DLP Hero: DLP Maturity Model

(Модель зрелости DLP)

Андрей Прозоров, CISM

Ведущий эксперт по

информационной безопасности

Capability Maturity Model Integration (CMMI) — набор моделей (методологий) совершенствования процессов в организациях разных размеров и видов деятельности. CMMI содержит набор рекомендаций в виде практик, реализация которых, по мнению разработчиков модели, позволяет реализовать цели, необходимые для полной реализации определённых областей деятельности.

CMMI является развитием методологии CMM, которая разрабатывалась со второй половины 1980х годов Software Engineering Institute (SEI) в университете Карнеги-Меллона (Carnegie Mellon University).

Первоисточник

Information Security Governance Maturity

Model (IT Governance Institute)

Mobile Maturity Model

(Gartner, 995$)

+ISO 15504-1

Уровни зрелости

0.Несуществующий (Non-existent)

Подходы не применимы

1.Начальный / Повторяющийся эпизодически и бессистемно (Initial / Ad hoc)

Процессы используются разово или в отдельных случаях и не организованы

2.Повторяющийся, но интуитивный (Repeatable but intuitive)

Процессы повторяются по образцу

3.Определенный (Defined)

Процессы и требования документально оформлены и доведены до сведения заинтересованных лиц

4.Управляемый и измеряемый (Managed and measurable)

Ведется мониторинг процессов в измеряемых показателях

5.Оптимизированный (Optimised)

Лучшие практики внедрены и автоматизированы

Про модель зрелости есть в РС 2.7, но без атрибутов и примеров (только уровни)

• Осведомленность и коммуникации

• Политики, планы и процедуры

• Инструменты и автоматизация

• Навыки и квалификация

• Ответственность и подотчетность

• Цели и измерение

Атрибуты зрелости по COBIT4.1

Атрибуты зрелости по COBIT4.1

• Проще для понимания и описания

• Субъективнее

• Более известная и проверенная временем

• Больше примеров и рекомендаций

• К модели из COBIT5 пока не готовы (ориентир на результат)…

Почему модель из COBIT4.1,

а не COBIT5?

COBIT 5 Process

Capability Model

COBIT 4.1 Maturity

Model

COBIT Self-Assessment Guide: Using COBIT 5

+Toolkit

COBIT Assessor Guide: Using COBIT 5

+Toolkit

• ISO/IEC 15504-1:2004 «Information technology -- Process assessment -- Part 1: Concepts and vocabulary» (withdrawn)

• ISO/IEC 15504-2:2003 «Information technology -- Process assessment -- Part 2: Performing an assessment» (withdrawn)

• ISO/IEC 15504-3:2004 «Information technology -- Process assessment -- Part 3: Guidance on performing an assessment»

• ISO/IEC 15504-4:2004 «Information technology -- Process assessment -- Part 4: Guidance on use for process improvement and process capability determination»

• ISO/IEC 15504-5:2012 «Information technology -- Process assessment -- Part 5: An exemplar software life cycle process assessment model»

• ISO/IEC 15504-6:2013 «Information technology -- Process assessment -- Part 6: An exemplar system life cycle process assessment model»

• ISO/IEC TS 15504-8:2012 «Information technology -- Process assessment -- Part 8: An exemplar process assessment model for IT service management»

• ISO/IEC TS 15504-9:2011 «Information technology -- Process assessment -- Part 9: Target process profiles»

• ISO/IEC TS 15504-10:2011 «Information technology -- Process assessment -- Part 10: Safety extension»

• ISO/IEC TR 20000-4:2010 «Information technology -- Service management -- Part 4: Process reference model»

ISO

• ГОСТ Р ИСО/МЭК 15504-1-2009 «Информационные технологии. Оценка процессов. Часть 1. Концепция и словарь»

• ГОСТ Р ИСО/МЭК 15504-2-2009 «Информационная технология. Оценка процесса. Часть 2. Проведение оценки»

• ГОСТ Р ИСО/МЭК 15504-3-2009 «Информационная технология. Оценка процесса. Часть 3. Руководство по проведению оценки»

