MBA: Оценка практики применения DLP систем в Банках
•Download as PPTX, PDF•
0 likes•322 views
Моя презентация с защиты диплома MBA. Пусть она и не супер информативна, но может оказаться полезной.
Recommended
Recommended
More Related Content
Similar to MBA: Оценка практики применения DLP систем в Банках
Similar to MBA: Оценка практики применения DLP систем в Банках (20)
MBA: Оценка практики применения DLP систем в Банках
- 1. Оценка практики применения систем предотвращения утечек данных в банковском секторе РФ Слушатель – Мартыненко К.В. Руководитель – к.э.н., Хайретдинов Р.Н. РАНХиГС, Москва, 26 сентября 2015 г.
- 2. Содержание 1. Данные по утечкам и тренды 2. Причины преступлений 3. Об инсайдерах 4. Типы DLP систем 5. Эффективность внедрения 6. Модель зрелости
- 3. Данные по утечкам и тренды Утечки Злонамеренные Случайные 32% 34% 34% (?) • Более 800 инцидентов в день • Потеря с карты в среднем 4 800 руб. • Потеря из ДБО в среднем 241 000 руб. • Сокращение бюджетов ИБ • Снижение лояльности персонала
- 4. Причины преступлений Случайные утечки происходят из-за: • Незнания потенциальных угроз • Незнания основных правил по обеспечению ИБ • Нежелания соблюдать требования конфиденциальности данных вне офиса Злонамеренные утечки происходят из-за: • Наличия возможности • Наличия мотива • Наличия внутреннего желания работника оправдаться
- 5. Об инсайдерах Тип Умысел Корысть Постановка задачи Действия при невозможности Халатный Нет Нет Нет Сообщение о нарушении Манипулируемый Нет Нет Нет Сообщение о нарушении Обиженный Да Нет Сам Отказ от действий Нелояльный Да Нет Сам Имитация отказа Подрабатывающий Да Да СамИзвне Имитация отказа от действийПопытка взлома Внедренный Да Да Извне Попытка взлома
- 7. Эффективность внедрения Расчетный периодСтоимость Затраты Бенефиты Вариации закупки Вариант 1й год 2й год 3й год 100 лицензий - 1,5 млн. руб. -600 тыс. руб. 230 тыс. руб. 200 лицензий -1,7 млн. руб. -150 тыс. руб. 1,2 млн. руб. 300 лицензий -2,2 млн. руб. -310 тыс. руб. 1,4 млн. руб. 400 лицензий -3 млн. руб. -1 млн. руб. 750 тыс. руб.
- 8. Модель зрелости 0. Отсутствует 1. Начальный 2. Интуитивный 3. Удовлетворительный 4. Хороший 5. Идеальный
- 9. Спасибо за Ваше внимание!
Editor's Notes
- Добрый день, уважаемая комиссия! Меня зовут Мартыненко Кирилл. Я являюсь директором департамента защиты информации коммерческого Банка ЮГРА.
- Сегодня я бы хотел рассказать о достаточно популярной теме последних нескольких лет в области информационной безопасности – DLP системах. Сначала я расскажу об общих трендах по утечках, затем перейду к причинам преступлений, далее остановлюсь подробнее на инсайдерах, а потом уже перейду к самим DLP системам – что это, как они развивались, кто является лидером рынка, как правильно выбрать систему, зачем она нужна и как я вижу модель эффективного использования данного типа систем. А теперь перейдем к трендам по утечкам данных.
- Согласно исследованиям компании Zecurion за 2014 год – 32% инцидентов являются злонамеренными, 34% совершаются случайно и еще по 34% тип инцидента до конца определить не удается. К сожалению, но от года к году количество злонамеренных утечек растет. По данным Банка России, а именно согласно форме 0403203 только в банковском секторе за 2014 год происходило свыше 800 инцидентов ИБ в день. При этом средняя потеря за карточный инцидент составляла 4 800 рублей, а за инцидент связанный с ДБО 241 000 рублей. Все это происходит на фоне снижения лояльности персонала и сокращения бюджетов на ИБ. Давайте рассмотрим теперь вопрос утечек подробнее.
- Из-за чего же происходят случайные утечки? Это связано с незнанием потенциальных угроз и основных правил и положений в области ИБ в организации, а так же с тем, что пользователи расслабляются как только выходят на пределы своего офиса. Кроме этого не стоит забывать что существует и вопрос разницы поколений – часть возрастного персонала просто не знает об определенных угрозах, так как еще несколько лет назад в их практике о таком никто не слышал. Именно поэтому в своей практике работы в Банке ЮГРА я настоял на наличии отдельного менеджера по обучению в области ИБ. Данный сотрудник занимается как проведением очных инструктажей, так и помогает сотрудникам с помощью имеющегося у нас портала обучения. Если же говорить о знонамеренных утечках, то здесь в первую очередь стоит говорить о трех факторах – наличии возможности украсть, наличии мотива сделать это или же желании работника оправдать свои действия. Намного понятнее данный вопрос становится если изучить потенциальных типы нарушителей.
