Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

0

Share

Download to read offline

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

Download to read offline

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

  1. 1. Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-10
  2. 2. solarsecurity.ru +7 (499) 755-07-70 2 DLP является средством автоматизации, но и специалист по ИБ без работы не останется…
  3. 3. solarsecurity.ru +7 (499) 755-07-70 Типовые сценарии работы с DLP 3 1. Регулярный мониторинг событий (М) 2. Расследование инцидентов (Р) #1
  4. 4. solarsecurity.ru +7 (499) 755-07-70 Зачем это нужно? 4  Не каждое «событие» переходит в «инцидент» (М)  Инциденты важно вовремя выявить (ограничения для дисциплинарных наказаний по ТК РФ) (М)  Не за все «утечки» можно наказать строго (например, при записи информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)  Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)  Можно выявить аномальное поведение и связи (М, Р)  Можно выявить всех участников (Р)
  5. 5. solarsecurity.ru +7 (499) 755-07-70 5 Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним
  6. 6. solarsecurity.ru +7 (499) 755-07-70 Фокус внимания на самое важное 6 Люди События и инциденты Информация Досье на информационные объекты: • места хранения • каналы передачи • отправители и получатели Досье на персон и группы: • Общая информация • События и инциденты • Граф-связей • Уровень доверия («карма») • Канал передачи • Сработавшая политика • Отправители и получатели
  7. 7. solarsecurity.ru +7 (499) 755-07-70 7
  8. 8. solarsecurity.ru +7 (499) 755-07-70 Полная процедура управления инцидентами (DLP) 8 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
  9. 9. solarsecurity.ru +7 (499) 755-07-70 9 Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями
  10. 10. solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 10 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
  11. 11. solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 11 1. Перевод в группу «Особый контроль» 2. Получение объяснительной* 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
  12. 12. solarsecurity.ru +7 (499) 755-07-70 Вместо подведения итогов 12 На этом у меня все. Напомню, что работа с DLP складывается из 2х составляющих: регулярный мониторинг событий и расследование инцидентов. А хорошие DLP системы упрощают такую работу…
  13. 13. Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

Views

Total views

4,040

On Slideshare

0

From embeds

0

Number of embeds

3,125

Actions

Downloads

16

Shares

0

Comments

0

Likes

0

×