утечки информации (см.PRE-DLP)
– Соответствие требованиям (Compliance)
– Понимание целей и задач («Потребители» DLP)
2. Проектирование системы
3. Внедрение и Базовая настройка DLP
4. Пилотное внедрение
5. Регламентация работы с системой
6. Использование DLP
7. Точная настройка DLP под задачи:
– Блокировка/мониторинг
– DLP Discovery (InfoWatch Crawler)
– Точная настройка ролей (процедуры внутренний аудит и управление инцидентами)
– Точная настройка событий системы
– Точная настройка БКФ и других технологий анализа
8. Применение при внутренних аудитах
9. Анализ и измерение ИБ
10. Регулярное совершенствование
«DLP»
DLP
POST-
DLP
PRE-
DLP

24. • Реагирование на инциденты:
– Анализ / Расследование
– Сбор и оформление доказательной базы
– «Управленческое решение» по отношению к сотрудникам
• Судебная практика:
– Трудовые споры (со стороны уволенных сотрудников)
– Возмещение ущерба
– Преследование «по закону» (УК РФ: ст.183 + ст.272, 273, 274)
«POST-DLP»
DLP
POST-
DLP
PRE-
DLP
Важно: успеть в срок (по ТК РФ 1-6
месяцев), правильно собрать и
оформить доказательную базу

26. • Организация не осознает необходимость в защите информации от утечки.
• Этот вопрос даже не обсуждается.
• Ответственный за обеспечение ИБ не определен.
• Перечень информации ограниченного доступа не определен.
• Правила обработки информации ограниченного доступа не определены.
• Подходы по разграничению доступа сотрудников к информации и
информационным система не определены.
PRE-DLP, 0

27. • Организация осознает необходимость мониторинга и/или блокировки
отдельных каналов утечки информации. Однако степень этого осознания
зависит от конкретных сотрудников / подразделений и не поддерживается
(или слабо поддерживается) руководством.
• Внедрены отдельные средства защиты, позволяющие блокировать каналы
передачи информации и/или производить теневое копирование.
• Цели внедрения таких средств защиты не определены, оценка результатов
не проводится.
• Информация об инцидентах и событиях, генерируемая системами защиты,
практически не анализируется.
• Необходимые навыки ИТ и ИБ персонала не определены. Нет плана по
обучению, формальное обучение не проводится.
DLP, 1

28. • Производятся пилотные внедрения DLP-систем и тестирование их работы.
При этом обычно программа и методика испытаний определена
разработчиком / интегратором.
• Внедряется DLP-система с минимальными настройками, «DLP из коробки».
• Цели внедрения DLP-систем не определены/не согласованы.
• Настройка DLP-системы зависит от знаний и мотивации отдельных
сотрудников.
• Определены минимальные требования по навыкам ИТ и ИБ персонала.
Обучение производится по мере необходимости.
DLP, 2

29. • В организации разработана модель угроз утечки информации и проведена оценка рисков. Внедрены
и/или запланировано внедрение необходимых мер защиты.
• Документированы основные требования и процессы обработки и защиты информации
ограниченного доступа, в частности положения:
– о предоставлении и контроле доступа;
– о парольной защите;
– об антивирусной защите;
– об использовании информационных систем и средств обработки информации;
– о политике чистых столов и экранов;
– об использовании системы мониторинга и контроля передачи и хранения информации
ограниченного доступа.
• Сотрудники ознакомлены с перечнем информации ограниченного доступа и правилам обработки
такой информации под роспись.
• Сотрудники подписали соглашения о неразглашении информации ограниченного доступа.
• На бумажных документах проставлены грифы конфиденциальности (при необходимости).
• В организации установлен режим коммерческой тайны (при необходимости).
• В организации реализовано ограничение доступа к информации ограниченного доступа, путем
установления порядка обращения с этой информацией и контроля за соблюдением такого порядка,
ведется учет лиц, получивших к ней доступ.
• При передаче информации ограниченного доступа третьим лицам подписываются соглашения о
неразглашении.
• Внедрены процессы обучения и повышения осведомленности по вопросам информационной
безопасности, эти процессы поощряются руководством.
• Эпизодически проводятся внутренние аудиты информационной безопасности.
• Для некоторых процессов управления и обеспечения информационной безопасности определены и
собираются метрики и KPI, но делается это не регулярно.
PRE-DLP, 3

30. • Отчеты DLP-системы оптимизированы под цели и задачи информационной
безопасности.
• Правила реагирования на события оптимизированы по ролям («сотрудники
в зоне риска», критичные подразделения и пр.).
• Определены, собираются и анализируются ключевые метрики и KPI.
• Производится интеграция DLP с другими системами (например, SIEM, СКУД,
и пр.).
• Печень задач, решаемых с помощью DLP-системы, может быть расширен
(например, выявление экономических преступлений, анализ поведения
сотрудников, анализ процессов обмена и хранения информации и пр.).
• Уровень ошибок (ложноположительные и ложноотрицательные
срабатывания) снижен до утвержденного уровня.
DLP, 4

31. • В случае инцидента немедленно применяются формализованные и
автоматизированные процедуры реагирования.
• Процессы оптимизированы до уровня «лучших практик», они базируются
на результатах непрерывного совершенствования и сравнения с другими
организациями.
• Ведется прогнозирование возможных инцидентов на основе
поведенческого анализа, ведется проактивное реагирование.
POST-DLP, 5

32. 1. Прочитать документ, посмотреть на
использование DLP системно
2. Оценить текущий уровень зрелости
3. Определить задачи, которые нужно решить, чтобы достичь
следующего уровня
4. Спросить рекомендации InfoWatch (при необходимости)
5. Повысить уровень зрелости 
Как работать с документом?

33. InfoWatch помогает повышать
зрелость процессов ИБ

35. Смотрите наши вебинары
серии DLP-Hero
http://www.infowatch.ru/webinar/dlp-hero
…

36. Спасибо за внимание!
www.infowatch.ru
+7 495 22 900 22
Андрей Прозоров, CISM
Моя почта: Andrey.Prozorov@infowatch.com
Мой твиттер: twitter.com/3dwave
Мой блог: 80na20.blogspot.com