SlideShare une entreprise Scribd logo

Как реагировать на инциденты ИБ с помощью DLP?

Solar Security
Solar Security

Как реагировать на инциденты ИБ с помощью DLP?

Technologie
1  sur  48
Télécharger pour lire hors ligne
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor v.1.3 2015-08
solarsecurity.ru +7 (499) 755-07-70 Термины по ГОСТ 27000-2012 2  Событие ИБ – выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики обеспечения ИБ, нарушение или отказ мер и средств контроля и управления или прежде неизвестная ситуации, которая может иметь значение для безопасности.  Инцидент ИБ – одно или несколько нежелательных или неожиданных событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнеса и создают угрозы для ИБ.
solarsecurity.ru +7 (499) 755-07-70 Типовые инциденты, выявляемые DLP (утечки информации и внутрикорпоративное мошенничество) 3  Увольняющийся сотрудник скопировал на флешку все, что с мог достать (наработки, методологии, базу клиентов, проектную документацию, стратегии и планы)  Сотрудник отдела закупок договорился с поставщиком о завышении закупочных цен при условии личной мотивации (откат)  Операционист в банке пересылает заявления на кредиты своему коллеге в конкурирующем банке, который переманивает этих клиентов, делая целевые контрпредложения  Сотрудник одела продаж некоторые заказы проводит через свою фирму  Секретарь регулярно пересылает протоколы совещаний руководства на незнакомый внешний ящик электронной почты  …
solarsecurity.ru +7 (499) 755-07-70 Управление событиями и инцидентами DLP 4
solarsecurity.ru +7 (499) 755-07-70 Процедура управления инцидентами (DLP) 5 1. Обнаружение и регистрация событий ИБ 2. Категорирование событий, сбор дополнительной информации и выявление инцидентов ИБ 3. Оперативное реагирование на инцидент 4. Разбор (расследование) инцидента 5. Реагирование на инцидент 6. Анализ причин инцидента и «полученных уроков», подготовка рекомендаций по повышению общего уровня ИБ (при необходимости)
solarsecurity.ru +7 (499) 755-07-70 Процедура управления инцидентами (DLP) 6 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 Ограничение по времени реагирования по ТК РФ 7 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент 6 мес. 1 мес.
solarsecurity.ru +7 (499) 755-07-70 8 1. Обнаружение и регистрация событий
solarsecurity.ru +7 (499) 755-07-70 Концептуальная архитектура решения 9
solarsecurity.ru +7 (499) 755-07-70 Контролируемые каналы 10 Корпоративная почта Файловое хранилище Web Рабочие станции Файлы на ПК и общедоступных ресурсах, FTP Соцсети Web-почта Резюме IM MRA IRC ICQ MSN XMPP ПринтерыUSB Буфер обмена
solarsecurity.ru +7 (499) 755-07-70 Рекомендации ФСТЭК России по функционалу DLP 11 ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:  выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;  выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;  выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;  выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;  контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;  выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы). Требования к усилению  в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;  в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ. Меры защиты информации в государственных ИС
solarsecurity.ru +7 (499) 755-07-70 Как DLP понимает события? 12 Контентный анализ Контекстный анализ
solarsecurity.ru +7 (499) 755-07-70 Контекстный анализ 13  Дата/Время  Отправитель (права пользователя, группы (втч под особым контролем, например, «На увольнении») и роли)  Получатель (внутренний/внешний, знакомый/неизвестный, «из перечня» и пр.)  Канал передачи  Местоположение (географическое и аппаратное)
solarsecurity.ru +7 (499) 755-07-70 Контентный анализ 14 Технологии анализа Комментарии Шаблоны документов Поиск документов определенной структуры и содержания + поиск подобных Цифровые отпечатки • Текст • Бинарные файлы Идентификаторы Например, номера паспорта, телефона, кредитной карты, ИНН и пр. (~50 категорий) Дополнительные проверки Тип вложения (формат), наименование файла, объем, регулярные выражения + внешние скрипты для специальных проверок (например, выявление наложенных слоев на геокартах) Фотографии и картинки проверяются с использованием технологии OCR (позволяет выявлять и понимать текст)
solarsecurity.ru +7 (499) 755-07-70 15 2. Выявление инцидентов
solarsecurity.ru +7 (499) 755-07-70 Что запускает работу специалиста ИБ? 16 Источник Оперативность 1. Оповещение по email Высокая 2. Оповещение в системе DLP Высокая 3. Оповещение по SMS Высокая 4. Информация на рабочем столе (Dashboard) Средняя 5. Информация из автоматического регулярного отчета Средняя 6. Информация из отчетов по запросу Низкая 7. Регулярный мониторинг и анализ Низкая 8. Внешняя информация об инциденте Низкая 9. Запрос со стороны руководства / заинтересованных лиц Низкая 10. «Чутье» (Подозрение на инцидент) Низкая 11. Скука / Интерес Низкая
