«Человек смотрящий»

Андрей Прозоров

Ведущий эксперт по

информационной безопасности

Для RISC 2014-09-30

Знакомьтесь, это Роршах (по-русски -

Владимир). Он специалист по информационной безопасности. И недавно он внедрил и начал использовать DLP-систему…

Он рассматривает к DLP-системы, как к простые и классическим СЗИ, исходя из своего старого опыта и громких обещаний продавцов…

«Использовать DLP-систему – это здорово и интересно, можно показать быстрые результаты («quick wins») руководству. Да и, вообще, ВСЕ* используют DLP…»

* - 43% организаций используют DLP, 13% планируют к внедрению в течении года, 10% не

планируют и не заинтересованы. - Vormetric

Но порой ожидания являются завышенными, а многие важные вопросы использования DLP остаются без ответа…

Это и случилось с нашим героем

Первым делом Роршах избавился от своих (чужих) завышенных ожиданий…

#1

Задачи DLP (к вопросу об ожиданиях)

Мониторинг и контроль каналов утечки информации

Мониторинг трудовых отношений (рабочее время, отношения в коллективе, желание уволиться…)

Compliance (ПДн, PCI DSS, СТО БР ИББС, 27001)

Выявление экономических преступлений (откаты, сговор, мошенничество)

Требования предполагают наличие комплексных систем защиты (орг.и тех.меры), DLP позволяет выполнить лишь малую часть мер.

• 152-ФЗ и другие нормативные документы не обязывают операторов ПДн использовать DLP, хотя упоминание такого класса СЗИ есть в Приказе №21 ФСТЭК России (мера ОЦЛ.5). Вообще, DLP удобно использовать для инвентаризации мест хранения ПДн (модуль DLP Discovery) и выявления допущенных сотрудников, а также контролировать информационные потоки с ПДн.

• СТО БР ИББС не говорит об обязательном использовании DLP, но упоминает обязательный контроль использования съемных носителей (п.7.4.5) и наличие архива электронной почты с «целью предотвращения утечек информации» (п.7.6.9). Также стандарт напоминает, что «наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал».

• Для PCI DSS системы DLP позволяют выявлять места хранения (модуль DLP Discovery) и факты передачи незашифрованных номеров карт (PAN)

• Для ISO 27001 системы DLP помогают проводить инвентаризацию и классификацию информации (А.8.1.1, А.8.2.1), контролировать передачу информации (А.13.2) и использование съемных носителей (А.8.3)

+ для всех требований DLP полезны при «управлении инцидентами»

DLP и Compliance

• А задачи ли это ИБ-специалиста? А надо ли им вообще заниматься?

• Если да, то необходима поддержка и других подразделений (HR, СБ (экономической), внутренний контроль, руководство), особенно в вопросе «а что делать после выявления?»

• Необходимо понимание корпоративной культуры организации

• Необходимо понимание бизнес-процессов, особенно их экономической составляющей

• Требуется точная настройка правил DLP, правила «из коробки» выявляют лишь типовые события

• Все равно требуется время на анализ «ручной» инцидентов

• Успех не гарантирован, но возможен

Мониторинг трудовых

отношений и выявление

экономических преступлений

• Использование DLP не гарантирует 100% защиту от от утечки информации. Тут нужен комплекс мер (контроль доступа, документированные требования, обучение персонала, DLP, шифрование информации на мобильных носителях, контроль использования ПО, наличие средств АВЗ и пр.). А как контролировать системных администраторов?

• DLP систему иногда можно обойти, обмануть или даже отключить. Однако, выявление таких попыток сразу говорит о «виновности» сотрудника…

• DLP хорошо выявляет неумышленные утечки, но и часто обнаруживает умышленные (нарушители обычно используют простые способы кражи информации)

• DLP это скорее не один из способов снижения риска утечки информации, а инструмент управления инцидентами

DLP и защита от утечки

ISACA

Затем Роршах посмотрел на DLP системно…

#2

DLP лишь элемент системы. Если другие отсутствуют, то система не будет работать…

1.Правила 2.Контроль 3.Обратная

связь

DLP

Это как с правилами дорожного движения: знак + камера + штрафы

Роршах с этм разобрался быстро. Он посмотрел серию вебинаров «DLP-Hero» - http://www.infowatch.ru/webinar/dlp-hero

Общие положения по защите информации

Положения по обработке информации ограниченного доступа

Положения по защите информации ограниченного доступа

Положения по допустимому использованию ресурсов

Какие положения бывают?

1. Наличие правил по работе с информацией ограниченного доступа. 2. Запрет передачи информации ограниченного доступа по

определенным каналам при определенных условиях

3. Запрет на хранение на корпоративных устройствах «личной информации»

4. Запрет передачи по корпоративным каналам «личной информации»

5. Уведомление об использовании средств мониторинга / наличии возможности мониторинга

6. Разграничение и контроль доступа 7. Запрет передачи своих паролей другим лицам 8. Запрет на предоставление своей учетной записи другим лицам 9. Политика «чистых столов и экранов»

Положения важные для DLP

Пропишите эти положения в своих документах!!!

