solar security. Андрей Прозоров. "Процедура реагирования...

Прозоров Андрей, CISMРуководитель экспертного направления

Компания Solar Security

Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

Код ИБ Алматы 2016-03-03

Процедура реагирования на инциденты ИБ.

Утечки информации

solarsecurity.ru +7 (499) 755-07-70

Почему эта тема?

Про DLP рассказывают слишком много про «Зачем», но мало про «Как» и «Как лучше»

Не достаточно просто внедрить DLP, необходимо использовать лучшие методологии (документирование правил, настройки DLP, процедура реагирования на инциденты и пр.)

Мы, как ответственная компания, даем не только «Инструмент», но и «Рекомендации» по работе с ним

Про DLP мы уже много говорили…

http://80na20.blogspot.ru

«Лучшие практики» по упр.инцидентами

ISMS ITSM• Выписка из ISO/IEC

27002:2013 (A.16 Information security incident management)

• Выписка из NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR - Incident Response)

• ISO/IEC 27035:2011 • NIST SP 800-61 Rev. 2 Computer

Security Incident Handling Guide• ENISA Good Practice Guide for

Incident Management• РС БР ИББС-2.5-2014 Менеджмент

инцидентов ИБ

• Процессы COBIT5 (книги COBIT5 Enabling Processes и COBIT5 for Information Security):• DSS 02 Manage Service Requests

and Incidents• DSS 03 Manage Problems

• Процессы ITIL (книга Service operation):• Event management• Incident management• Problem management

• Процессы ISO 20000: • Incident Management• Problem management

Термины по ISO 27000 (ГОСТ 27000-2012)

Событие ИБ – выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики обеспечения ИБ, нарушение или отказ мер и средств контроля и управления или прежде неизвестная ситуации, которая может иметь значение для безопасности.

Инцидент ИБ – одно или несколько нежелательных или неожиданных событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнеса и создают угрозы для ИБ.

Типовые инциденты, выявляемые DLP (утечки информации и внутрикорпоративное мошенничество)

Увольняющийся сотрудник скопировал на флешку все, что с мог достать (наработки, методологии, базу клиентов, проектную документацию, стратегии и планы)

Сотрудник отдела закупок договорился с поставщиком о завышении закупочных цен при условии личной мотивации (откат)

Операционист в банке пересылает заявления на кредиты своему коллеге в конкурирующем банке, который переманивает этих клиентов, делая целевые контрпредложения

Сотрудник одела продаж некоторые заказы проводит через свою фирму

Секретарь регулярно пересылает протоколы совещаний руководства на незнакомый внешний ящик электронной почты

Типовые сценарии работы с DLP

1. Регулярный мониторинг событий (М)2. Расследование инцидентов (Р)

Зачем это нужно?

Не каждое «событие» переходит в «инцидент» (М) Инциденты важно вовремя выявить и обработать (ограничения

для дисциплинарных наказаний по ТК РК) (М) Не за все «утечки» можно наказать строго (например, при записи

информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)

Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)

Можно выявить аномальное поведение и связи (М, Р) Можно выявить всех участников (Р)

Управление событиями и инцидентами DLP

Helicopter View

Давайте поднимемся еще на один уровень. Посмотрим на место DLP в общей процедуре реагирования на инциденты.

Процедура управления инцидентами (DLP)

1.Обнаружение и регистрация событий системой DLP

2.Выявление инцидентов

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

3.Оперативное реагирование на инцидент

Ограничение по времени реагированияпо ТК РФ и ТК РК

6 мес.

1 мес.

solarsecurity.ru +7 (499) 755-07-70 13

Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним

Но об этом позже…

Как DLP понимает события?

Контекстный анализ

Активность (дата/время, периодичность, частота) Отправитель (права пользователя, группы (втч под

особым контролем, например, «На увольнении») и роли)

Получатель (внутренний/внешний, знакомый/неизвестный, «из перечня» и пр.)

Канал передачи, протокол передачи, тип приложения Местоположение

(географическое и аппаратное)

Контентный анализ

Анализ вложения (тип вложения (формат), наименование файла, размер, цифровые отпечатки бинарных файлов, свойства файлов)

Регулярные выражения, БКФ и другие лингвистические методы (например, выявление опечаток и транслитерации)

Идентификаторы / текстовые объекты по определенной структуре (ИНН, номер паспорта, номер кредитной карты и пр.)

Шаблоны документов / документы по определенной структуре (анкеты, протоколы, заявления и пр.)

Цифровые отпечатки (текст) и выгрузки из БДАнализ изображений и схем (сканы паспортов, кредитные

карты, карты местности, схемы, подписи, печати и штампы и пр.)

Цифровые метки

Задача DLP - упростить дальнейшую работу

аналитика

Что запускает работу ИБ?

