УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Утечки информации"
1. Прозоров Андрей, CISM
Руководитель экспертного направления
Компания Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Код ИБ Алматы 2016-03-03
Процедура реагирования на
инциденты ИБ.
Утечки информации
2. solarsecurity.ru +7 (499) 755-07-70
Почему эта тема?
2
Про DLP рассказывают слишком много про «Зачем», но
мало про «Как» и «Как лучше»
Не достаточно просто внедрить DLP, необходимо
использовать лучшие методологии (документирование
правил, настройки DLP, процедура реагирования на
инциденты и пр.)
Мы, как ответственная компания, даем не только
«Инструмент», но и «Рекомендации» по работе с ним
4. solarsecurity.ru +7 (499) 755-07-70
«Лучшие практики» по упр.инцидентами
4
ISMS ITSM
• Выписка из ISO/IEC
27002:2013 (A.16 Information security
incident management)
• Выписка из NIST SP 800-53 Rev. 4
Security and Privacy Controls for
Federal Information Systems and
Organizations (Security control: IR -
Incident Response)
• ISO/IEC 27035:2011
• NIST SP 800-61 Rev. 2 Computer
Security Incident Handling Guide
• ENISA Good Practice Guide for
Incident Management
• РС БР ИББС-2.5-2014 Менеджмент
инцидентов ИБ
• Процессы COBIT5 (книги COBIT5
Enabling Processes и COBIT5 for
Information Security):
• DSS 02 Manage Service Requests
and Incidents
• DSS 03 Manage Problems
• Процессы ITIL (книга Service
operation):
• Event management
• Incident management
• Problem management
• Процессы ISO 20000:
• Incident Management
• Problem management
5. solarsecurity.ru +7 (499) 755-07-70
Термины по ISO 27000 (ГОСТ 27000-2012)
5
Событие ИБ – выявленное состояние системы, услуги
или состояние сети, указывающее на возможное
нарушение политики обеспечения ИБ, нарушение или
отказ мер и средств контроля и управления или
прежде неизвестная ситуации, которая может иметь
значение для безопасности.
Инцидент ИБ – одно или несколько нежелательных
или неожиданных событий ИБ, которые со
значительной степенью вероятности приводят к
компрометации бизнеса и создают угрозы для ИБ.
6. solarsecurity.ru +7 (499) 755-07-70
Типовые инциденты, выявляемые DLP
(утечки информации и внутрикорпоративное мошенничество)
6
Увольняющийся сотрудник скопировал на флешку все, что с мог
достать (наработки, методологии, базу клиентов, проектную
документацию, стратегии и планы)
Сотрудник отдела закупок договорился с поставщиком о
завышении закупочных цен при условии личной мотивации (откат)
Операционист в банке пересылает заявления на кредиты своему
коллеге в конкурирующем банке, который переманивает этих
клиентов, делая целевые контрпредложения
Сотрудник одела продаж некоторые заказы проводит через свою
фирму
Секретарь регулярно пересылает протоколы совещаний
руководства на незнакомый внешний ящик электронной почты
…
7. solarsecurity.ru +7 (499) 755-07-70
Типовые сценарии работы с DLP
7
1. Регулярный мониторинг событий (М)
2. Расследование инцидентов (Р)
8. solarsecurity.ru +7 (499) 755-07-70
Зачем это нужно?
8
Не каждое «событие» переходит в «инцидент» (М)
Инциденты важно вовремя выявить и обработать (ограничения
для дисциплинарных наказаний по ТК РК) (М)
Не за все «утечки» можно наказать строго (например, при записи
информации на флешку нет факта «разглашения»). Но можно
найти и другие нарушения… (Р)
Важно понимать, единственный инцидент или сотрудник
регулярно нарушает (Р)
Можно выявить аномальное поведение и связи (М, Р)
Можно выявить всех участников (Р)
10. solarsecurity.ru +7 (499) 755-07-70
Helicopter View
10
Давайте поднимемся еще на
один уровень. Посмотрим на
место DLP в общей процедуре
реагирования на инциденты.