• ГОСТ Р ИСО/МЭК 15504-4-2012 «Информационная технология. Оценка процесса. Часть 4. Руководство по применению для улучшения и оценки возможностей процесса»

• ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса»

ГОСТы

COBIT 5 Process Capability Model

Maturity Model & Capability Model

Давайте вернемся к документу

«DLP Maturity Model – Модель

зрелости DLP»

Модель зрелости DLP позволяет оценить текущий статус (уровень) использования DLP-систем в организации и определить дальнейшие шаги по совершенствованию подходов по защите информации от утечки

Использование модели обеспечивает:

• Культуру постоянного улучшения ИБ

• Результативное использование DLP

• Оптимизацию ресурсов (выбор правильных приоритетов), эффективное использование DLP

• Гармонизацию «лучших практик» InfoWatch

Определение атрибутов

Улучшение ИБ

Оценка зрелости

мотивирует

может вызвать

приводит к приводит к

PRE-DLP DLP POST-DLP

0 текст текст текст

1 текст текст текст

2 текст текст текст

3 текст текст текст

4 текст текст текст

5 текст текст текст

5 страниц текста, 4 из которых занимает таблица вида:

Гармонизация подходов

Концепция InfoWatch «Идеальная система»

DLP

POST- DLP

PRE- DLP

DLP

POST- DLP

PRE- DLP

1. Анализ информационных потоков: Инвентаризация и классификация информации

2. Анализ системы ИБ («Что уже сделано?»)

3. Оценка и анализ угроз / рисков

4. Документирование правил и процедур работы с информацией ограниченного доступа

5. Построение режима КТ…

6. Документирование Политик и Процедур ИБ

7. Внедрение базовых мер ИБ (минимизация прав доступа, АВЗ, шредеры, и физ.безопасность оборудования и пр.)

8. Повышение осведомленности и обучение персонала

9. Разработка процедуры реагирования на инциденты (+см.POST-DLP)

«PRE-DLP»

1. Принятие решение о внедрении DLP – Анализ угроз / Рисков; Оценка стоимости утечки информации (см.PRE-DLP)

– Соответствие требованиям (Compliance)

– Понимание целей и задач («Потребители» DLP)

2. Проектирование системы

3. Внедрение и Базовая настройка DLP

4. Пилотное внедрение

5. Регламентация работы с системой

6. Использование DLP

7. Точная настройка DLP под задачи: – Блокировка/мониторинг

– DLP Discovery (InfoWatch Crawler)

– Точная настройка ролей (процедуры внутренний аудит и управление инцидентами)

– Точная настройка событий системы

– Точная настройка БКФ и других технологий анализа

8. Применение при внутренних аудитах

9. Анализ и измерение ИБ

10. Регулярное совершенствование

«DLP»

DLP

POST- DLP

PRE- DLP

• Реагирование на инциденты:

– Анализ / Расследование

– Сбор и оформление доказательной базы

– «Управленческое решение» по отношению к сотрудникам

• Судебная практика:

– Трудовые споры (со стороны уволенных сотрудников)

– Возмещение ущерба

– Преследование «по закону» (УК РФ: ст.183 + ст.272, 273, 274)

«POST-DLP»

DLP

POST- DLP

PRE- DLP

Важно: успеть в срок (по ТК РФ 1-6 месяцев), правильно собрать и оформить доказательную базу

• Организация не осознает необходимость в защите информации от утечки.

• Этот вопрос даже не обсуждается.

• Ответственный за обеспечение ИБ не определен.

• Перечень информации ограниченного доступа не определен.

• Правила обработки информации ограниченного доступа не определены.

• Подходы по разграничению доступа сотрудников к информации и информационным система не определены.

PRE-DLP, 0

• Организация осознает необходимость мониторинга и/или блокировки отдельных каналов утечки информации. Однако степень этого осознания зависит от конкретных сотрудников / подразделений и не поддерживается (или слабо поддерживается) руководством.