Источник Оперативность

1. Оповещение по email Высокая

2. Оповещение в системе DLP Высокая

3. Оповещение по SMS Высокая

4. Информация на рабочем столе (Dashboard) Средняя

5. Информация из автоматического регулярного отчета Средняя

6. Информация из отчетов по запросу Низкая

7. Регулярный мониторинг и анализ Низкая

8. Внешняя информация об инциденте Низкая

9. Запрос со стороны руководства / заинтересованных лиц Низкая

10. «Чутье» (Подозрение на инцидент) Низкая

11. Скука / Интерес Низкая

Задача DLP - упростить работу аналитика

Рабочий стол офицера ИБ (v.6)

1. Регулярный мониторинг событий2. Расследование инцидентов

Фокус внимания на самое важное

Досье на информационные объекты:• места хранения• каналы передачи• отправители и

получатели

Досье на персон и группы:• Общая

информация• События и

инциденты• Граф-связей• Уровень доверия

(«карма»)

• Канал передачи• Сработавшая политика• Отправители и получатели

Оперативное реагирование

Технические Организационные• Блокировка передачи

(с уведомлением / без уведомления)

• Блокировка передачи до подтверждения

• Отправка сообщения с реконструкцией:• Удаление информации

ограниченного доступа• Замена информации на

предупреждение• Добавление предупреждения

• Блокирование доступа к ИС• Оповещение службы охраны /

ЧОП

• Получение объяснительной• Изъятие оборудования*• Досмотр*• Обращение в

правоохранительные органы• Задержание до выяснения*

Задача DLP – оперативно среагировать на событие

(обычно блокировка)

Задача DLP - упростить работу аналитика

Инструменты расследования DLP

1. Детальная информация об инциденте2. Архив сообщений3. «Досье» (на субъекта или группу)4. «Уровень доверия» («Карма»)5. Интерактивный «Граф связей» 6. «Досье» на информационные объекты7. Поиск 8. Снимки экрана9. Отчеты

Контроль персон. Досье

Досье

Обогащение досье

Общая информацияОбщая информация Адресная информация

Адресная информация

СвязиСвязи

Профиль поведенияПрофиль поведенияУровень доверияУровень доверия

Организационно-штатная структура

Основная информация в Досье

Интерактивный Граф связей

«Уровень доверия» (неоф. «Карма»)

Информационный объект – группа документов и информационных сообщений определенной тематики

Например: протоколы совещаний, резюме, стратегии и планы…

Информационные объекты: события

Информационные объекты: коммуникации

По каким каналам передавался информационный объект и кем?

Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями

Пример модели принятия решения по инциденту (по сумме баллов)

1. Какова величина ущерба?Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1

2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0

3. Какой уровень доверия к сотруднику?Низкий – 3; Обычный – 1; Высокий – 0

4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0

5. Какова вероятность, что инцидент повториться у этого сотрудника?Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0

до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В

Решение в случае виновности сотрудника (РК)

1. Перевод в группу «Особый контроль»2. Запрос письменного объяснения3. Профилактическая беседа4. Лишение благ и привилегий (втч и лишение прав доступа)5. Дисциплинарные взыскания:

замечание выговор строгий выговор

расторжение трудового договора по инициативе работодателя

6. Расторжение ТД по инициативе работника / по соглашению сторон / по инициативе работодателя

7. Возмещение ущерба8. Уголовное преследование9. Прочее

Б) По решению руководства и HR

В) По решению руководства, HR, юристов и ИБ.

Необходимо четкое понимание процедур и

высокий уровень «бумажной

безопасности»

А) По решению ИБ

Дисциплинарные взыскания по ТК РК от 01.2016

ТК РК ст.64-66 1 дисциплинарный проступок – 1 дисциплинарное взыскание Не позднее 6 месяцев со дня совершения проступка Не позднее 1 месяца со дня обнаружения проступка

Необходимо запросить от работника письменное объяснение. Непредоставление работником объяснения не является препятствием для применения дисциплинарного взыскания

Акт о наложении дисциплинарного взыскания объявляется работнику, подвергнутому дисциплинарному взысканию, под роспись в течение трех рабочих дней со дня его издания

Срок действия дисциплинарного взыскания не может превышать шесть месяцев со дня его применения

ТК РК Статья 52. Основания расторжения трудового договора по инициативе работодателя

2) сокращения численности или штата работников

4) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации

7) отрицательного результата работы в период испытательного срока

8) отсутствия работника на работе без уважительной причины в течение трех и более часов подряд за один рабочий день (рабочую смену)

9) нахождения работника на работе в состоянии алкогольного, наркотического, психотропного, токсикоманического опьянения (их аналогов), в том числе в случаях употребления в течение рабочего дня веществ, вызывающих состояние алкогольного, наркотического, токсикоманического опьянения (их аналогов)

10) отказа от прохождения медицинского освидетельствования для установления факта употребления веществ, вызывающих состояние алкогольного, наркотического, токсикоманического опьянения, подтвержденного соответствующим актом