solarsecurity.ru +7 (499) 755-07-70 Рабочий стол офицера ИБ (v.5.0.4) 17
solarsecurity.ru +7 (499) 755-07-70 Основные элементы консоли (v.5.0.4) 18  Распределение событий по критичности и по времени  Перечень ТОП нарушителей  Лента последних событий  Статистика нарушений:  правила политики  каналы утечки  тип угроз
solarsecurity.ru +7 (499) 755-07-70 «Уровень доверия» (неоф. «Карма») 19
solarsecurity.ru +7 (499) 755-07-70 «Уровень доверия» (неоф. «Карма») 20  По каждому субъекту отображается «уровень доверия» и динамика его изменений (аномалии поведения)  Уровень доверия определяется на основании различных параметров выявленных событий (критичность инцидента, контекст, история событий и пр.) с использованием встроенных справочников  Уровни критичности событий в системе: критичный, высокий, средний, низкий, инфо  Одно и тоже событие для отправителя и получателя сообщения приведет к разному изменению уровня доверия (у отправителя, очевидно, измениться сильнее)  При необходимости можно изменять (повышать / понижать / замораживать) уровень доверия для конкретных субъектов  Можно делать выборку по всем сотрудниками или по конкретным группам (например, по отделу)
solarsecurity.ru +7 (499) 755-07-70 От событий к инцидентам (v.5.0.4) 21
solarsecurity.ru +7 (499) 755-07-70 От событий к инцидентам (v.5.0.4) 22  На каждый инцидент назначается ответственный для его расследования:  Расследование инцидента может быть отложенным Статус события Статус инцидента • новое • просмотрено • ошибочное срабатывание • открыт • закрыт • не инцидент
solarsecurity.ru +7 (499) 755-07-70 23 3. Оперативное реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 Оперативное реагирование 24 Технические Организационные • Блокировка передачи (с уведомлением / без уведомления) • Блокировка передачи до подтверждения • Отправка сообщения с реконструкцией: • Удаление информации ограниченного доступа • Замена информации на предупреждение • Добавление предупреждения • Блокирование доступа к ИС • Оповещение службы охраны / ЧОП • Получение объяснительной • Изъятие оборудования* • Досмотр* • Обращение в МВД России / ФСБ России • Задержание до выяснения*
solarsecurity.ru +7 (499) 755-07-70 25 4. Расследование инцидента
solarsecurity.ru +7 (499) 755-07-70 Инструменты расследования DLP 26 1. Детальная информация об инциденте 2. Архив сообщений 3. «Уровень доверия» 4. «Досье» (на субъекта) 5. Интерактивный «Граф связей» 6. Снимки экрана 7. Отчеты 8. Поиск
solarsecurity.ru +7 (499) 755-07-70 Контроль персон. Досье 27 Дось е Обогащение досье Общая информация Адресная информация Связи Профиль поведения Уровень доверия Организационно-штатная структура
solarsecurity.ru +7 (499) 755-07-70 Досье 28
solarsecurity.ru +7 (499) 755-07-70 Граф связей 29
solarsecurity.ru +7 (499) 755-07-70 Про поиск 30  Можем искать:  Коммуникации (сообщения)  Пересылаемые файлы  Персон, участвующих в переписке  Возможность создавать сложные поисковые запросы (более 50 атрибутов сообщений)  Реализован «поиск похожих» (сообщения со сходным содержанием)  Возможность поиска по пометкам в документах (аналог «тегов»)  "Умный поиск" - возможность в один клик создать поисковый запрос
solarsecurity.ru +7 (499) 755-07-70 31 5. Реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 32 1. Перевод в группу «Особый контроль» 2. Получение объяснительной 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 33 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
solarsecurity.ru +7 (499) 755-07-70 Дисциплинарные взыскания по ТК РФ 34 ТК РФ ст.192-193  1 дисциплинарный проступок – 1 дисциплинарное взыскание  Не позднее 6 месяцев со дня совершения проступка  Не позднее 1 месяца со дня обнаружения проступка  Необходимо запросить от работника письменное объяснение Статья 81. Расторжение трудового договора по инициативе работодателя 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника
solarsecurity.ru +7 (499) 755-07-70 Материальная ответственность по ТК РФ 35 ТК РФ ст.238-250  Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.  Работник несет материальную ответственность в пределах своего среднего месячного заработка. Если больше, то нужно судебное решение.
solarsecurity.ru +7 (499) 755-07-70 Статьи УК РФ 36  Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну  Статья 185.6. Неправомерное использование инсайдерской информации  Статья 147. Нарушение изобретательских и патентных прав  Статья 159. Мошенничество  Статья 163. Вымогательство  Статья 272. Неправомерный доступ к компьютерной информации  Статья 273. Создание, использование и распространение вредоносных компьютерных программ  Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- телекоммуникационных сетей  Статья 276. Шпионаж  Статья 283. Разглашение государственной тайны