11. solarsecurity.ru +7 (499) 755-07-70
Процедура управления инцидентами (DLP)
11
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
12. solarsecurity.ru +7 (499) 755-07-70
Ограничение по времени реагирования
по ТК РФ и ТК РК
12
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
6 мес.
1 мес.
13. solarsecurity.ru +7 (499) 755-07-70 13
Важнейшими элементами
DLP становятся Архив всех
сообщений и Инструменты
работы с ним
Но об этом позже…
14. solarsecurity.ru +7 (499) 755-07-70 14
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
17. solarsecurity.ru +7 (499) 755-07-70
Контекстный анализ
17
Активность (дата/время, периодичность, частота)
Отправитель (права пользователя, группы (втч под
особым контролем, например, «На увольнении») и
роли)
Получатель (внутренний/внешний,
знакомый/неизвестный, «из перечня» и пр.)
Канал передачи, протокол передачи, тип приложения
Местоположение
(географическое и аппаратное)
18. solarsecurity.ru +7 (499) 755-07-70
Контентный анализ
18
Анализ вложения (тип вложения (формат), наименование
файла, размер, цифровые отпечатки бинарных файлов,
свойства файлов)
Регулярные выражения, БКФ и другие лингвистические
методы (например, выявление опечаток и транслитерации)
Идентификаторы / текстовые объекты по определенной
структуре (ИНН, номер паспорта, номер кредитной карты
и пр.)
Шаблоны документов / документы по определенной
структуре (анкеты, протоколы, заявления и пр.)
Цифровые отпечатки (текст) и выгрузки из БД
Анализ изображений и схем (сканы паспортов, кредитные
карты, карты местности, схемы, подписи, печати и штампы
и пр.)
Цифровые метки
20. solarsecurity.ru +7 (499) 755-07-70 20
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
21. solarsecurity.ru +7 (499) 755-07-70
Что запускает работу ИБ?
21
Источник Оперативность
1. Оповещение по email Высокая
2. Оповещение в системе DLP Высокая
3. Оповещение по SMS Высокая
4. Информация на рабочем столе (Dashboard) Средняя
5. Информация из автоматического регулярного отчета Средняя
6. Информация из отчетов по запросу Низкая
7. Регулярный мониторинг и анализ Низкая
8. Внешняя информация об инциденте Низкая
9. Запрос со стороны руководства / заинтересованных лиц Низкая
10. «Чутье» (Подозрение на инцидент) Низкая
11. Скука / Интерес Низкая
23. solarsecurity.ru +7 (499) 755-07-70
Рабочий стол офицера ИБ (v.6)
23
1. Регулярный мониторинг событий
2. Расследование инцидентов
24. solarsecurity.ru +7 (499) 755-07-70
Фокус внимания на самое важное
24
Досье на
информационные
объекты:
• места хранения
• каналы передачи
• отправители и
получатели
Досье на персон и
группы:
• Общая
информация
• События и
инциденты
• Граф-связей
• Уровень доверия
(«карма»)
• Канал передачи
• Сработавшая политика
• Отправители и получатели
25. solarsecurity.ru +7 (499) 755-07-70 25
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
26. solarsecurity.ru +7 (499) 755-07-70
Оперативное реагирование
26
Технические Организационные
• Блокировка передачи
(с уведомлением / без
уведомления)
• Блокировка передачи до
подтверждения
• Отправка сообщения с
реконструкцией:
• Удаление информации
ограниченного доступа
• Замена информации на
предупреждение
• Добавление предупреждения
• Блокирование доступа к ИС
• Оповещение службы охраны /
ЧОП
• Получение объяснительной
• Изъятие оборудования*
• Досмотр*
• Обращение в
правоохранительные органы
• Задержание до выяснения*
27. solarsecurity.ru +7 (499) 755-07-70 27
Задача DLP – оперативно
среагировать на событие
(обычно блокировка)
28. solarsecurity.ru +7 (499) 755-07-70 28
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
30. solarsecurity.ru +7 (499) 755-07-70
Инструменты расследования DLP
30
1. Детальная информация об инциденте
2. Архив сообщений
3. «Досье» (на субъекта или группу)
4. «Уровень доверия» («Карма»)
5. Интерактивный «Граф связей»
6. «Досье» на информационные объекты
7. Поиск
8. Снимки экрана
9. Отчеты
31. solarsecurity.ru +7 (499) 755-07-70
Контроль персон. Досье
31
Дось
е
Обогащение
досье
Обогащение
досье
Общая информацияОбщая информация
Адресная
информация
Адресная
информация
СвязиСвязи
Профиль поведенияПрофиль поведения
Уровень доверияУровень доверия
Организационно-штатная
структура
Организационно-штатная
структура
35. solarsecurity.ru +7 (499) 755-07-70 35
Информационный объект –
группа документов и
информационных сообщений
определенной тематики
Например: протоколы совещаний,
резюме, стратегии и планы…
#2
37. solarsecurity.ru +7 (499) 755-07-70
Информационные объекты: коммуникации
37
По каким каналам передавался
информационный объект и кем?
