1. Прозоров Андрей
Ведущий эксперт по информационной безопасности
Общая проблематика защиты
от утечек информации и
задачи, решаемые с
использованием DLP?
Для IBS Platformix 08-2013

2. Темой «защита от инсайдеров» занимаюсь
с 2007 года
В 2008 защитил диплом «Разработка
методики комплексной защиты
конфиденциальной информации
предприятия от инсайдеров»
Работал с решениями DLP от
InfoWatch, McAfee, Websense, Symantec.
4,5 года работал в системных
интеграторах (ЛЕТА, IBS Platformix).
С мая 2013 работаю в компании InfoWatch
Эксперт / Консультант по ИБ
Блогер («Жизнь 80 на
20», http://80na20.blogspot.ru )
Почему я?

3. Аналитика по утечкам информации
InfoWatch

4. Аналитика (продолжение)
Распределение утечек по
источникам, 2012 г.
Распределение утечек
по типу данных
2011-2012 гг.
InfoWatch

5. Аналитика (продолжение)
InfoWatch

6. Аналитика (продолжение)
InfoWatch

7. Отчет Ponemon Institute «Is Your Company Ready
For A Big Data Breach?»:
33% опрошенных компаний зафиксировали
более 1000 случаев утечки конфиденциальной
информации за последние 2 года: у 48% данные
утекли однократно; у 27% - дважды; 16%
сталкивались с инцидентами утечки до 5 раз; 9%
зафиксировали более 5 случаев утечки
Другие аналитические отчеты
Ponemon Institute

8. Из общего количества утечек, зафиксированных в 2012 году как
РКН, так и различными независимыми аналитическими
организациями, только 72% (53 случая) непосредственно
связаны с ПДн. В остальных случаях имели место факты
распространения информации, составляющей
коммерческую, служебную тайны.
В тоже время из инцидентов с ПДн только 62% (33 случая) можно
отнести непосредственно к утечкам, произошедшим ввиду
несоблюдения Операторами требований по обеспечению их
конфиденциальности и безопасности, в остальных 38% (20 случаев)-
установлены факты нарушения требований законодательства РФ в
области ПДн в части передачи ПДн без соответствующего согласия
(передача коллекторам в целях взыскания задолженности, передача
третьим лицам в рамках поручения по обработке ПДн).
В большинстве своем факты утечек были связаны с
несанкционированным распространением персональной
информации, содержащейся на бумажных носителях
Отчет РКН за 2012 год
РКН

9. Умысел источника
Категория информации
Особенности контейнера информации
Канал передачи / Способ реализации
Получатель информации
Последствия
Модель утечки информации

10. 1. Наличие Перечня конфиденциальной информации, Перечня лиц, допущенных
к обработке конфиденциальной информации, Политики допустимого
использования активов и документов, описывающих ответственность
персонала
2. Мониторинг и контроль передачи информации по сети интернет, электронной
почте, использование сервисов мгновенных сообщений (ICQ, Skype, и пр.)
3. Мониторинг и контроль подключения внешних носителей и периферийных
устройств, контроль печати
4. Шифрование информации на ноутбуках и съемных носителях
5. Использование средств антивирусной защиты
6. Наличие перечня допустимого ПО, контроль установки и использования ПО
7. Контроль подключения к сетям WiFi и другим сетям передачи информации
8. Точная настройка межсетевых экранов и proxy-серверов (фильтрация)
9. Повышение осведомленности и обучение персонала, развитие культуры ИБ
10. Гарантированное уничтожение информации на электронных носителях и
использование шредеров для уничтожения бумаг
ТОП 10 мер по комплексной
защите информации от утечки

11. Элементы DLP
Host-based DLP
/ Endpoint
Discovery
DLP
Network-
based DLP
WEB
DLP
«Классическое» DLP
Перспективное
направление

12. Как DLP «понимает»
информацию?
DLP
InfoWatch
БКФ
(лингвистика)
Регулярные
выражения
Текстовые
объекты
(по опр.стр-ре)
Шаблоны
форм
Печати и
штампы
Сканы
кредитных
карт*
Сканы
паспортов
Выгрузка
из БД
Цифровые
отпечатки
- Методики выявления ПДн
* - в разработке
Цифровые
метки
- Основные технологии

13. Стадии, которые проходят в своем развитии
DLP-системы:
1. Контроль почты и/или внешних носителей
2. Расширение перечня каналов мониторинга
3. DLP + консалтинг
4. Решение по защите информации от внутренних
угроз
5. Универсальная аналитическая система
Развитие DLP

14. Все задачи, решаемые DLP
Группы задач Задачи !!!
1.Выявление недобросовестных
сотрудников
Цель: Принятие управленческого решения
по конкретным сотрудникам
1.1.Выявление "слива" информации !!!
1.2.Выявление экономических преступлений !!!
1.3.Выявление распространения ложной,
неэтичной информации, фактов подстрекательства
и саботажа
!!
1.4.Архивирование событий и управление
инцидентами (утечки данных)
!!!
2.Снижение рисков
Цель: Повышение общего уровня ИБ
2.1.Блокирование каналов утечки информации !!
2.2.Выявление систематического нарушения
политики безопасности
!!
3.Соответствие требованиям (сompliance)
Цель: Выполнение требований регуляторов,
повышение общего уровня ИБ
3.1.Автоматизированная классификация
информации
!!!
3.2.Выполнение обязательных (формализованных)
требований регуляторов
!!!
3.3.Помощь в решении дополнительных задач
(compliance)
!
4.Анализ и повышение эффективности
процессов
Цель: Повышение эффективности бизнес-
процессов
4.1.Прогнозирование и выявление проблем с
сотрудниками компании
!!
4.2.Анализ потоков данных !

15. 1. Какие задачи планируется решать?
2. Какие каналы требуется мониторить?
3. Мониторинг или блокировка?
4. Какие технологии анализа предпочтительнее?
5. Необходим ли сертификат ФСТЭК России?
6. Необходимо ли хранение всех сообщений или только
инциденты?
7. Есть ли требования по языку интерфейса системы и
отчетов?
8. Необходим ли дополнительный консалтинг
(разработка документов, категорирование
информации и пр.)?
На что обратить внимание
при выборе решения (DLP)?

16. http://www.infowatch.ru
@InfoWatchNews
http://platformix.ru
И контакты…
http://80na20.blogspot.ru
@3dwave