solarsecurity.ru +7 (499) 755-07-70 Про доказательства для Суда 37 Важные:  По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебная записка об инциденте и Протокол заседания комиссии, рассматривающей инцидент. В документах следует указать краткое описание инцидента, оценку тяжести и обстоятельства совершенного проступка.  По УПК: Показания потерпевшего, свидетеля, Заключение и показания эксперта и Заключение и показания специалиста, Вещественные доказательства. Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчету рекомендуется приложить краткое описание решения с указанием сертификатов (подойдет брошюра от производителя).
solarsecurity.ru +7 (499) 755-07-70 38 6. Анализ причин инцидента и «полученных уроков»
solarsecurity.ru +7 (499) 755-07-70 Что после реагирования? 39  Подготовка и передача материалов на хранение (архив)  Анализ причин инцидента  Подготовка итогового отчета (при необходимости)  Проведение итогового совещания (при необходимости)  Награждение (или наказание) участников процедуры управления инцидентами (при необходимости)  Решение о том, «что делать дальше»
solarsecurity.ru +7 (499) 755-07-70 Что дальше? 40  Ничего, все молодцы  Проведение Аудита ИБ и/или дополнительных проверок  Совершенствование процедуры управления инцидентами  Совершенствование системы ИБ:  Пересмотр прав доступа  Пересмотр требований по обработке и хранению информации  Обучение и повышение осведомленности:  «Точная» настройка СЗИ  Внедрение новых мер и СЗИ  …  Пересмотр кадровой политики (процедура найма и увольнения, мотивация персонала, корпоративная культура)  Изменение бизнес-процессов
solarsecurity.ru +7 (499) 755-07-70 Обучение и повышение осведомленности 41 Кто? Тематики Рядовые пользователи • Правила работы с информацией и средствами обработки • Базовые требования по защите информации • Кейсы (типовые ошибки, соц.инженерия) • Ответственность ИТ и ИБ- специалисты • Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов • Сбор цифровых доказательств • Работа со средствами мониторинга и защиты информации HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала • Судебная практика • Развитие корпоративной культуры • Compliance (соблюдение требований) Менеджмент • Кейсы (инциденты и ущерб) • Базовые рекомендации по защите информации
solarsecurity.ru +7 (499) 755-07-70 42 Ключевые преимущества DLP Solar Dozor: • Автоматизированная процедура управления инцидентами • Удобные инструменты расследования инцидентов («Досье», «Граф связей», «Уровень доверия» и пр.) • Архив всех сообщений, эффективный Поиск и настраиваемые Отчеты
С уважением, Команда Solar Security http://solarsecurity.ru +7 (499) 755-07-70 info@solarsecurity.ru
Приложение А. Стандарты и «лучшие практики» по управлению инцидентами
solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами ИБ (eng 1) 45 Выписка из ISO/IEC 27002:2013 (A.16 Information security incident management) ISO/IEC 27035:2011 Information technology. Security techniques. Information security incident management. И проекты: CD 27035-1 Part 1: Principles of incident management CD 27035-2 Part 2: Guidelines to plan and prepare for incident response CD 27035-3 Part 3: Guidelines for CSIRT operations ISO/IEC 27037:2012 Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence ISO/IEC 27043:2015 Information technology. Security techniques. Incident investigation principles and processes
solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами ИБ (eng 2) 46 NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide NIST SP 800-83 Rev.1 Guide to Malware Incident Prevention and Handling for Desktops and Laptops NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response Выписка из NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR - Incident Response) ENISA Good Practice Guide for Incident Management Материалы SANS Institute InfoSec Reading Room. Incident Handling (более 100 документов)
solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами ИБ (rus) 47 РС БР ИББС-2.5-2014 Менеджмент инцидентов ИБ Выписка из СТО БР ИББС-1.0-2014 (8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности) ГОСТ Р ИСО/МЭК 27037-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме Устаревшие версии: Выписка из ГОСТ Р ИСО/МЭК 27002-2012 (А13. Менеджмент инцидентов ИБ) ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами (ITSM) 48 Процессы COBIT5 (книги COBIT5 Enabling Processes и COBIT5 for Information Security): DSS 02 Manage Service Requests and Incidents DSS 03 Manage Problems Процессы ITIL (книга Service operation): Event management Incident management Problem management Процессы ISO 20000: Incident Management Problem management

