Тимур ХаннановРуководитель направления

по информационной безопасностиTimur.Khannanov@softline.ru

Защита конфиденциальной

информации

Напомним, что (по определению Gartner) DLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой.

DLP системы предназначены для мониторинга и аудита, для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать.

Data Loss Prevention и Data Leak Prevention…

Общее сведения о DLP Общее сведения о DLP

Мнения«Утечек данных не существует».

Пока еще.

«Утечки данных – значимая проблема». Уже.

«Есть два типа людей…»«Есть два типа людей…»

Допускаете такую возможность в Вашей Компании?

Сотрудник

Забирает наработки

Рассылает почту по ошибке

«Сливает» клиентскую

базу

Передает бизнес-планы

бывшему коллеге

Первый шаг к решению проблемы – признание её наличияПервый шаг к решению проблемы – признание её наличия

Кто формирует требования к защите бизнеса компании?

Что важнее для бизнеса «узнать» или «не допустить»?

От кого защищаемся? (модель злоумышленника)

Что будете делать с нарушителями? (реагирование на инцидент)

Бизнес должен формировать требования к средствам защиты информации, т.к. от этого

зависит успешность проекта!

Кто Заказчик?

Объекты защиты Стратегические важные данные

– Клиентская база– Интеллектуальная собственность, ноу-хау и

т.д.

Тактические данные– Документооборот– Документное/файловое хранилище

Оперативные данные– Текущая переписка– Данные на локальных рабочих местах

Типы нарушителей

Тип поведения Умысел Корысть Постановка задачи Действия

Халатный Нет Нет Нет Случайные

Манипулируемый Нет Нет Нет Непреднамеренные

Обиженный Да Нет Сам Сознательные

Нелояльный Да Нет Сам Сознательные

Подрабатывающий Да Да Сам\Извне Сознательные

Внедренный Да Да Извне Сознательные, спланированные

Типы нарушителейТипы нарушителей

Куда «уходит» конфиденциальная информацияКуда «уходит» конфиденциальная информация

Адресат:• Случайный получатель • Конкуренты • Неопределенное лицо

Лингвистический анализ информации;

Регулярные выражения (шаблоны);

Характеристики файловой информации;

Цифровые отпечатки;

Метки.

В современных DLP системах используются комбинации этих методов.

Основные методы определения конфиденциальной информацииОсновные методы определения конфиденциальной информации

Типовой состав «политик»...

30% это цифровые отпечатки

30% это шаблоны-классификаторы

15% отпечатки таблиц и СУБД

15% ключевые слова, фразы и «морфология»

10% по описанию файла (размер, тип и т.д.)

Доля ключевых слов в политиках DLP: менее 1/6

(недостатки морфологии компенсируются шаблонами

wildcard: конфиденциал* )

Структура Symantec DLPСтруктура Symantec DLP

Контроль информации на iPad средствами Symantec DLP

Контроль информации на iPad средствами Symantec DLP

Основные методы определения конфиденциальной информацииОсновные методы определения конфиденциальной информации

Режимы работы DLP Решения:

Мониторинг

«В линию» (Защита)

Что делает DLP :

Собирает все факты нарушения заданных политик работы

с конфиденциальной информацией (факты + сами данные)

«Изъятие» контента…

Уведомляет…

Блокирует…

Что умеет Symantec DLP? Что умеет Symantec DLP?

Почему Symantec DLP? Почему Symantec DLP?

Почему Symantec DLP? Почему Symantec DLP?

Выпущен пакет локализации

Russian Language Pack for Symantec

DLP.

Таким образом, Symantec DLP стал

единственным локализованным DLP-

решением среди мировых лидеров по

версии Gartner и IDC.

Получен сертификат ФСТЭК,

удостоверяющий что Symantec DLP

является программным средством

предотвращения

несанкционированного копирования

информации, не содержащей сведений,

составляющих государственную тайну.

1. Выявление и определение защищаемой информации

2. Разработка архитектуры решения по защите

конфиденциальной информации

3. Внедрение системы

4. Сопровождение системы

Цикл проекта по построению защиты конфиденциальной информации

Цикл проекта по построению защиты конфиденциальной информации

Выявление конфиденциальной информации (проводиться

для каждого подразделения организации)

Определение мест и формата хранения конфиденциальной

информации

Описание информационных потоков конфиденциальной

информации

Разработка модели угроз конфиденциальной информации

Оценка рисков в отношении конфиденциальной

информации

1. Выявление и определение защищаемой информации1. Выявление и определение защищаемой информации

Изучение нормативно-регламентной документации

организации в сфере информационной безопасности

Технический аудит архитектуры сети организации и

используемых средств защиты информации

Разработка Технического задания на внедрение системы

защиты конфиденциальной информации (ТЗ)

Определение наиболее подходящих систем защиты для

Заказчика

Описание политик работы систем защиты

Формирование рекомендаций по повышению общего

уровня защищенности конфиденциальной информации

2. Разработка архитектуры решения по защите конфиденциальной информации

2. Разработка архитектуры решения по защите конфиденциальной информации

Формирование рабочей группы Исполнителя и Заказчика,

согласование план-графика работ и т.д.

Поставка и подготовка оборудования для установки систем

защиты

Установка систем(ы) на тестовую среду организации

Настройка политик работ системы в соответствии с

требованиями ТЗ

Тестирование системы заявленным требованиям

Масштабирование системы на ресурсы организации

Ввод системы в промышленную эксплуатацию

Разработка документации по проекту (положения,

регламенты, инструкции и т.д.)

3. Внедрение систем защиты3. Внедрение систем защиты

Поддержание работы компонентов систем защиты на

ресурсах организации

Внесение изменений в политики систем защиты

(корректировка работы систем(ы) и т.д.)

Внесение изменений в настройки систем в случаях

изменения структуры решения

Расследование инцидентов и настройка системы для

решения сторонних задач

4. Сопровождение системы 4. Сопровождение системы

Выполнение проектов «под ключ» и их сопровождение

Консалтинг

Консультации экспертов и инженеров

Демонстрации работы систем защиты

Пилотные тестирования систем защиты

Поставка ПО и оборудования (в том числе «экзотики»)

Что мы можем предложитьЧто мы можем предложить

SymDemoLab – это виртуальная тестовая лаборатория

решений Symantec на базе Softline. В настоящий момент на

стенде представлены:

Endpoint Protection

Data Loss Prevention

Altiris IT Management Suite

Backup Exec 2012

NetBackup

Enterprise Vault

Что такое SymDemoLab?Что такое SymDemoLab?

Зарегистрироваться на сайте http://

symdemolab.softline.ru/sym-demo-lab

Выбрать продукт

Выбрать удобное время

Определить потребность в помощи инженера

(доступно только в раб часы)

Как работать с SymDemoLab?Как работать с SymDemoLab?

?Спасибо за вниманиеСпасибо за внимание