38. solarsecurity.ru +7 (499) 755-07-70 38
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
39. solarsecurity.ru +7 (499) 755-07-70 39
Специалисты по ИБ часто не
знают, что можно (нужно) делать
с выявленными нарушителями
40. solarsecurity.ru +7 (499) 755-07-70
Пример модели принятия решения
по инциденту (по сумме баллов)
40
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника?
Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?
Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого?
Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого
сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
41. solarsecurity.ru +7 (499) 755-07-70
Решение в случае виновности сотрудника (РК)
41
1. Перевод в группу «Особый контроль»
2. Запрос письменного объяснения
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:
замечание
выговор
строгий выговор
расторжение трудового договора по инициативе
работодателя
6. Расторжение ТД по инициативе работника /
по соглашению сторон / по инициативе работодателя
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
Б) По решению
руководства и HR
В) По решению
руководства, HR,
юристов и ИБ.
Необходимо четкое
понимание процедур и
высокий уровень
«бумажной
безопасности»
А) По решению ИБ
42. solarsecurity.ru +7 (499) 755-07-70
Дисциплинарные взыскания по ТК РК от 01.2016
42
ТК РК ст.64-66
1 дисциплинарный проступок – 1 дисциплинарное взыскание
Не позднее 6 месяцев со дня совершения проступка
Не позднее 1 месяца со дня обнаружения проступка
Необходимо запросить от работника письменное объяснение.
Непредоставление работником объяснения не является
препятствием для применения дисциплинарного взыскания
Акт о наложении дисциплинарного взыскания объявляется
работнику, подвергнутому дисциплинарному взысканию, под
роспись в течение трех рабочих дней со дня его издания
Срок действия дисциплинарного взыскания не может превышать
шесть месяцев со дня его применения
43. solarsecurity.ru +7 (499) 755-07-70
ТК РК Статья 52. Основания расторжения
трудового договора по инициативе
работодателя
43
2) сокращения численности или штата работников
4) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации,
подтвержденной результатами аттестации
7) отрицательного результата работы в период испытательного срока
8) отсутствия работника на работе без уважительной причины в течение трех и более часов подряд за один рабочий день
(рабочую смену)
9) нахождения работника на работе в состоянии алкогольного, наркотического, психотропного, токсикоманического
опьянения (их аналогов), в том числе в случаях употребления в течение рабочего дня веществ, вызывающих состояние
алкогольного, наркотического, токсикоманического опьянения (их аналогов)
10) отказа от прохождения медицинского освидетельствования для установления факта употребления веществ,
вызывающих состояние алкогольного, наркотического, токсикоманического опьянения, подтвержденного
соответствующим актом
13) совершения виновных действий или бездействия работника, обслуживающего денежные или товарные ценности,
если эти действия или бездействие дают основания для утраты доверия к нему со стороны работодателя
15) разглашения работником сведений, составляющих государственные
секреты и иную охраняемую законом тайну, ставших ему известными в
связи с выполнением трудовых обязанностей
16) повторного неисполнения или повторного ненадлежащего исполнения
без уважительных причин трудовых обязанностей работником, имеющим
дисциплинарное взыскание
44. solarsecurity.ru +7 (499) 755-07-70
На что обратить внимание при
увольнении
за разглашение
44
Соблюдение процедуры увольнения и особенно сроков
Наличие факта разглашения
Наличие «режима защиты информации» (перечень защищаемой
информации, соглашения, правила обработки и защиты и пр.)