Recommandé

Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Solar Security
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 

Recommandé

Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Solar Security
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Solar Security
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для RiscAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Solar Security
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 

Contenu connexe

Tendances

спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Solar Security
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 

Tendances (18)

спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 

En vedette

Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Solar Security
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar Security
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБSolar Security
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угрозSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 

En vedette (20)

Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен быть
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБ
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угроз
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 

Similaire à Как реагировать на инциденты ИБ с помощью DLP?

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Expolink
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийSolar Security
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Solar Security
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролемKonstantin Beltsov
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)Expolink
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdftrenders
 
Вебинар: Next Generation DLP
Вебинар: Next Generation DLPВебинар: Next Generation DLP
Вебинар: Next Generation DLPDialogueScience
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Solar Security
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системExpolink
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системExpolink
 
Владимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системВладимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системExpolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 

Similaire à Как реагировать на инциденты ИБ с помощью DLP? (20)

пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
 
Вебинар: Next Generation DLP
Вебинар: Next Generation DLPВебинар: Next Generation DLP
Вебинар: Next Generation DLP
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
 
Владимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системВладимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-систем
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 

Как реагировать на инциденты ИБ с помощью DLP?

  • 2. solarsecurity.ru +7 (499) 755-07-70 Термины по ГОСТ 27000-2012 2  Событие ИБ – выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики обеспечения ИБ, нарушение или отказ мер и средств контроля и управления или прежде неизвестная ситуации, которая может иметь значение для безопасности.  Инцидент ИБ – одно или несколько нежелательных или неожиданных событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнеса и создают угрозы для ИБ.
  • 3. solarsecurity.ru +7 (499) 755-07-70 Типовые инциденты, выявляемые DLP (утечки информации и внутрикорпоративное мошенничество) 3  Увольняющийся сотрудник скопировал на флешку все, что с мог достать (наработки, методологии, базу клиентов, проектную документацию, стратегии и планы)  Сотрудник отдела закупок договорился с поставщиком о завышении закупочных цен при условии личной мотивации (откат)  Операционист в банке пересылает заявления на кредиты своему коллеге в конкурирующем банке, который переманивает этих клиентов, делая целевые контрпредложения  Сотрудник одела продаж некоторые заказы проводит через свою фирму  Секретарь регулярно пересылает протоколы совещаний руководства на незнакомый внешний ящик электронной почты  …
  • 4. solarsecurity.ru +7 (499) 755-07-70 Управление событиями и инцидентами DLP 4
  • 5. solarsecurity.ru +7 (499) 755-07-70 Процедура управления инцидентами (DLP) 5 1. Обнаружение и регистрация событий ИБ 2. Категорирование событий, сбор дополнительной информации и выявление инцидентов ИБ 3. Оперативное реагирование на инцидент 4. Разбор (расследование) инцидента 5. Реагирование на инцидент 6. Анализ причин инцидента и «полученных уроков», подготовка рекомендаций по повышению общего уровня ИБ (при необходимости)