- Наименее опасными при этом являются халатные сотрудники – они просто игнорируют правила или не желают их изучать. Такой сотрудник обычно сам признает свою вину или даже сообщит о проблеме в безопасность самостоятельно. Далее следуют манипулируемые сотрудники – в отличии от халатных они подвержены влиянию либо своего руководителя, либо другого сотрудника компании, который его руками пытается нанести вред. Обиженные сотрудники – все более частое явление во время кризиса. Это те, кто считают, что им недоплачивают или их не повысили или им не дали выполнить какой-либо проект. Их умысел состоит в том, что они считают, что компания им должна, но в случае выявления обычно быстро отказываются от своих действий. Нелояльный сотрудники это уже более сложный случай – они никогда не откажутся от своего замысла, а будут лишь имитировать отказ, так как они уже намерены покинуть компанию и в любом случае планируют забрать с собой информацию. Подрабатывающие сотрудники делаться на две подкатегории – те кто работают на себя и те кто работают на внешнюю силу. Работающие на себя используют ресурсы компании в целях повышения привлекательности своего бизнеса, в то время как работающие на внешнюю силу заинтересованы лишь в денежной компенсации своего труда. Последняя категория – внедренные сотрудники, но они встречаются крайне редко и малый и средний бизнес почти наверняка может исключить такой тип угрозы из своей модели угроз. Теперь давайте поговорим о самой DLP системе.
- DLP – Это системы предотвращения утечек данных. За последние годы они практически стали обязательными в каждой компании. На текущий момент существует 2 типа систем – это системы активного и пассивного контроля. Каждый тип имеет своих сторонников и противников. При работе с активным контролем все инциденты по отработанным политикам автоматически приводят к блокировке контента – невозможности отправки, невозможности скопировать и так далее. На моей практике в Банке ЮГРА мы наоборот используем пассивный контроль, т.е. не препятствуем отправлениям и копированию, так как изредка ложные срабатывания могут значительным образом повлиять на конкретные бизнес процессы. Именно благодаря пассивному контролю мы получаем несколько второстепенных продуктов внутри одной системы – мониторинг рабочего дня работника, поиск потенциальных уязвимостей систем и мониторинг атмосферы в коллективе. После того как вы определитесь с моделью защиты можно выбрать соответствующего вендора, с которым прорабатывать детали. После того как вендор выбран – можно готовиться к расчету эффективности проекта.
- В первую очередь мы берем те показатели, на которые смотрят всегда – стоимость железа и лицензий, но не стоит забывать и про те затраты, про которые обычно забывают или просто не знают безопасники – стоимость обучения персонала, стоимость работ по внедрению и стоимость администрирования системы. В качестве расчётного периода удобно брать 3 года, т.е. среднесрочный проект. Намного интереснее же вторая фаза расчета, про которую мало кто думает – какие выгоды могут получить другие подразделения? Например кадрам мы можем значительно сократить цикл подбора персонала, руководству предоставлять информацию по эффективности работы сотрудников, ну и конечно же своим коллегам из безопасности предоставлять информацию по инсайдерам, внутреннему фроду и потенциальным фактам разглашения конфиденциальной информации. Таким образом в моем варианте расчета получилось, что все четыре вариации закупки окупаются к 3му году, но выгоднее всего закупать 300 лицензий. Безусловно в каждом конкретном случае результат будет отличаться. Теперь когда мы посчитали эффективность внедрения я бы хотел перейти к самой важной части моего проекта, а именно к модели зрелости.
- Целью создания самой модели я считаю создание понимания эффективности использования закупленной системы. Аналогичные проверки, но не по конкретным системам, а в целом в области ИБ уже проводятся центральным банком. Предлагаемая мной модель содержит шесть уровней, каждый из которых содержит оценку по трем аспектам – уровень развития ИБ до внедрения, уровень развития процессов использования самой DLP и уровень развития процессов реагирования на выявленные инциденты. 0 уровень – ответственных работников иб скорее всего просто нет, руководство не осознает необходимость, про DLP систему даже никто и не думает, расследования по утечкам не проводятся. 1 уровень – существует ответственный работник ИБ, но его деятельность не контролируется, руководство понимает что утечки это плохо и поддерживает внедрение разрозненных средств защиты, расследования проводятся каждый раз по факту и процесс никак не документирован. 2 уровень – работник ИБ имеет определенные полномочия, но на уровне руководства вопросы ИБ не обсуждаются, компания скорее всего проводит тестирования DLP систем “из коробки” и полностью доверяет интегратору, данные из систем анализируются интуитивно благодаря навыку персонала. 3 уровень – проводятся периодические аудиты, работников знакомят со всем под роспись, часть процессов ИБ содержит KPI, DLP система развернута из коробки и контролирует основные потоки, инциденты оформляются по типовой форме. 4 уровень – все документы по PDCA, обучение обязательно для всех, вопросы ИБ решаются руководящим органом, DLP оптимизирована под конкретную компанию, задачи вышли за «коробку», инциденты частично рассматриваются в автоматическом режиме. 5 уровень – требования по развитию ИБ входят в стратегию Банка, все процессы DLP полностью автоматизированы, система интегрирована с системами отчетности, все инциденты категоризируются автоматически и лишь самые сложные из них рассматриваются вручную по четко регламентированным процессам. Данную модель я планирую в дальнейшем проработать с Банком России на предмет ее актуальности для всего банковского сектора.
- Спасибо за Ваше внимание и готов ответить на Ваши вопросы!