Вопросы конституционных прав…
Статья 18 Конституции РК
1. Каждый имеет право на неприкосновенность частной жизни, личную и
семейную тайну, защиту своей чести и достоинства.
2. Каждый имеет право на тайну личных вкладов и сбережений, переписки,
телефонных переговоров, почтовых, телеграфных и иных сообщений.
Ограничения этого права допускаются только в случаях и в порядке, прямо
установленных законом.
Будет ли преследование у уголовном порядке?
Будет ли возмещение ущерба? Кстати, ТК РК «гуманнее» к
работодателю, чем ТК РФ. Например, есть положения о «нарушении
условия о неконкуренции»…
45. solarsecurity.ru +7 (499) 755-07-70
Статьи УК РФ и УК РК
45
УК РФ УК РК
Статья 183. Незаконные получение и
разглашение сведений, составляющих
коммерческую, налоговую или банковскую
тайну
Статья 185.6. Неправомерное использование
инсайдерской информации
Статья 147. Нарушение изобретательских и
патентных прав
Статья 159. Мошенничество
Статья 163. Вымогательство
Статья 272. Неправомерный доступ к
компьютерной информации
Статья 273. Создание, использование и
распространение вредоносных компьютерных
программ
Статья 274. Нарушение правил эксплуатации
средств хранения, обработки или передачи
компьютерной информации и
информационно-телекоммуникационных сетей
Статья 276. Шпионаж
Статья 283. Разглашение государственной
тайны
Статья 223. Незаконные получение и разглашение сведений,
составляющих коммерческую, банковскую тайну, а также
информации, связанной с легализацией имущества
Статья 321. Разглашение врачебной тайны
Статья 230. Незаконные действия в отношении инсайдерской
информации
Статья 199. Нарушение прав на изобретения, полезные модели,
промышленные образцы, селекционные достижения или
топологии интегральных микросхем
Статья 190. Мошенничество
Статья 194. Вымогательство
Статья 205. Неправомерный доступ к информации, в
информационную систему или сеть телекоммуникаций
Статья 206. Неправомерные уничтожение или модификация
информации
Статья 207. Нарушение работы информационной системы или
сетей телекоммуникаций
Статья 208. Неправомерное завладение информацией
Статья 209. Принуждение к передаче информации
Статья 210. Создание, использование или распространение
вредоносных компьютерных программ и программных
продуктов
Статья 211. Неправомерное распространение электронных
информационных ресурсов ограниченного доступа
Статья 176. Шпионаж
Статья 185. Незаконное собирание, распространение,
46. solarsecurity.ru +7 (499) 755-07-70 46
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
47. solarsecurity.ru +7 (499) 755-07-70
Что после реагирования?
47
Подготовка и передача материалов на хранение (архив)
Анализ причин инцидента
Подготовка итогового отчета (при необходимости)
Проведение итогового совещания (при необходимости)
Награждение (или наказание) участников процедуры управления
инцидентами (при необходимости)
Решение о том, «что делать дальше»
48. solarsecurity.ru +7 (499) 755-07-70
Что дальше?
48
Ничего, все молодцы
Проведение Аудита ИБ и/или дополнительных проверок
Совершенствование процедуры управления инцидентами
Совершенствование системы ИБ:
Пересмотр прав доступа
Пересмотр требований по обработке и хранению информации
Обучение и повышение осведомленности:
«Точная» настройка СЗИ
Внедрение новых мер и СЗИ
…
Пересмотр кадровой политики (процедура найма и увольнения,
мотивация персонала, корпоративная культура)
Изменение бизнес-процессов
49. solarsecurity.ru +7 (499) 755-07-70
Обучение и повышение осведомленности
49
Кто? Тематики
Рядовые
пользователи
• Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-
специалисты
• Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации,
мотивации, взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации
50. solarsecurity.ru +7 (499) 755-07-70
Процедура управления инцидентами (DLP)
50
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент