DLP-технология представляет собой набор подходов и методов

Защита конфиденциальной
информации
Тимур Ханнанов
Руководитель направления
по информационной безопасности
Timur.Khannanov@softline.ru
Общее сведения о DLP
Напомним, что (по определению Gartner) DLP-технология
представляет собой набор подходов и методов проверки,
позволяющих распознавать и классифицировать информацию,
записанную в объекте (например, в сообщении электронной
почты, файле, приложении), который хранится в памяти
компьютера, находится в использовании или передается по
каналам связи, а также динамически применять к этим
объектам разные правила, начиная от передачи уведомлений и
заканчивая блокировкой.
DLP системы предназначены для мониторинга и аудита, для
обнаружения и предотвращения пересылки конфиденциальных
данных за пределы компании по электронной почте, через
сервисы мгновенных сообщений (такие как IСQ и т.д.) и через
Web (Web-почта, форумы, чаты и т. п.), а также копирования
данных на сменные носители и отправки на печать.
Data Loss Prevention и Data Leak Prevention…
«Есть два типа людей…»
Мнения
«Утечек данных не существует».
Пока еще.
«Утечки данных – значимая
проблема». Уже.
Первый шаг к решению проблемы – признание её
наличия
Рассылает
почту по
ошибке
Забирает
наработки
Сотрудник
Передает
бизнеспланы
бывшему
коллеге
«Сливает»
клиентскую
базу
Допускаете такую возможность в Вашей Компании?
Кто Заказчик?

Кто формирует требования к защите бизнеса
компании?

Что важнее для бизнеса «узнать» или «не
допустить»?

От кого защищаемся? (модель
злоумышленника)

Что будете делать с нарушителями? (реагирование
на инцидент)
Бизнес должен формировать требования к
средствам защиты информации, т.к. от этого
зависит успешность проекта!
Объекты защиты

Стратегические важные данные
– Клиентская база
– Интеллектуальная собственность, ноу-хау и
т.д.

Тактические данные
– Документооборот
– Документное/файловое хранилище

Оперативные данные
– Текущая переписка
– Данные на локальных рабочих местах
Типы нарушителей
Умысел
Корысть
Постановка
задачи
Халатный
Нет
Нет
Нет
Случайные
Манипулируемый
Нет
Нет
Нет
Непреднамеренные
Типы нарушителей
Да
Нет
Сам
Сознательные
Тип поведения
Обиженный
Действия
Нелояльный
Да
Нет
Сам
Сознательные
Подрабатывающий
Да
Да
Сам\Извне
Сознательные
Внедренный
Да
Да
Извне
Сознательные,
спланированные
Куда «уходит» конфиденциальная информация
Адресат:
• Случайный получатель
• Конкуренты
• Неопределенное лицо
Основные методы определения
конфиденциальной информации
 Лингвистический анализ информации;
 Регулярные выражения (шаблоны);
 Характеристики файловой информации;
 Цифровые отпечатки;
 Метки.
В современных DLP системах используются комбинации этих методов.
Типовой состав «политик»...
 30% это цифровые отпечатки
 30% это шаблоны-классификаторы
 15% отпечатки таблиц и СУБД
 15% ключевые слова, фразы и «морфология»
 10% по описанию файла (размер, тип и т.д.)
Доля ключевых слов в политиках DLP: менее 1/6
(недостатки морфологии компенсируются шаблонами
wildcard: конфиденциал* )
Структура Symantec DLP
Контроль информации на iPad средствами
Symantec DLP
Основные методы определения
конфиденциальной информации
Что умеет Symantec DLP?
Режимы работы DLP Решения:
 Мониторинг
 «В линию» (Защита)
Что делает DLP :
 Собирает все факты нарушения заданных политик работы с
конфиденциальной информацией (факты + сами данные)
 «Изъятие» контента…
 Уведомляет…
 Блокирует…
Почему Symantec DLP?
Почему Symantec DLP?
 Выпущен
пакет
локализации
Russian
Language Pack for Symantec DLP.
Таким
образом,
единственным
Symantec
DLP
стал
локализованным
DLP-
решением среди мировых лидеров по версии
Gartner и IDC.
 Получен
сертификат
ФСТЭК,
удостоверяющий что Symantec DLP является
программным
средством
несанкционированного
информации,
не
предотвращения
копирования
содержащей
сведений,
составляющих государственную тайну.
Цикл проекта по построению защиты
конфиденциальной информации
1. Выявление и определение защищаемой информации
2. Разработка архитектуры решения по защите конфиденциальной
информации
3. Внедрение системы
4. Сопровождение системы
1. Выявление и определение защищаемой информации
 Выявление конфиденциальной информации (проводиться для
каждого подразделения организации)
 Определение мест и формата хранения конфиденциальной
информации
 Описание информационных потоков конфиденциальной информации
 Разработка модели угроз конфиденциальной информации
 Оценка рисков в отношении конфиденциальной информации
2. Разработка архитектуры решения по защите
конфиденциальной информации
 Изучение нормативно-регламентной документации организации в
сфере информационной безопасности
 Технический аудит архитектуры сети организации и используемых
средств защиты информации
 Разработка Технического задания на внедрение системы защиты
конфиденциальной информации (ТЗ)
 Определение наиболее подходящих систем защиты для Заказчика
 Описание политик работы систем защиты
 Формирование рекомендаций по повышению общего уровня
защищенности конфиденциальной информации
3. Внедрение систем защиты
 Формирование рабочей группы Исполнителя и Заказчика,
согласование план-графика работ и т.д.
 Поставка и подготовка оборудования для установки систем защиты
 Установка систем(ы) на тестовую среду организации
 Настройка политик работ системы в соответствии с требованиями ТЗ
 Тестирование системы заявленным требованиям
 Масштабирование системы на ресурсы организации
 Ввод системы в промышленную эксплуатацию
 Разработка документации по проекту (положения, регламенты,
инструкции и т.д.)
4. Сопровождение системы
 Поддержание работы компонентов систем защиты на ресурсах
организации
 Внесение изменений в политики систем защиты (корректировка
работы систем(ы) и т.д.)
 Внесение изменений в настройки систем в случаях изменения
структуры решения
 Расследование инцидентов и настройка системы для решения
сторонних задач
Что мы можем предложить
 Выполнение проектов «под ключ» и их сопровождение
 Консалтинг
 Консультации экспертов и инженеров
 Демонстрации работы систем защиты
 Пилотные тестирования систем защиты
 Поставка ПО и оборудования (в том числе «экзотики»)
Что такое SymDemoLab?
SymDemoLab – это виртуальная тестовая лаборатория решений
Symantec на базе Softline. В настоящий момент на стенде
представлены:
 Endpoint Protection
 Data Loss Prevention
 Altiris IT Management Suite
 Backup Exec 2012
 NetBackup
 Enterprise Vault
Как работать с SymDemoLab?
Зарегистрироваться на сайте http://symdemolab.softline.ru/sym-demolab
 Выбрать продукт
 Выбрать удобное время
 Определить потребность в помощи инженера (доступно только в раб
часы)
Спасибо за внимание
?