1. Перечень информации ограниченного доступа 2. Перечень лиц, допущенных к информации ограниченного доступа

3. Политика в отношении обработки ПДн 4. Положение об обработке ПДн 5. Положение о защите ПДн

6. Положение об информации, составляющей КТ

7. Политика допустимого использования (Положение об использовании информационных сервисов…)

8. Положение о парольной защите 9. Положение об антивирусной защите 10.Процедура управления доступом

11.Должностные инструкции… 12.Соглашение с сотрудником / Трудовой договор

Типовой набор документов (пример)

Самое важное правило:

Сотрудники должны быть ознакомлены с требованиями под роспись

Еще рекомендации:

• Ориентируйтесь на целевую аудиторию при разработке документа (обычные пользователи или специалисты?)

• При необходимости делайте комплект документов: Положения -> Процедуры -> Инструкции -> Памятки

• Обучайте и повышайте осведомленность сотрудников (хотя бы инструктаж при приеме на работу). Используйте примеры

• Регулярно пересматривайте документы. Они должны быть «живыми», удобными и отражать реальную ситуацию

• Предложите возможность получить консультацию и/или задать вопрос

Требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации:

– корпоративная электронная почта

– сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту, соц.сети, блоги и пр.)

– внешние носители

– корпоративные рабочие станции

– корпоративные мобильные устройства

– персональные мобильные устройства

– сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи)

– удаленный доступ к корпоративной сети

– копировально-множительная техника

– файловые хранилища

Что писать в Политике

допустимого использования?

«Уведомление» «Соглашение» Общая идея В Компании запрещено обрабатывать «личную

информацию» на оборудовании компании и передавать по каналам связи, предоставляемым компанией. Выполнение данного правила (и других) контролируется специальными средствами мониторинга.

Сотрудник дает письменное согласие на мониторинг всей своей переписки

Законное основание

ГК РФ, ТК РФ Конституция РФ, 149-ФЗ, ГК РФ

Общее ощущение

Скорее нейтральное «Работодатель предъявляет требования к использованию своей собственности и контролирует это»

Скорее отрицательное «Работодатель «как бы забирает» право сотрудника на частную жизнь»

Орг. моменты Документирование в любом виде. Например, в качестве пункта документа, регламентирующего ИБ в компании и подписываемого всеми сотрудниками. Важно указать запрет на обработку личной информации и наличие системы мониторинга. Чем больше упоминаний, тем лучше.

Необходима подпись сотрудника в специальном документе – соглашении. Возможны дополнительные вопросы со стороны сотрудников и непринятие соглашения. А если откажутся подписывать?

Сложность реализации

Низкая Средняя

Уведомление о наличии системы мониторинга

В явном виде (но может быть без конкретного описания)

Желательно

С документированием требований все довольно просто. Но что делать с нарушителями? Как реагировать на инциденты?

Процесс реагирования

Выявленная утечка

Подозрение об утечке

Регулярный анализ

Внутреннее / внешнее

расследование (анализ

инцидента)

«Управленческое решение»

«Управленческое решение»

1. «Понять и простить» 2. «Присмотреться получше» 3. Изменение прав доступа (расширение или

ограничение) 4. Пересмотр правил ИБ (орг. и тех.) 5. Обучение и повышение осведомленности

персонала 6. Мотивация персонала 7. Лишение благ и привилегий 8. Кадровые перестановки 9. Решение об увольнении

(по собственному желанию / по соглашению сторон)

10. Дисциплинарные взыскания (втч увольнение)

11. Решение о преследовании в судебном порядке

12. «Вывоз в лес»

м

3 важных момента: • скорость реакции • юр.сторона вопроса • осознанное «управленческое решение»

Статья 193. Порядок применения дисциплинарных взысканий

Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников.

Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу.

За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

Дисциплинарные взыскания (ТК РФ)

#3

После этого Роршах изучил моральную (этическую) сторону вопроса

Контрразведка: «Кругом враги,

подозреваем всех»

Разведка / пограничник: «Впереди враг, сзади

Родина»

Выбор роли зависит от целей и задач внедрения DLP и выбранным «управленческим решением»

Коллеги Роршаха утверждают, что DLP дает «суперсилу» («суперзнания» о людях):

• Малоизвестные факты

• Увлечения и интересы

• Психологический профиль

• Социальные связи

• Файлы* на рабочих станциях

• Логины и пароли**

• …

* - DLP Discovery

** - некоторые системы мониторинга позволяют собирать

и хранить такие данные

Вопрос разграничения доступа к настройкам и архиву DLP…

«Человек смотрящий» не всесилен: • Многое не видит (DLP контролирует не все каналы,

настроена не на все события) • Не все события может правильно интерпретировать • Не все успевает • Часто ориентируется на субъективное мнение • Опасается Конституции РФ и УК РФ (частная жизнь,

личная и семейная тайна)

Юристы HR СБ/ЭБ ИТ ИБ

CEO

Необходимо выявлять потребности и работать с заинтересованными сторонами

Выводы, которые сделал наш герой: 1. Настройки и правила DLP необходимо

«заточить» под свои задачи, информационные потоки и политики ИБ

2. Одному работать с DLP, а точнее с событиями, выявляемыми системой не просто. Необходимо вовлечение сотрудников других подразделений

3. Важно определить и проработать варианты «управленческого решения» еще до инцидента

4. Документировать вопросы ИБ, связанные с DLP довольно просто

5. Полезные материалы можно получить у InfoWatch

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22

Андрей Прозоров Мой блог: 80na20.blogspot.com