solarsecurity.ru +7 (499) 755-07-70 1

DLP-системы как инструмент проведения

расследований

Прозоров Андрей, CISMРуководитель экспертного направления

solarsecurity.ru +7 (499) 755-07-70 2

Solar Dozor соответствует требованиям и рекомендациям ФСТЭК России

ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать: выявление фактов неправомерной передачи защищаемой информации из информационной системы

через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;

выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;

выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;

контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;

выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования к усилению в информационной системе должно осуществляться хранение всей передаваемой из

информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;

в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ.

Меры защиты информации в государственных ИС

solarsecurity.ru +7 (499) 755-07-70 3

Формального наличия функционала DLP конечным Заказчикам уже не достаточно…

solarsecurity.ru +7 (499) 755-07-70 4

Заказчикам интересно

Как правильно использовать DLP? Что делать в случае выявления

инцидента ИБ (ЭБ)? Как правильно проводить

расследование инцидентов и собирать доказательную базу для суда?

solarsecurity.ru +7 (499) 755-07-70 5

48 слайдов презентацииhttp://www.slideshare.net/AndreyProzorov/dozor-v13-51487311

solarsecurity.ru +7 (499) 755-07-70

Процедура управления инцидентами (DLP)

6

1.Обнаружение и регистрация событий системой DLP

2.Выявление инцидентов

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

3.Оперативное реагирование на

инцидент

Осно

вной

ф

ункц

иона

л DL

P DL

P по

мога

ет

solarsecurity.ru +7 (499) 755-07-70

Ограничение по времени реагирования по ТК РФ

7

1.Обнаружение и регистрация событий системой DLP

2.Выявление инцидентов

4.Расследование инцидента

5.Реагирование на инцидент

6.Анализ причин инцидента и «полученных уроков»

3.Оперативное реагирование на

инцидент6 мес.

1 мес.

solarsecurity.ru +7 (499) 755-07-70 8

Что уже было, что появилось…Solar Dozor 5.0.4 Solar Dozor 6.0

1. Сильные технологии контентного анализа

2. Автоматизированная процедура управления событиями и инцидентами

3. Удобный рабочий стол офицера ИБ

4. «Уровень доверия» («Карма»)5. «Досье» (на субъекта)6. Интерактивный «Граф связей»7. Снимки экрана8. Отчеты9. Поиск (сложные поисковые

запросы, «поиск похожих», умный поиск, поиск по тегам и пр.)

10.Crawler (DLP Discovery, инспектор файловых ресурсов)

11.Возможность блокировки

1. Интерфейс нового поколения (интерактивный ситуационный центр по внутренним угрозам)

2. «Досье» на информационные объекты

3. Действительно быстрый поиск

4. Новые возможности выявления аномалий поведения (например, нетиповые контакты, шаблоны запросов и пр.)

5. Расширенный функционал «Досье» (теперь и на группу)

и другое…

solarsecurity.ru +7 (499) 755-07-70 9Подробнее

…

solarsecurity.ru +7 (499) 755-07-70 10

4 типовых рабочих стола

Аналитик Аналитик Политики Руководитель Системный

администратор

#1

solarsecurity.ru +7 (499) 755-07-70 11

Типовые сценарии работы с DLP

1. Регулярный мониторинг событий2. Расследование инцидентов

#1

solarsecurity.ru +7 (499) 755-07-70 12

Фокус внимания на самое важное

События и

инциденты

Люди

Информация

#1

solarsecurity.ru +7 (499) 755-07-70 13

Оптимизирован и для мобильных устройств

#1

solarsecurity.ru +7 (499) 755-07-70 14

Информационный объект – группа документов и информационных сообщений определенной тематикиНапример: протоколы совещаний, резюме, стратегии и планы…

#2

solarsecurity.ru +7 (499) 755-07-70 15

Про информационные объекты

Можно использовать типовые или создавать самостоятельно

В информационном объекте отображаются ВСЕ файлы

«Досье» на объект: События Коммуникации Места хранения

#2

solarsecurity.ru +7 (499) 755-07-70 16

Действительно быстрый поиск! Меньше 1 секунды для архивав 17 млн. сообщений

#3

solarsecurity.ru +7 (499) 755-07-70 17

Еще про поиск

Поиск: Сообщения, Файлы, Персоны, События и инциденты

3 типа поиска: Быстрый (в стиле поисковых систем), По шаблону, Расширенный поиск

Запросы поиска можно сохранять в виде Шаблонов или сразу строить Отчеты

Сохраняется история поиска

#3

solarsecurity.ru +7 (499) 755-07-70 18

Но давайте перейдемк демонстрации…