13) совершения виновных действий или бездействия работника, обслуживающего денежные или товарные ценности, если эти действия или бездействие дают основания для утраты доверия к нему со стороны работодателя

15) разглашения работником сведений, составляющих государственные секреты и иную охраняемую законом тайну, ставших ему известными в связи с выполнением трудовых обязанностей 16) повторного неисполнения или повторного ненадлежащего исполнения без уважительных причин трудовых обязанностей работником, имеющим дисциплинарное взыскание

На что обратить внимание при увольненииза разглашение

Соблюдение процедуры увольнения и особенно сроков Наличие факта разглашения Наличие «режима защиты информации» (перечень защищаемой

информации, соглашения, правила обработки и защиты и пр.) Вопросы конституционных прав…

Статья 18 Конституции РК1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.2. Каждый имеет право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничения этого права допускаются только в случаях и в порядке, прямо установленных законом.

Будет ли преследование у уголовном порядке? Будет ли возмещение ущерба? Кстати, ТК РК «гуманнее» к

работодателю, чем ТК РФ. Например, есть положения о «нарушении условия о неконкуренции»…

Статьи УК РФ и УК РК

УК РФ УК РКСтатья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайнуСтатья 185.6. Неправомерное использование инсайдерской информацииСтатья 147. Нарушение изобретательских и патентных правСтатья 159. МошенничествоСтатья 163. ВымогательствоСтатья 272. Неправомерный доступ к компьютерной информацииСтатья 273. Создание, использование и распространение вредоносных компьютерных программСтатья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетейСтатья 276. ШпионажСтатья 283. Разглашение государственной тайны

Статья 223. Незаконные получение и разглашение сведений, составляющих коммерческую, банковскую тайну, а также информации, связанной с легализацией имущества Статья 321. Разглашение врачебной тайныСтатья 230. Незаконные действия в отношении инсайдерской информацииСтатья 199. Нарушение прав на изобретения, полезные модели, промышленные образцы, селекционные достижения или топологии интегральных микросхемСтатья 190. МошенничествоСтатья 194. Вымогательство Статья 205. Неправомерный доступ к информации, в информационную систему или сеть телекоммуникацийСтатья 206. Неправомерные уничтожение или модификация информации Статья 207. Нарушение работы информационной системы или сетей телекоммуникаций Статья 208. Неправомерное завладение информациейСтатья 209. Принуждение к передаче информацииСтатья 210. Создание, использование или распространение вредоносных компьютерных программ и программных продуктовСтатья 211. Неправомерное распространение электронных информационных ресурсов ограниченного доступаСтатья 176. Шпионаж Статья 185. Незаконное собирание, распространение, разглашение государственных секретов Статья 186. Утрата носителей сведений, содержащих государственные секреты

Что после реагирования?

Подготовка и передача материалов на хранение (архив) Анализ причин инцидента Подготовка итогового отчета (при необходимости) Проведение итогового совещания (при необходимости) Награждение (или наказание) участников процедуры управления

инцидентами (при необходимости) Решение о том, «что делать дальше»

Что дальше?

Ничего, все молодцы Проведение Аудита ИБ и/или дополнительных проверок Совершенствование процедуры управления инцидентами Совершенствование системы ИБ:

Пересмотр прав доступа Пересмотр требований по обработке и хранению информации Обучение и повышение осведомленности: «Точная» настройка СЗИ Внедрение новых мер и СЗИ …

Пересмотр кадровой политики (процедура найма и увольнения, мотивация персонала, корпоративная культура)

Изменение бизнес-процессов

Обучение и повышение осведомленности

Кто? Тематики

Рядовые пользователи

• Правила работы с информацией и средствами обработки• Базовые требования по защите информации• Кейсы (типовые ошибки, соц.инженерия)• Ответственность

ИТ и ИБ-специалисты

• Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов• Сбор цифровых доказательств• Работа со средствами мониторинга и защиты информации

HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала

• Судебная практика• Развитие корпоративной культуры• Compliance (соблюдение требований)

Менеджмент • Кейсы (инциденты и ущерб)• Базовые рекомендации по защите информации

Процедура управления инцидентами (DLP)

Үлкен рахмет!

Прозоров Андрей, CISM

Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

solar security. Андрей Прозоров. "Процедура реагирования...

Software

прозоров иван

Презентация кнопки экстренного...

Лев Прозоров Святослав Хоробре. ...

Программа быстрого реагирования

Территориальные системы...

Сайт как инструмент...

solar security. Прозоров Андрей. "Защита...

пр общая проблематика dlp...

Национальная...

Как и зачем классифицировать...

Реагирование на инциденты...

Создание службы реагирования на...

пр стандарты и «лучшие практики»...

cистема быстрого реагирования по...

Реагирование на инциденты...

Услуга немедленного...

пр Тренды ИБ в России 2016...

пр актуальные угрозы в сети ...

solar security. Андрей Прозоров. "Защит...

Андрей Прозоров (infowatch) - Практика...