Документ представляет вебинар Андрея Прозорова, посвященный эволюции систем защиты от утечек данных (DLP) и защите от инсайдерских угроз. Обсуждаются ключевые термины, стадии развития DLP-систем, их функциональность и задачи, которые они помогают решать. Прозоров также делится собственным опытом и мнениями о текущих тенденциях в области информационной безопасности.

1. Прозоров Андрей
Ведущий эксперт по информационной безопасности
Задачи бизнеса и эволюция
DLP: какова следующая
ступень?
Для DLP–Expert 07-2013

2. C темой «защита от инсайдеров»
занимаюсь с 2007 года
В 2008 защитил диплом «Разработка
методики комплексной защиты
конфиденциальной информации
предприятия от инсайдеров»
Работал с решениями DLP от
InfoWatch, McAfee, Websense, Symantec.
4,5 года работал в системных
интеграторах (ЛЕТА, IBS Platformix).
С мая 2013 работаю в компании InfoWatch
Эксперт / Консультант по ИБ
Блогер («Жизнь 80 на
20», http://80na20.blogspot.ru )
Почему я?

3. Я постараюсь говорить про общие тенденции, а не про решения
компании InfoWatch, в которой я работаю. Но если будет много
вопросов, мы ответим на них отдельно
Информационные блоки:
 Общие термины: ILDP -> DLP -> IPC
 Эволюция DLP: Стадии, которые проходят в своем развитии DLP-
системы
 Задачи, которые решаются с использованием DLP
Вопросы можете присылать по ходу вебинара, я иногда буду
останавливаться и отвечать на них
Ориентировочная продолжительность: 1-1.5 часа
Кстати, это мой 1й вебинар, поэтому я буду
особенно стараться 
Регламент

4. Зачем мы об этом говорим сейчас?
20 сентября 2013 состоится
конференция DLP-Russia 2013
(г.Москва, Digital October)
Выходит новый номер журнала
«!Безопасность Деловой Информации»

5. Общие термины
ILDP -> DLP -> IPC

6. ADL: Anti Data Leakage - The 451 Group
ALS: Anti-Leakage Software - Ernst&Young
CMF: Content Monitoring and Filtering - Gartner
DLP: Data Leakage Prevention, Data Loss Prevention, Data Leak
Prevention, Data Leakage Protection - IDC
EPS: Extrusion Prevention System
ILDP: Information Leak Detection and Prevention - IDC
ILP: Information Leak Prevention, Information Leak Protection - Forrester
IPC: Information Protection and Control - IDC
ITISS: Internal Threats Information Security Software
ITD: Internal Threats Determination
ITP: Insider Threat Prevention
Активное упоминание «DLP» в Мире с 2005 года,
в России с 2008-2009. «IPC» с 2007 года.
IDLP/DLP/IPC

7. Типичный, но не точный ответ: «DLP – информационная
система, предотвращающая утечку конфиденциальных данных»
Для определения термина «DLP» важно понимать общие принципы работы
Уровни работы системы:
Data-in-Motion – данные в движении (передаваемые по каналам
связи, например, корпоративная и личная электронная почта, web, сервисы
мгновенных сообщений и пр.)
Data-at-Rest – данные при хранении (на серверах, рабочих
станциях, мобильных и внешних носителях, системах хранения данных)
Data-in-Use – используемые данные
Что такое DLP?

8. Многоканальность
Контроль различных каналов передачи информации
(например, эл.почта, сеть Интернет, внешние носители и пр.)
Унифицированный менеджмент
Управление политиками, анализ событий и построение отчетов по всем
каналам мониторинга
Активная защита (мониторинг и блокирование)
Учет как содержания, так и контекста
Учет не только ключевых слов и регулярных выражений, но и общего
содержания документов. Понимание контекста: тип
приложения, протокол, активность, размер сообщения, отправитель, адресат
и пр.
Forrester Research
Свойства DLP

9. Сегменты DLP
Host-based DLP
/ Endpoint
Discovery
DLP
Network-
based DLP
Network-based DLP. Network-based
DLP solutions are typically installed at the
corporate gateway. These solutions scan
network traffic such as email, instant
messaging, FTP, Web-based tools (HTTP
or HTTPS), and peer-to-peer application
for leaks of sensitive information.
Discovery DLP. Discovery DLP solutions
are designed to discover sensitive
information on desktops, laptops, file
servers, databases, document and
records management, email
repositories, and Web content and
applications.
Host-based DLP. Host-based DLP solutions are typically
installed on desktops, laptops, mobile devices, USB
drives, file/storage servers, and other types of data repositories.
Host-based DLP also includes solutions that provide data
discovery
and classification capabilities. IDC