• Внедрены отдельные средства защиты, позволяющие блокировать каналы передачи информации и/или производить теневое копирование.

• Цели внедрения таких средств защиты не определены, оценка результатов не проводится.

• Информация об инцидентах и событиях, генерируемая системами защиты, практически не анализируется.

• Необходимые навыки ИТ и ИБ персонала не определены. Нет плана по обучению, формальное обучение не проводится.

DLP, 1

• Производятся пилотные внедрения DLP-систем и тестирование их работы. При этом обычно программа и методика испытаний определена разработчиком / интегратором.

• Внедряется DLP-система с минимальными настройками, «DLP из коробки».

• Цели внедрения DLP-систем не определены/не согласованы.

• Настройка DLP-системы зависит от знаний и мотивации отдельных сотрудников.

• Определены минимальные требования по навыкам ИТ и ИБ персонала. Обучение производится по мере необходимости.

DLP, 2

• В организации разработана модель угроз утечки информации и проведена оценка рисков. Внедрены и/или запланировано внедрение необходимых мер защиты.

• Документированы основные требования и процессы обработки и защиты информации ограниченного доступа, в частности положения:

– о предоставлении и контроле доступа; – о парольной защите; – об антивирусной защите; – об использовании информационных систем и средств обработки информации; – о политике чистых столов и экранов; – об использовании системы мониторинга и контроля передачи и хранения информации

ограниченного доступа. • Сотрудники ознакомлены с перечнем информации ограниченного доступа и правилам обработки

такой информации под роспись. • Сотрудники подписали соглашения о неразглашении информации ограниченного доступа. • На бумажных документах проставлены грифы конфиденциальности (при необходимости). • В организации установлен режим коммерческой тайны (при необходимости). • В организации реализовано ограничение доступа к информации ограниченного доступа, путем

установления порядка обращения с этой информацией и контроля за соблюдением такого порядка, ведется учет лиц, получивших к ней доступ.

• При передаче информации ограниченного доступа третьим лицам подписываются соглашения о неразглашении.

• Внедрены процессы обучения и повышения осведомленности по вопросам информационной безопасности, эти процессы поощряются руководством.

• Эпизодически проводятся внутренние аудиты информационной безопасности. • Для некоторых процессов управления и обеспечения информационной безопасности определены и

собираются метрики и KPI, но делается это не регулярно.

PRE-DLP, 3

• Отчеты DLP-системы оптимизированы под цели и задачи информационной безопасности.

• Правила реагирования на события оптимизированы по ролям («сотрудники в зоне риска», критичные подразделения и пр.).

• Определены, собираются и анализируются ключевые метрики и KPI.

• Производится интеграция DLP с другими системами (например, SIEM, СКУД, и пр.).

• Печень задач, решаемых с помощью DLP-системы, может быть расширен (например, выявление экономических преступлений, анализ поведения сотрудников, анализ процессов обмена и хранения информации и пр.).

• Уровень ошибок (ложноположительные и ложноотрицательные срабатывания) снижен до утвержденного уровня.

DLP, 4

• В случае инцидента немедленно применяются формализованные и автоматизированные процедуры реагирования.

• Процессы оптимизированы до уровня «лучших практик», они базируются на результатах непрерывного совершенствования и сравнения с другими организациями.

• Ведется прогнозирование возможных инцидентов на основе поведенческого анализа, ведется проактивное реагирование.

POST-DLP, 5

1. Прочитать документ, посмотреть на использование DLP системно

2. Оценить текущий уровень зрелости

3. Определить задачи, которые нужно решить, чтобы достичь следующего уровня

4. Спросить рекомендации InfoWatch (при необходимости)

5. Повысить уровень зрелости

Как работать с документом?

InfoWatch помогает повышать зрелость процессов ИБ

Смотрите наши вебинары

серии DLP-Hero

http://www.infowatch.ru/webinar/dlp-hero

…

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22

Андрей Прозоров, CISM Моя почта: Andrey.Prozorov@infowatch.com

Мой твиттер: twitter.com/3dwave

Мой блог: 80na20.blogspot.com