  • 6. solarsecurity.ru +7 (499) 755-07-70 Процедура управления инцидентами (DLP) 6 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
  • 7. solarsecurity.ru +7 (499) 755-07-70 Ограничение по времени реагирования по ТК РФ 7 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент 6 мес. 1 мес.
  • 8. solarsecurity.ru +7 (499) 755-07-70 8 1. Обнаружение и регистрация событий
  • 9. solarsecurity.ru +7 (499) 755-07-70 Концептуальная архитектура решения 9
  • 10. solarsecurity.ru +7 (499) 755-07-70 Контролируемые каналы 10 Корпоративная почта Файловое хранилище Web Рабочие станции Файлы на ПК и общедоступных ресурсах, FTP Соцсети Web-почта Резюме IM MRA IRC ICQ MSN XMPP ПринтерыUSB Буфер обмена
  • 11. solarsecurity.ru +7 (499) 755-07-70 Рекомендации ФСТЭК России по функционалу DLP 11 ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:  выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;  выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;  выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;  выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;  контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;  выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы). Требования к усилению  в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;  в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ. Меры защиты информации в государственных ИС
  • 12. solarsecurity.ru +7 (499) 755-07-70 Как DLP понимает события? 12 Контентный анализ Контекстный анализ
  • 13. solarsecurity.ru +7 (499) 755-07-70 Контекстный анализ 13  Дата/Время  Отправитель (права пользователя, группы (втч под особым контролем, например, «На увольнении») и роли)  Получатель (внутренний/внешний, знакомый/неизвестный, «из перечня» и пр.)  Канал передачи  Местоположение (географическое и аппаратное)
  • 14. solarsecurity.ru +7 (499) 755-07-70 Контентный анализ 14 Технологии анализа Комментарии Шаблоны документов Поиск документов определенной структуры и содержания + поиск подобных Цифровые отпечатки • Текст • Бинарные файлы Идентификаторы Например, номера паспорта, телефона, кредитной карты, ИНН и пр. (~50 категорий) Дополнительные проверки Тип вложения (формат), наименование файла, объем, регулярные выражения + внешние скрипты для специальных проверок (например, выявление наложенных слоев на геокартах) Фотографии и картинки проверяются с использованием технологии OCR (позволяет выявлять и понимать текст)
  • 15. solarsecurity.ru +7 (499) 755-07-70 15 2. Выявление инцидентов
  • 16. solarsecurity.ru +7 (499) 755-07-70 Что запускает работу специалиста ИБ? 16 Источник Оперативность 1. Оповещение по email Высокая 2. Оповещение в системе DLP Высокая 3. Оповещение по SMS Высокая 4. Информация на рабочем столе (Dashboard) Средняя 5. Информация из автоматического регулярного отчета Средняя 6. Информация из отчетов по запросу Низкая 7. Регулярный мониторинг и анализ Низкая 8. Внешняя информация об инциденте Низкая 9. Запрос со стороны руководства / заинтересованных лиц Низкая 10. «Чутье» (Подозрение на инцидент) Низкая 11. Скука / Интерес Низкая
  • 17. solarsecurity.ru +7 (499) 755-07-70 Рабочий стол офицера ИБ (v.5.0.4) 17
  • 18. solarsecurity.ru +7 (499) 755-07-70 Основные элементы консоли (v.5.0.4) 18  Распределение событий по критичности и по времени  Перечень ТОП нарушителей  Лента последних событий  Статистика нарушений:  правила политики  каналы утечки  тип угроз
  • 19. solarsecurity.ru +7 (499) 755-07-70 «Уровень доверия» (неоф. «Карма») 19
  • 20. solarsecurity.ru +7 (499) 755-07-70 «Уровень доверия» (неоф. «Карма») 20  По каждому субъекту отображается «уровень доверия» и динамика его изменений (аномалии поведения)  Уровень доверия определяется на основании различных параметров выявленных событий (критичность инцидента, контекст, история событий и пр.) с использованием встроенных справочников  Уровни критичности событий в системе: критичный, высокий, средний, низкий, инфо  Одно и тоже событие для отправителя и получателя сообщения приведет к разному изменению уровня доверия (у отправителя, очевидно, измениться сильнее)  При необходимости можно изменять (повышать / понижать / замораживать) уровень доверия для конкретных субъектов  Можно делать выборку по всем сотрудниками или по конкретным группам (например, по отделу)