10. IPC (Information Protection and Control) – defined as
monitoring, encrypting, filtering, and blocking sensitive information
contained in data at rest, data in motion, and data in use – IDC
Разные источники рассматриваю разный набор направлений защиты:
А что такое IPC?
У Gartner и Forrester термин
«IPS» я не встречал
• Asset management
• Desktop computing support
• Device control, such as USB and Bluetooth storage devices
• Encryption as part of a data-leakage solution to lost data on
stolen laptops
• Identity management
• Integrated audits
• Management tools with which to instantly see and understand
everything occurring within the security perimeters
• Security Incident/Event Management that provides correlation for
all the incidents at the endpoints, so threats can be detected
early and dealt with quickly
• Patch control
• Policy implementation and oversight
• Предотвращение передачи вовне не только конфиденциальной, но
и другой нежелательной информации (обидных
выражений, спама, эротики, излишних объѐмов данных и т.п.)
• Предотвращение передачи нежелательной информации не только
изнутри наружу, но и снаружи внутрь информационной системы
организации
• Предотвращение использования работниками Интернет-ресурсов и
ресурсов сети в личных целях
• Защита от спама
• Защита от вирусов
• Оптимизация загрузки каналов, уменьшения нецелевого трафика;
• Учет рабочего времени и присутствия на рабочем месте
• Отслеживание благонадѐжности сотрудников, их политических
взглядов, убеждений, сбор компромата
• Архивирование информации на случай случайного удаления или
порчи оригинала
• Защита от случайного или намеренного нарушения внутренних
нормативов
• Обеспечение соответствия стандартов в области информационной
безопасности и действующего Законодательства.

11. Endpoint
Encryption
DLP
Основные направления защиты

12. Эволюция DLP

13. 1 Этап. Контроль эл.почты
и/или внешних носителей
Эволюция DLP

14. 2 Этап. Расширение
перечня каналов
мониторинга
Эволюция DLP

15. 3 Этап. DLP + Консалтинг
• Организационные меры
• Рекомендации по ИБ
• «Точная» настройка DLP
Эволюция DLP

16. Эволюция DLP
4 Этап. Решение по защите
информации от внутренних угроз

17. Перспективные направления развития:
• Защита и контроль мобильных устройств (endpoint)
• Поиск информации в Web (discovery)
• Интеграция с системами управления правами доступа
• Анализ кода приложений
• Анализ поведения пользователей
…

18. 5 Этап. Универсальная
аналитическая система
DLP – ядро системы
Эволюция DLP

19. Стадии, которые проходят в своем развитии
DLP-системы:
1. Контроль почты и/или внешних носителей
2. Расширение перечня каналов мониторинга
3. DLP + консалтинг
4. Решение по защите информации от внутренних угроз
5. Универсальная аналитическая система
Итого

20. Задачи, решаемые с
использованием DLP

21. Ориентируясь на расширение функционала
систем, мы отходим от главного.
Какие задачи помогает решать DLP?

22. Какой режим работы DLP выбрать?
Мониторинг Блокирование

23. Все задачи
Группы задач Задачи !!!
1.Выявление недобросовестных
сотрудников
Цель: Принятие управленческого решения
по конкретным сотрудникам
1.1.Выявление "слива" информации !!!
1.2.Выявление экономических преступлений !!!
1.3.Выявление распространения ложной,
неэтичной информации, фактов подстрекательства
и саботажа
!!
1.4.Архивирование событий и управление
инцидентами (утечки данных)
!!!
2.Снижение рисков
Цель: Повышение общего уровня ИБ
2.1.Блокирование каналов утечки информации !!
2.2.Выявление систематического нарушения
политики безопасности
!!
3.Соответствие требованиям (сompliance)
Цель: Выполнение требований регуляторов,
повышение общего уровня ИБ
3.1.Выполнение обязательных (формализованных)
требований регуляторов
!!!
3.2.Помощь в решении дополнительных задач
(compliance)
!
4.Анализ и повышение эффективности
процессов
Цель: Повышение эффективности бизнес-
процессов
4.1.Прогнозирование и выявление проблем с
сотрудниками компании
!!
4.2.Анализ потоков данных !

24. DLP и защита ПДн 1/3
№
Условное
обозначение
и номер
меры
Содержание мер по обеспечению безопасности персональных данных DLP
Уровни защищенности
персональных данных
4 3 2 1
1. УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или
иной метод), типов (чтение, запись, выполнение или иной тип) и правил
разграничения доступа
DLP Endpoint + + + +
2. УПД.5 Назначение минимально необходимых прав и привилегий пользователям,
администраторам и лицам, обеспечивающим функционирование
информационной системы
DLP Endpoint + + + +
3. УПД.14 Регламентация и контроль использования в информационной системе технологий
беспроводного доступа
DLP Endpoint + + + +
4. УПД.15 Регламентация и контроль использования в информационной системе мобильных
технических средств
DLP Endpoint
DLP Discovery
+ + + +
5. ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в
том числе определение запускаемых компонентов, настройка параметров запуска
компонентов, контроль за запуском компонентов программного обеспечения
DLP Endpoint
6. ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения,
в том числе определение компонентов, подлежащих установке, настройка
параметров установки компонентов, контроль за установкой компонентов
программного обеспечения
DLP Endpoint + +
7. ОПС.3 Установка (инсталляция) только разрешенного к использованию программного
обеспечения и (или) его компонентов
DLP Endpoint +
8 . ОПС.4 Управление временными файлами, в том числе запрет, разрешение,
перенаправление записи, удаление временных файлов
DLP Endpoint
9. ЗНИ.1 Учет машинных носителей персональных данных DLP Endpoint + +

25. DLP и защита ПДн 2/3
№
Условное
обозначение
и номер
меры
Содержание мер по обеспечению безопасности персональных данных DLP
Уровни защищенности
персональных данных
4 3 2 1
10 . ЗНИ.2 Управление доступом к машинным носителям персональных данных DLP Endpoint + +
11. ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием
персональных данных, хранящихся на машинных носителях, и (или)
использования носителей персональных данных в иных информационных
системах
DLP Endpoint
12. ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные
носители персональных данных
DLP Endpoint
13. ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных
данных
DLP Endpoint
14. ЗНИ.7 Контроль подключения машинных носителей персональных данных DLP Endpoint
15 . ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных
носителях при их передаче между пользователями, в сторонние организации для
ремонта или утилизации, а также контроль уничтожения (стирания) или
обезличивания
DLP Endpoint + + +
16. РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их
хранения
DLP Endpoint
DLP Network
DLP Discovery
+ + + +
17. РСБ.2 Определение состава и содержания информации о событиях безопасности,
подлежащих регистрации
DLP Endpoint
DLP Network
DLP Discovery
+ + + +
18. РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течении
установленного времени хранения
DLP Endpoint
DLP Network
DLP Discovery
+ + + +

26. №
Условное
обозначение
и номер
меры
Содержание мер по обеспечению безопасности персональных данных DLP
Уровни защищенности
персональных данных
4 3 2 1
19. РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и
реагирование на них
DLP Endpoint
DLP Network
DLP Discovery
+ +
20. ОЦЛ.5 Контроль содержания информации, передаваемой из информационной системы
(контейнерный, основанный на свойствах объекта доступа, и (или) контентный,
основанный на поиске запрещенной к передаче информации с использованием
сигнатур, масок и иных методов), и исключение неправомерной передачи
информации из информационной системы
DLP Network
21. ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче
персональных данных и предупреждение пользователей об ошибочных действиях
DLP Network
22. ЗИС.5 Запрет несанкционированной удаленной активации видеокамер, микрофонов и
иных периферийных устройств, которые могут активироваться удаленно, и
оповещение пользователей об активации таких устройств
DLP Endpoint
23. ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе DLP Endpoint + + +
24. ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов DLP Endpoint
DLP Network
DLP Discovery
+ +
25. ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и
реагирование на них, о возникновении инцидентов в информационной системе
пользователями и администраторами
DLP Endpoint
DLP Network
DLP Discovery
+ +
DLP и защита ПДн 3/3

27. Хотите узнать больше?
 Читайте журнал «!Безопасность
Деловой Информации»
 Приходите на DLP-Russia 2013
(20 сентября 2013, г.Москва
Digital October)

28. http://www.infowatch.ru
@InfoWatchNews
http://dlp-expert.ru
@DLP_Expert
И контакты…
http://80na20.blogspot.ru
@3dwave