3. Инциденты, связанные с утечкой конфиденциальной
информации
Август 2011 страховая компания АСС скомпрометировала
персональные данные 7 тыс. клиентов.
Июль 2011 сотрудники Pulaski Bank трудились на конкурента
работодателя.
Январь 2008 июнь 2009 директор по управлению бизнес-
процессами в Yahoo! разглашал конфиденциальную
информацию о сделках – 389 тыс. долларов упущенной
прибыли.
4. Первый шаг к решению проблемы – признание ее
наличия
Рассылает
почту по
Забирает ошибке
наработки
Сотрудник
Передает «Сливает»
бизнес- клиентскую
планы базу
бывшему
коллеге
Допускаете такую возможность в Вашей
Компании?
5. Общее сведения о DLP
Напомним, что (по определению Gartner) DLP-технология
представляет собой набор подходов и методов проверки,
позволяющих распознавать и классифицировать информацию,
записанную в объекте (например, в сообщении электронной
почты, файле, приложении), который хранится в памяти
компьютера, находится в использовании или передается по
каналам связи, а также динамически применять к этим
объектам разные правила, начиная от передачи уведомлений и
заканчивая блокировкой.
DLP системы предназначены для мониторинга и аудита, для
обнаружения и предотвращения пересылки конфиденциальных
данных за пределы компании по электронной почте, через
сервисы мгновенных сообщений (такие как IСQ и т.д.) и через
Web (Web-почта, форумы, чаты и т. п.), а также копирования
данных на сменные носители и отправки на печать.
Data Loss Prevention и Data Leak Prevention…
6. Основные методы определения
конфиденциальной информации
Лингвистический анализ информации;
Регулярные выражения (шаблоны);
Характеристики файловой информации;
Цифровые отпечатки;
Метки.
В современных DLP системах используются комбинации этих методов.
8. Проблема существует. Что делать?
Решили использовать DLP-систему…
Купили Установили Включили
Защищены?
9. Проблема существует. Что делать?
Система DLP должна решить все проблемы, о
них много пишут и говорят.
10. Почему нет?
Неясно, как Снова утечки
реагировать на защищаемых
инциденты? данных?
Главный бухгалтер
Слишком не смог отправить
большой объем финансовый отчет
оповещений? Нужно директору на
личную почту?
снова
исправлять
ситуацию
11. Сначала нужно ответить себе на вопросы:
Что конкретно защищаем?
От кого защищаем?
Как может произойти утечка?
12. Что же конкретно защищаем?
Конфиденциальная
информация
Владелец Формат
Критичность Информационны
е потоки
Места хранения
13. От кого защищаемся?
Постановка
Тип поведения Умысел Корысть Действия
задачи
Халатный Нет Нет Нет Случайные
Манипулируемый Нет Нет Нет Непреднамеренные
Обиженный Да Нет Сам Сознательные
Нелояльный Да Нет Сам Сознательные
Подрабатывающий Да Да СамИзвне Сознательные
Сознательные,
Внедренный Да Да Извне
спланированные
14. Как может произойти утечка?
Адресат:
• Случайный получатель
• Конкуренты
• Неопределенное лицо
15. Модель состояний защищаемых информационных
активов
При определении сценариев утечки данных удобно
использовать модель состояний и переходов
16. Выявление сценариев угроз информационным
активам
Начальное Событие Состояние Событие Конечное
…
состояние №1 №1 №Х состояние
17. Пример табличной модели угроз
№
События/Состояния
сценария
Хранение
информации на
S1.1
съемных
носителях
S1.2
Хранение информации на
S1.2.1.1
съемных носителях
Вынос рабочей
станции, Копирование информации Хранение информации в
S1.2.1.2 ноутбука, на рабочую станцию хранилище резервных копий
носителя Хранение и
информации за обработка
периметр КЗ информации на Хранение информации на
S1.2.1.3
рабочей станции файловом сервере
Подготовка отчета с Хранение и обработка
S1.2.2.1 использованием штатного информации в БД
функционала приложения
Выгрузка информации в Хранение и обработка
S1.2.3.1 файл через выполнение информации в БД
SQL-запроса приложения
18. Разработка архитектуры решения по защите
конфиденциальной информации
Изучение нормативно-регламентной документации организации в
сфере информационной безопасности
Технический аудит архитектуры сети организации и используемых
средств защиты информации
Разработка Технического задания на внедрение системы защиты от
утечек конфиденциальной информации (ТЗ)
Определение наиболее подходящей системы DLP для Заказчика
Описание политик работы DLP системы
Формирование рекомендаций по повышению общего уровня
защищенности конфиденциальной информации
19. Внедрение системы DLP
Формирование рабочей группы Исполнителя и Заказчика,
согласование план-графика работ и т.д.
Поставка и подготовка оборудования для установки системы DLP
Установка системы на тестовую среду организации
Настройка политик работ системы в соответствии с требованиями ТЗ
Тестирование системы заявленным требованиям
Масштабирование системы на ресурсы организации
Ввод системы в промышленную эксплуатацию
Разработка документации по проекту (положения, регламенты,
инструкции и т.д.)
20. Выгоды
«Активный» режим работы DLP-системы:
блокирование утечек информации;
снижение юридических и репутационных
рисков;
«Value» для компании!