  • 21. solarsecurity.ru +7 (499) 755-07-70 От событий к инцидентам (v.5.0.4) 21
  • 22. solarsecurity.ru +7 (499) 755-07-70 От событий к инцидентам (v.5.0.4) 22  На каждый инцидент назначается ответственный для его расследования:  Расследование инцидента может быть отложенным Статус события Статус инцидента • новое • просмотрено • ошибочное срабатывание • открыт • закрыт • не инцидент
  • 23. solarsecurity.ru +7 (499) 755-07-70 23 3. Оперативное реагирование на инцидент
  • 24. solarsecurity.ru +7 (499) 755-07-70 Оперативное реагирование 24 Технические Организационные • Блокировка передачи (с уведомлением / без уведомления) • Блокировка передачи до подтверждения • Отправка сообщения с реконструкцией: • Удаление информации ограниченного доступа • Замена информации на предупреждение • Добавление предупреждения • Блокирование доступа к ИС • Оповещение службы охраны / ЧОП • Получение объяснительной • Изъятие оборудования* • Досмотр* • Обращение в МВД России / ФСБ России • Задержание до выяснения*
  • 25. solarsecurity.ru +7 (499) 755-07-70 25 4. Расследование инцидента
  • 26. solarsecurity.ru +7 (499) 755-07-70 Инструменты расследования DLP 26 1. Детальная информация об инциденте 2. Архив сообщений 3. «Уровень доверия» 4. «Досье» (на субъекта) 5. Интерактивный «Граф связей» 6. Снимки экрана 7. Отчеты 8. Поиск
  • 27. solarsecurity.ru +7 (499) 755-07-70 Контроль персон. Досье 27 Дось е Обогащение досье Общая информация Адресная информация Связи Профиль поведения Уровень доверия Организационно-штатная структура
  • 28. solarsecurity.ru +7 (499) 755-07-70 Досье 28
  • 29. solarsecurity.ru +7 (499) 755-07-70 Граф связей 29
  • 30. solarsecurity.ru +7 (499) 755-07-70 Про поиск 30  Можем искать:  Коммуникации (сообщения)  Пересылаемые файлы  Персон, участвующих в переписке  Возможность создавать сложные поисковые запросы (более 50 атрибутов сообщений)  Реализован «поиск похожих» (сообщения со сходным содержанием)  Возможность поиска по пометкам в документах (аналог «тегов»)  "Умный поиск" - возможность в один клик создать поисковый запрос
  • 31. solarsecurity.ru +7 (499) 755-07-70 31 5. Реагирование на инцидент
  • 32. solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 32 1. Перевод в группу «Особый контроль» 2. Получение объяснительной 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
  • 33. solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 33 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
  • 34. solarsecurity.ru +7 (499) 755-07-70 Дисциплинарные взыскания по ТК РФ 34 ТК РФ ст.192-193  1 дисциплинарный проступок – 1 дисциплинарное взыскание  Не позднее 6 месяцев со дня совершения проступка  Не позднее 1 месяца со дня обнаружения проступка  Необходимо запросить от работника письменное объяснение Статья 81. Расторжение трудового договора по инициативе работодателя 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника
  • 35. solarsecurity.ru +7 (499) 755-07-70 Материальная ответственность по ТК РФ 35 ТК РФ ст.238-250  Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.  Работник несет материальную ответственность в пределах своего среднего месячного заработка. Если больше, то нужно судебное решение.
  • 36. solarsecurity.ru +7 (499) 755-07-70 Статьи УК РФ 36  Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну  Статья 185.6. Неправомерное использование инсайдерской информации  Статья 147. Нарушение изобретательских и патентных прав  Статья 159. Мошенничество  Статья 163. Вымогательство  Статья 272. Неправомерный доступ к компьютерной информации  Статья 273. Создание, использование и распространение вредоносных компьютерных программ  Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- телекоммуникационных сетей  Статья 276. Шпионаж  Статья 283. Разглашение государственной тайны
  • 37. solarsecurity.ru +7 (499) 755-07-70 Про доказательства для Суда 37 Важные:  По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебная записка об инциденте и Протокол заседания комиссии, рассматривающей инцидент. В документах следует указать краткое описание инцидента, оценку тяжести и обстоятельства совершенного проступка.  По УПК: Показания потерпевшего, свидетеля, Заключение и показания эксперта и Заключение и показания специалиста, Вещественные доказательства. Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчету рекомендуется приложить краткое описание решения с указанием сертификатов (подойдет брошюра от производителя).
  • 38. solarsecurity.ru +7 (499) 755-07-70 38 6. Анализ причин инцидента и «полученных уроков»
  • 39. solarsecurity.ru +7 (499) 755-07-70 Что после реагирования? 39  Подготовка и передача материалов на хранение (архив)  Анализ причин инцидента  Подготовка итогового отчета (при необходимости)  Проведение итогового совещания (при необходимости)  Награждение (или наказание) участников процедуры управления инцидентами (при необходимости)  Решение о том, «что делать дальше»
  • 40. solarsecurity.ru +7 (499) 755-07-70 Что дальше? 40  Ничего, все молодцы  Проведение Аудита ИБ и/или дополнительных проверок  Совершенствование процедуры управления инцидентами  Совершенствование системы ИБ:  Пересмотр прав доступа  Пересмотр требований по обработке и хранению информации  Обучение и повышение осведомленности:  «Точная» настройка СЗИ  Внедрение новых мер и СЗИ  …  Пересмотр кадровой политики (процедура найма и увольнения, мотивация персонала, корпоративная культура)  Изменение бизнес-процессов
  • 41. solarsecurity.ru +7 (499) 755-07-70 Обучение и повышение осведомленности 41 Кто? Тематики Рядовые пользователи • Правила работы с информацией и средствами обработки • Базовые требования по защите информации • Кейсы (типовые ошибки, соц.инженерия) • Ответственность ИТ и ИБ- специалисты • Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов • Сбор цифровых доказательств • Работа со средствами мониторинга и защиты информации HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала • Судебная практика • Развитие корпоративной культуры • Compliance (соблюдение требований) Менеджмент • Кейсы (инциденты и ущерб) • Базовые рекомендации по защите информации
  • 42. solarsecurity.ru +7 (499) 755-07-70 42 Ключевые преимущества DLP Solar Dozor: • Автоматизированная процедура управления инцидентами • Удобные инструменты расследования инцидентов («Досье», «Граф связей», «Уровень доверия» и пр.) • Архив всех сообщений, эффективный Поиск и настраиваемые Отчеты
  • 43. С уважением, Команда Solar Security http://solarsecurity.ru +7 (499) 755-07-70 info@solarsecurity.ru
  • 44. Приложение А. Стандарты и «лучшие практики» по управлению инцидентами
  • 45. solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами ИБ (eng 1) 45 Выписка из ISO/IEC 27002:2013 (A.16 Information security incident management) ISO/IEC 27035:2011 Information technology. Security techniques. Information security incident management. И проекты: CD 27035-1 Part 1: Principles of incident management CD 27035-2 Part 2: Guidelines to plan and prepare for incident response CD 27035-3 Part 3: Guidelines for CSIRT operations ISO/IEC 27037:2012 Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence ISO/IEC 27043:2015 Information technology. Security techniques. Incident investigation principles and processes
  • 46. solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами ИБ (eng 2) 46 NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide NIST SP 800-83 Rev.1 Guide to Malware Incident Prevention and Handling for Desktops and Laptops NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response Выписка из NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR - Incident Response) ENISA Good Practice Guide for Incident Management Материалы SANS Institute InfoSec Reading Room. Incident Handling (более 100 документов)
  • 47. solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами ИБ (rus) 47 РС БР ИББС-2.5-2014 Менеджмент инцидентов ИБ Выписка из СТО БР ИББС-1.0-2014 (8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности) ГОСТ Р ИСО/МЭК 27037-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме Устаревшие версии: Выписка из ГОСТ Р ИСО/МЭК 27002-2012 (А13. Менеджмент инцидентов ИБ) ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
  • 48. solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» по управлению инцидентами (ITSM) 48 Процессы COBIT5 (книги COBIT5 Enabling Processes и COBIT5 for Information Security): DSS 02 Manage Service Requests and Incidents DSS 03 Manage Problems Процессы ITIL (книга Service operation): Event management Incident management Problem management Процессы ISO 20000: Incident Management Problem management