SlideShare une entreprise Scribd logo
1  sur  62
Télécharger pour lire hors ligne
Прозоров Андрей, CISM
Руководитель экспертного направления
Компания Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
v.2.1 2015-12-01
Управление инцидентами
информационной безопасности
с помощью DLP Solar Dozor
solarsecurity.ru +7 (499) 755-07-70
Вебинар от 10.11.2015 (Галина Рябова)
2
http://solarsecurity.ru/analytics/webinars/590
solarsecurity.ru +7 (499) 755-07-70
Термины по ГОСТ 27000-2012
3
 Событие ИБ – выявленное состояние системы, услуги или
состояние сети, указывающее на возможное нарушение политики
обеспечения ИБ, нарушение или отказ мер и средств контроля и
управления или прежде неизвестная ситуации, которая может
иметь значение для безопасности.
 Инцидент ИБ – одно или несколько нежелательных или
неожиданных событий ИБ, которые со значительной степенью
вероятности приводят к компрометации бизнеса и создают
угрозы для ИБ.
solarsecurity.ru +7 (499) 755-07-70
Типовые инциденты, выявляемые DLP
(утечки информации и внутрикорпоративное мошенничество)
4
 Увольняющийся сотрудник скопировал на флешку все, что с мог
достать (наработки, методологии, базу клиентов, проектную
документацию, стратегии и планы)
 Сотрудник отдела закупок договорился с поставщиком о
завышении закупочных цен при условии личной мотивации (откат)
 Операционист в банке пересылает заявления на кредиты своему
коллеге в конкурирующем банке, который переманивает этих
клиентов, делая целевые контрпредложения
 Сотрудник одела продаж некоторые заказы проводит через свою
фирму
 Секретарь регулярно пересылает протоколы совещаний
руководства на незнакомый внешний ящик электронной почты
 …
solarsecurity.ru +7 (499) 755-07-70
Типовые сценарии работы с DLP
5
1. Регулярный мониторинг событий (М)
2. Расследование инцидентов (Р)
#1
solarsecurity.ru +7 (499) 755-07-70
Зачем это нужно?
6
 Не каждое «событие» переходит в «инцидент» (М)
 Инциденты важно вовремя выявить (ограничения для
дисциплинарных наказаний по ТК РФ) (М)
 Не за все «утечки» можно наказать строго (например, при записи
информации на флешку нет факта «разглашения»). Но можно
найти и другие нарушения… (Р)
 Важно понимать, единственный инцидент или сотрудник
регулярно нарушает (Р)
 Можно выявить аномальное поведение и связи (М, Р)
 Можно выявить всех участников (Р)
solarsecurity.ru +7 (499) 755-07-70
Управление событиями и инцидентами DLP
7
solarsecurity.ru +7 (499) 755-07-70
Helicopter View
8
Давайте поднимемся еще на
один уровень. Посмотрим на
место DLP в общей процедуре
реагирования на инциденты.
solarsecurity.ru +7 (499) 755-07-70 9
Управление инцидентами ИБ
– является важным процессом
обеспечения ИБ…
solarsecurity.ru +7 (499) 755-07-70
«Лучшие практики»
10
ISMS ITSM
• Выписка из ISO/IEC
27002:2013 (A.16 Information security
incident management)
• Выписка из NIST SP 800-53 Rev. 4
Security and Privacy Controls for
Federal Information Systems and
Organizations (Security control: IR -
Incident Response)
• ISO/IEC 27035:2011
• NIST SP 800-61 Rev. 2 Computer
Security Incident Handling Guide
• ENISA Good Practice Guide for
Incident Management
• РС БР ИББС-2.5-2014 Менеджмент
инцидентов ИБ
• Процессы COBIT5 (книги COBIT5
Enabling Processes и COBIT5 for
Information Security):
• DSS 02 Manage Service Requests
and Incidents
• DSS 03 Manage Problems
• Процессы ITIL (книга Service
operation):
• Event management
• Incident management
• Problem management
• Процессы ISO 20000:
• Incident Management
• Problem management
solarsecurity.ru +7 (499) 755-07-70
Как выстроить процесс управления
инцидентами ИБ?
11
 Строить с «0»
 Взять за основу процессы ИТ
(Service Desk)
 Определить сценарии
реагирования под
конкретные типы
инцидентов
(например, выявленные АВЗ или
DLP, потеря носителей,
компрометация паролей)
solarsecurity.ru +7 (499) 755-07-70
Процедура управления инцидентами (DLP)
12
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70
Ограничение по времени реагирования
по ТК РФ
13
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
6 мес.
1 мес.
solarsecurity.ru +7 (499) 755-07-70 14
Важнейшими элементами
DLP становятся Архив всех
сообщений и Инструменты
работы с ним
Но об этом позже…
solarsecurity.ru +7 (499) 755-07-70 15
1. Обнаружение и регистрация событий
solarsecurity.ru +7 (499) 755-07-70 16
solarsecurity.ru +7 (499) 755-07-70
Контролируемые каналы
17
Корпоративная почта Файловое хранилище
Web Рабочие станции
Файлы на ПК и общедоступных
ресурсах, FTP
Соцсети
Web-почта Резюме
IM
MRA
IRC
ICQ
MSN
XMPP
ПринтерыUSB
Буфер
обмена
solarsecurity.ru +7 (499) 755-07-70
Рекомендации ФСТЭК России
по функционалу DLP
18
ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
(КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ
ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И
ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:
 выявление фактов неправомерной передачи защищаемой информации из информационной системы через
различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
 выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные
носители информации и реагирование на них;
 выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и
реагирование на них;
 выявление фактов неправомерного копирования защищаемой информации в прикладное программное
обеспечение из буфера обмена и реагирование на них;
 контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
 выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы
документооборота, базы данных, почтовые архивы и иные ресурсы).
Требования к усилению
 в информационной системе должно осуществляться хранение всей передаваемой из информационной системы
информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в
течение времени, определяемого оператором;
 в информационной системе должна осуществляться блокировка передачи из информационной системы
информации с недопустимым содержанием
Методический документ. Меры защиты информации в государственных ИС
solarsecurity.ru +7 (499) 755-07-70
Как DLP понимает события?
19
Контентный
анализ
Контекстный
анализ
solarsecurity.ru +7 (499) 755-07-70
Контекстный анализ
20
 Дата/Время
 Отправитель (права пользователя, группы (втч под особым
контролем, например, «На увольнении») и роли)
 Получатель (внутренний/внешний, знакомый/неизвестный, «из
перечня» и пр.)
 Канал передачи
 Местоположение
(географическое и аппаратное)
solarsecurity.ru +7 (499) 755-07-70
Контентный анализ, технологии Solar Dozor
21
Технологии
анализа
Комментарии
Шаблоны документов Поиск документов определенной структуры и содержания
+ поиск подобных
Цифровые отпечатки • Текст
• Бинарные файлы
Идентификаторы Например, номера паспорта, телефона, кредитной карты, ИНН и
пр. (~50 категорий)
Дополнительные
проверки
Тип вложения (формат), наименование файла, объем, регулярные
выражения
+ внешние скрипты для специальных проверок (например,
выявление наложенных слоев на геокартах)
Фотографии и картинки проверяются с использованием технологии
OCR (позволяет выявлять и понимать текст)
solarsecurity.ru +7 (499) 755-07-70 22
2. Выявление инцидентов
solarsecurity.ru +7 (499) 755-07-70
Что запускает работу специалиста ИБ?
23
Источник Оперативность
1. Оповещение по email Высокая
2. Оповещение в системе DLP Высокая
3. Оповещение по SMS Высокая
4. Информация на рабочем столе (Dashboard) Средняя
5. Информация из автоматического регулярного отчета Средняя
6. Информация из отчетов по запросу Низкая
7. Регулярный мониторинг и анализ Низкая
8. Внешняя информация об инциденте Низкая
9. Запрос со стороны руководства / заинтересованных лиц Низкая
10. «Чутье» (Подозрение на инцидент) Низкая
11. Скука / Интерес Низкая
solarsecurity.ru +7 (499) 755-07-70
4 типовых рабочих стола
24
 Аналитик
 Аналитик Политики
 Руководитель
 Системный администратор
#1
solarsecurity.ru +7 (499) 755-07-70
Рабочий стол офицера ИБ (v.6)
25
1. Регулярный мониторинг событий
2. Расследование инцидентов
solarsecurity.ru +7 (499) 755-07-70
Фокус внимания на самое важное
26
Люди
События и
инциденты
Информация
Досье на
информационные
объекты:
• места хранения
• каналы передачи
• отправители и
получатели
Досье на персон и
группы:
• Общая
информация
• События и
инциденты
• Граф-связей
• Уровень доверия
(«карма»)
• Канал передачи
• Сработавшая политика
• Отправители и получатели
solarsecurity.ru +7 (499) 755-07-70
Персоны на особом контроле
27
solarsecurity.ru +7 (499) 755-07-70
От событий к инцидентам (v.6)
28
Статус события: новое, просмотрено, ошибочное срабатывание
Статус инцидента: открыт, закрыт, не инцидент
solarsecurity.ru +7 (499) 755-07-70 29
3. Оперативное реагирование на
инцидент
solarsecurity.ru +7 (499) 755-07-70
Оперативное реагирование
30
Технические Организационные
• Блокировка передачи (с
уведомлением / без уведомления)
• Блокировка передачи до
подтверждения
• Отправка сообщения с
реконструкцией:
• Удаление информации
ограниченного доступа
• Замена информации на
предупреждение
• Добавление предупреждения
• Блокирование доступа к ИС
• Оповещение службы охраны /
ЧОП
• Получение объяснительной
• Изъятие оборудования*
• Досмотр*
• Обращение в МВД России / ФСБ
России
• Задержание до выяснения*
solarsecurity.ru +7 (499) 755-07-70 31
4. Расследование инцидента
solarsecurity.ru +7 (499) 755-07-70
Инструменты расследования DLP
32
1. Детальная информация об инциденте
2. Архив сообщений
3. «Досье» (на субъекта или группу)
4. «Уровень доверия» («Карма»)
5. Интерактивный «Граф связей»
6. «Досье» на информационные объекты
7. Поиск
8. Снимки экрана
9. Отчеты
solarsecurity.ru +7 (499) 755-07-70
Контроль персон. Досье
33
Дось
е
Обогащение
досье
Общая информация
Адресная
информация
Связи
Профиль поведения
Уровень доверия
Организационно-штатная
структура
solarsecurity.ru +7 (499) 755-07-70
Основная информация в Досье
34
solarsecurity.ru +7 (499) 755-07-70
Интерактивный Граф связей
35
solarsecurity.ru +7 (499) 755-07-70
«Уровень доверия» (неоф. «Карма»)
36
solarsecurity.ru +7 (499) 755-07-70
«Уровень доверия» (неоф. «Карма»)
37
 По каждому субъекту отображается «уровень доверия» и динамика его
изменений (аномалии поведения)
 Уровень доверия определяется на основании различных параметров
выявленных событий (критичность инцидента, контекст, история событий
и пр.) с использованием встроенных справочников
 Уровни критичности событий в системе: критичный, высокий, средний,
низкий, инфо
 Одно и тоже событие для отправителя и получателя сообщения приведет
к разному изменению уровня доверия (у отправителя, очевидно,
измениться сильнее)
 При необходимости можно изменять (повышать / понижать /
замораживать) уровень доверия для конкретных субъектов
 Можно делать выборку по всем сотрудниками или по конкретным
группам (например, по отделу)
solarsecurity.ru +7 (499) 755-07-70 38
Информационный объект –
группа документов и
информационных сообщений
определенной тематики
Например: протоколы совещаний,
резюме, стратегии и планы…
#2
solarsecurity.ru +7 (499) 755-07-70
Про информационные объекты
39
 Можно использовать типовые или
создавать самостоятельно
 В информационном объекте
отображаются ВСЕ файлы
 «Досье» на объект:
 События
 Коммуникации
 Места хранения
#2
solarsecurity.ru +7 (499) 755-07-70
Информационные объекты: события
40
solarsecurity.ru +7 (499) 755-07-70
Информационные объекты: коммуникации
41
По каким каналам передавался
информационный объект и кем?
solarsecurity.ru +7 (499) 755-07-70 42
Действительно быстрый поиск!
Меньше 1 секунды для архива
в 17 млн. сообщений
solarsecurity.ru +7 (499) 755-07-70
Еще про поиск
43
 Поиск: Сообщения, Файлы, Персоны, События и
инциденты
 3 типа поиска: Быстрый (в стиле поисковых
систем), По шаблону, Расширенный поиск
(сложные поисковые запросы)
 Запросы поиска можно сохранять в виде
Шаблонов или сразу строить Отчеты
 Сохраняется история поиска
…
solarsecurity.ru +7 (499) 755-07-70 44
Человек и машина (DLP)
должны работать вместе…
solarsecurity.ru +7 (499) 755-07-70 45
5. Реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 46
Специалисты по ИБ часто не
знают, что можно (нужно) делать
с выявленными нарушителями
solarsecurity.ru +7 (499) 755-07-70
Пример модели принятия решения
по инциденту (по сумме баллов)
47
1. Какова величина ущерба?
Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника?
Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?
Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого?
Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого
сотрудника?
Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
solarsecurity.ru +7 (499) 755-07-70
Решение в случае виновности сотрудника
48
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий
(втч и лишение прав доступа)
5. Дисциплинарные взыскания:
 замечание
 выговор
 увольнение по соответствующим
основаниям
6. Увольнение по инициативе работника /
по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
Б) По решению
руководства и HR
В) По решению
руководства, HR,
юристов и ИБ.
Необходимо четкое
понимание процедур и
высокий уровень
«бумажной
безопасности»
А) По решению ИБ
solarsecurity.ru +7 (499) 755-07-70
Дисциплинарные взыскания по ТК РФ
49
ТК РФ ст.192-193
 1 дисциплинарный проступок – 1 дисциплинарное взыскание
 Не позднее 6 месяцев со дня совершения проступка
 Не позднее 1 месяца со дня обнаружения проступка
 Необходимо запросить от работника письменное объяснение
Статья 81. Расторжение трудового договора по инициативе
работодателя
6) однократного грубого нарушения работником трудовых обязанностей:
в) разглашения охраняемой законом тайны (государственной, коммерческой,
служебной и иной), ставшей известной работнику в связи с исполнением им
трудовых обязанностей, в том числе разглашения персональных данных
другого работника
solarsecurity.ru +7 (499) 755-07-70
Материальная ответственность по ТК РФ
50
ТК РФ ст.238-250
 Работник обязан возместить работодателю причиненный ему
прямой действительный ущерб. Неполученные доходы
(упущенная выгода) взысканию с работника не подлежат.
 Работник несет материальную ответственность в пределах своего
среднего месячного заработка. Если больше, то нужно судебное
решение.
solarsecurity.ru +7 (499) 755-07-70
Статьи УК РФ
51
 Статья 183. Незаконные получение и разглашение сведений,
составляющих коммерческую, налоговую или банковскую тайну
 Статья 185.6. Неправомерное использование инсайдерской информации
 Статья 147. Нарушение изобретательских и патентных прав
 Статья 159. Мошенничество
 Статья 163. Вымогательство
 Статья 272. Неправомерный доступ к компьютерной информации
 Статья 273. Создание, использование и распространение вредоносных
компьютерных программ
 Статья 274. Нарушение правил эксплуатации средств хранения, обработки
или передачи компьютерной информации и информационно-
телекоммуникационных сетей
 Статья 276. Шпионаж
 Статья 283. Разглашение государственной тайны
solarsecurity.ru +7 (499) 755-07-70
Про доказательства для Суда
52
Важные:
 По ТК РФ: Объяснительная от работника (либо Акт об отказе),
Служебная записка об инциденте и Протокол заседания комиссии,
рассматривающей инцидент. В документах следует указать краткое
описание инцидента, оценку тяжести и обстоятельства
совершенного проступка.
 По УПК: Показания потерпевшего, свидетеля, Заключение и
показания эксперта и Заключение и показания специалиста,
Вещественные доказательства.
Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к
отчету рекомендуется приложить краткое описание решения с
указанием сертификатов (подойдет брошюра от производителя).
solarsecurity.ru +7 (499) 755-07-70
Стратегия «легализации» DLP работодателем
53
1. Работодатель, как владелец информации, информационных систем и сервисов,
обладает правом предъявлять требования по их использованию и
контролировать их выполнение. В организации определен Перечень
информации ограниченного доступа, Правила работы с информацией
ограниченного доступа, Политика допустимого использования (средств
обработки и ИТ-сервисов). В частности, в явном виде запрещена передача
информации ограниченного доступа с использованием персональных средств
и систем (например, личной электронной почты).
2. Работникам в явном виде запрещено хранить личную информацию на
корпоративных ресурсах (рабочие станции и файловые хранилища) и
передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет).
3. Работники уведомлены, что правила использования корпоративной
информации и информационных ресурсов регулярно контролируются с
использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода
услуги и не обеспечивает тайну связи для передачи информации по своим
корпоративным каналам. О возможности мониторинга и контроля
корпоративной переписки известно работникам (см.п 3).
…
solarsecurity.ru +7 (499) 755-07-70 54
5. У работодателя отсутствует умысел нарушения тайны частной жизни.
Предполагается, что на контролируемых ресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то
она будет удалена, а к работнику могут применяться дисциплинарные
взыскания за нарушение правил внутреннего трудового распорядка.
7. Обнаруженная личная информация не будет использована (по крайней мере
официально) при принятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников.
Содержание информации, хранимой в личных сервисах передачи данных
(например, внешняя эл.почта) не проверяется даже при получении такой
возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контроле
входящей почты. Работники уведомлены, что они обязаны уведомить тех, с кем
общаются, о недопустимости использовании корпоративных сервисов для
осуществления любых видов коммуникаций, не связанных со служебной
деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована
(по крайней мере официально) при принятии решений.
solarsecurity.ru +7 (499) 755-07-70 55
6. Анализ причин инцидента
и «полученных уроков»
solarsecurity.ru +7 (499) 755-07-70
Что после реагирования?
56
 Подготовка и передача материалов на хранение (архив)
 Анализ причин инцидента
 Подготовка итогового отчета (при необходимости)
 Проведение итогового совещания (при необходимости)
 Награждение (или наказание) участников процедуры управления
инцидентами (при необходимости)
 Решение о том, «что делать дальше»
solarsecurity.ru +7 (499) 755-07-70
Что дальше?
57
 Ничего, все молодцы
 Проведение Аудита ИБ и/или дополнительных проверок
 Совершенствование процедуры управления инцидентами
 Совершенствование системы ИБ:
 Пересмотр прав доступа
 Пересмотр требований по обработке и хранению информации
 Обучение и повышение осведомленности:
 «Точная» настройка СЗИ
 Внедрение новых мер и СЗИ
 …
 Пересмотр кадровой политики (процедура найма и увольнения,
мотивация персонала, корпоративная культура)
 Изменение бизнес-процессов
solarsecurity.ru +7 (499) 755-07-70
Обучение и повышение осведомленности
58
Кто? Тематики
Рядовые
пользователи
• Правила работы с информацией и средствами обработки
• Базовые требования по защите информации
• Кейсы (типовые ошибки, соц.инженерия)
• Ответственность
ИТ и ИБ-
специалисты
• Процедуры обнаружения и реагирования на инциденты
• Расследование инцидентов
• Сбор цифровых доказательств
• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации,
мотивации, взысканий, увольнения персонала
• Судебная практика
• Развитие корпоративной культуры
• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)
• Базовые рекомендации по защите информации
solarsecurity.ru +7 (499) 755-07-70
Процедура управления инцидентами (DLP)
59
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное
реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 60
На этом по
процедуре у нас все…
solarsecurity.ru +7 (499) 755-07-70
Что уже было, что появилось…
61
Solar Dozor 5.0.4 Solar Dozor 6.0
1. Сильные технологии контентного
анализа
2. Автоматизированная процедура
управления событиями и инцидентами
3. Удобный рабочий стол офицера ИБ
4. «Уровень доверия» («Карма»)
5. «Досье» (на субъекта)
6. Интерактивный «Граф связей»
7. Снимки экрана
8. Отчеты
9. Поиск (сложные поисковые запросы,
«поиск похожих», умный поиск, поиск
по тегам и пр.)
10. Crawler (DLP Discovery, инспектор
файловых ресурсов)
11. Возможность блокировки
1. Интерфейс нового
поколения (интерактивный
ситуационный центр по
внутренним угрозам)
2. «Досье» на
информационные объекты
3. Действительно быстрый
поиск
4. Новые возможности
выявления аномалий
поведения (например,
нетиповые контакты,
шаблоны запросов и пр.)
5. Расширенный функционал
«Досье» (теперь и на группу)
и другое…
Спасибо за внимание!
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave

Contenu connexe

Tendances

Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 

Tendances (16)

Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 

En vedette

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar Security
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – системаанализа программного кода на наличие уязвимостей ИБSolar inCode – системаанализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБSolar Security
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Solar Security
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угрозSolar Security
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБSolar Security
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Solar Security
 

En vedette (20)

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен быть
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – системаанализа программного кода на наличие уязвимостей ИБSolar inCode – системаанализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угроз
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБ
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
 

Similaire à Управление инцидентами информационной безопасности с помощью DLP Solar Dozor

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Expolink
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Solar Security
 
DLP-системы как инструмент проведения расследований
DLP-системы  как инструмент проведения расследованийDLP-системы  как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийSolar Security
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролемKonstantin Beltsov
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский  Infowatchконтроль информационных потоков белинский  Infowatch
контроль информационных потоков белинский InfowatchExpolink
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdftrenders
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 

Similaire à Управление инцидентами информационной безопасности с помощью DLP Solar Dozor (20)

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
DLP-системы как инструмент проведения расследований
DLP-системы  как инструмент проведения расследованийDLP-системы  как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский  Infowatchконтроль информационных потоков белинский  Infowatch
контроль информационных потоков белинский Infowatch
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
 

Plus de Solar Security

Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьSolar Security
 
ВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных прав
ВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных правВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных прав
ВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных правSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – системаанализа программного кода на наличие уязвимостей ИБSolar inCode – системаанализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Solar Security
 

Plus de Solar Security (6)

Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
 
ВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных прав
ВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных правВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных прав
ВСЁ ПОД КОНТРОЛЕМ: безопасность начинается с корректных прав
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – системаанализа программного кода на наличие уязвимостей ИБSolar inCode – системаанализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?
 

Управление инцидентами информационной безопасности с помощью DLP Solar Dozor

  • 1. Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave v.2.1 2015-12-01 Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
  • 2. solarsecurity.ru +7 (499) 755-07-70 Вебинар от 10.11.2015 (Галина Рябова) 2 http://solarsecurity.ru/analytics/webinars/590
  • 3. solarsecurity.ru +7 (499) 755-07-70 Термины по ГОСТ 27000-2012 3  Событие ИБ – выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики обеспечения ИБ, нарушение или отказ мер и средств контроля и управления или прежде неизвестная ситуации, которая может иметь значение для безопасности.  Инцидент ИБ – одно или несколько нежелательных или неожиданных событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнеса и создают угрозы для ИБ.
  • 4. solarsecurity.ru +7 (499) 755-07-70 Типовые инциденты, выявляемые DLP (утечки информации и внутрикорпоративное мошенничество) 4  Увольняющийся сотрудник скопировал на флешку все, что с мог достать (наработки, методологии, базу клиентов, проектную документацию, стратегии и планы)  Сотрудник отдела закупок договорился с поставщиком о завышении закупочных цен при условии личной мотивации (откат)  Операционист в банке пересылает заявления на кредиты своему коллеге в конкурирующем банке, который переманивает этих клиентов, делая целевые контрпредложения  Сотрудник одела продаж некоторые заказы проводит через свою фирму  Секретарь регулярно пересылает протоколы совещаний руководства на незнакомый внешний ящик электронной почты  …
  • 5. solarsecurity.ru +7 (499) 755-07-70 Типовые сценарии работы с DLP 5 1. Регулярный мониторинг событий (М) 2. Расследование инцидентов (Р) #1
  • 6. solarsecurity.ru +7 (499) 755-07-70 Зачем это нужно? 6  Не каждое «событие» переходит в «инцидент» (М)  Инциденты важно вовремя выявить (ограничения для дисциплинарных наказаний по ТК РФ) (М)  Не за все «утечки» можно наказать строго (например, при записи информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)  Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)  Можно выявить аномальное поведение и связи (М, Р)  Можно выявить всех участников (Р)
  • 7. solarsecurity.ru +7 (499) 755-07-70 Управление событиями и инцидентами DLP 7
  • 8. solarsecurity.ru +7 (499) 755-07-70 Helicopter View 8 Давайте поднимемся еще на один уровень. Посмотрим на место DLP в общей процедуре реагирования на инциденты.
  • 9. solarsecurity.ru +7 (499) 755-07-70 9 Управление инцидентами ИБ – является важным процессом обеспечения ИБ…
  • 10. solarsecurity.ru +7 (499) 755-07-70 «Лучшие практики» 10 ISMS ITSM • Выписка из ISO/IEC 27002:2013 (A.16 Information security incident management) • Выписка из NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR - Incident Response) • ISO/IEC 27035:2011 • NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide • ENISA Good Practice Guide for Incident Management • РС БР ИББС-2.5-2014 Менеджмент инцидентов ИБ • Процессы COBIT5 (книги COBIT5 Enabling Processes и COBIT5 for Information Security): • DSS 02 Manage Service Requests and Incidents • DSS 03 Manage Problems • Процессы ITIL (книга Service operation): • Event management • Incident management • Problem management • Процессы ISO 20000: • Incident Management • Problem management
  • 11. solarsecurity.ru +7 (499) 755-07-70 Как выстроить процесс управления инцидентами ИБ? 11  Строить с «0»  Взять за основу процессы ИТ (Service Desk)  Определить сценарии реагирования под конкретные типы инцидентов (например, выявленные АВЗ или DLP, потеря носителей, компрометация паролей)
  • 12. solarsecurity.ru +7 (499) 755-07-70 Процедура управления инцидентами (DLP) 12 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
  • 13. solarsecurity.ru +7 (499) 755-07-70 Ограничение по времени реагирования по ТК РФ 13 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент 6 мес. 1 мес.
  • 14. solarsecurity.ru +7 (499) 755-07-70 14 Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним Но об этом позже…
  • 15. solarsecurity.ru +7 (499) 755-07-70 15 1. Обнаружение и регистрация событий
  • 17. solarsecurity.ru +7 (499) 755-07-70 Контролируемые каналы 17 Корпоративная почта Файловое хранилище Web Рабочие станции Файлы на ПК и общедоступных ресурсах, FTP Соцсети Web-почта Резюме IM MRA IRC ICQ MSN XMPP ПринтерыUSB Буфер обмена
  • 18. solarsecurity.ru +7 (499) 755-07-70 Рекомендации ФСТЭК России по функционалу DLP 18 ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:  выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;  выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;  выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;  выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;  контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;  выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы). Требования к усилению  в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;  в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ. Меры защиты информации в государственных ИС
  • 19. solarsecurity.ru +7 (499) 755-07-70 Как DLP понимает события? 19 Контентный анализ Контекстный анализ
  • 20. solarsecurity.ru +7 (499) 755-07-70 Контекстный анализ 20  Дата/Время  Отправитель (права пользователя, группы (втч под особым контролем, например, «На увольнении») и роли)  Получатель (внутренний/внешний, знакомый/неизвестный, «из перечня» и пр.)  Канал передачи  Местоположение (географическое и аппаратное)
  • 21. solarsecurity.ru +7 (499) 755-07-70 Контентный анализ, технологии Solar Dozor 21 Технологии анализа Комментарии Шаблоны документов Поиск документов определенной структуры и содержания + поиск подобных Цифровые отпечатки • Текст • Бинарные файлы Идентификаторы Например, номера паспорта, телефона, кредитной карты, ИНН и пр. (~50 категорий) Дополнительные проверки Тип вложения (формат), наименование файла, объем, регулярные выражения + внешние скрипты для специальных проверок (например, выявление наложенных слоев на геокартах) Фотографии и картинки проверяются с использованием технологии OCR (позволяет выявлять и понимать текст)
  • 22. solarsecurity.ru +7 (499) 755-07-70 22 2. Выявление инцидентов
  • 23. solarsecurity.ru +7 (499) 755-07-70 Что запускает работу специалиста ИБ? 23 Источник Оперативность 1. Оповещение по email Высокая 2. Оповещение в системе DLP Высокая 3. Оповещение по SMS Высокая 4. Информация на рабочем столе (Dashboard) Средняя 5. Информация из автоматического регулярного отчета Средняя 6. Информация из отчетов по запросу Низкая 7. Регулярный мониторинг и анализ Низкая 8. Внешняя информация об инциденте Низкая 9. Запрос со стороны руководства / заинтересованных лиц Низкая 10. «Чутье» (Подозрение на инцидент) Низкая 11. Скука / Интерес Низкая
  • 24. solarsecurity.ru +7 (499) 755-07-70 4 типовых рабочих стола 24  Аналитик  Аналитик Политики  Руководитель  Системный администратор #1
  • 25. solarsecurity.ru +7 (499) 755-07-70 Рабочий стол офицера ИБ (v.6) 25 1. Регулярный мониторинг событий 2. Расследование инцидентов
  • 26. solarsecurity.ru +7 (499) 755-07-70 Фокус внимания на самое важное 26 Люди События и инциденты Информация Досье на информационные объекты: • места хранения • каналы передачи • отправители и получатели Досье на персон и группы: • Общая информация • События и инциденты • Граф-связей • Уровень доверия («карма») • Канал передачи • Сработавшая политика • Отправители и получатели
  • 27. solarsecurity.ru +7 (499) 755-07-70 Персоны на особом контроле 27
  • 28. solarsecurity.ru +7 (499) 755-07-70 От событий к инцидентам (v.6) 28 Статус события: новое, просмотрено, ошибочное срабатывание Статус инцидента: открыт, закрыт, не инцидент
  • 29. solarsecurity.ru +7 (499) 755-07-70 29 3. Оперативное реагирование на инцидент
  • 30. solarsecurity.ru +7 (499) 755-07-70 Оперативное реагирование 30 Технические Организационные • Блокировка передачи (с уведомлением / без уведомления) • Блокировка передачи до подтверждения • Отправка сообщения с реконструкцией: • Удаление информации ограниченного доступа • Замена информации на предупреждение • Добавление предупреждения • Блокирование доступа к ИС • Оповещение службы охраны / ЧОП • Получение объяснительной • Изъятие оборудования* • Досмотр* • Обращение в МВД России / ФСБ России • Задержание до выяснения*
  • 31. solarsecurity.ru +7 (499) 755-07-70 31 4. Расследование инцидента
  • 32. solarsecurity.ru +7 (499) 755-07-70 Инструменты расследования DLP 32 1. Детальная информация об инциденте 2. Архив сообщений 3. «Досье» (на субъекта или группу) 4. «Уровень доверия» («Карма») 5. Интерактивный «Граф связей» 6. «Досье» на информационные объекты 7. Поиск 8. Снимки экрана 9. Отчеты
  • 33. solarsecurity.ru +7 (499) 755-07-70 Контроль персон. Досье 33 Дось е Обогащение досье Общая информация Адресная информация Связи Профиль поведения Уровень доверия Организационно-штатная структура
  • 34. solarsecurity.ru +7 (499) 755-07-70 Основная информация в Досье 34
  • 35. solarsecurity.ru +7 (499) 755-07-70 Интерактивный Граф связей 35
  • 36. solarsecurity.ru +7 (499) 755-07-70 «Уровень доверия» (неоф. «Карма») 36
  • 37. solarsecurity.ru +7 (499) 755-07-70 «Уровень доверия» (неоф. «Карма») 37  По каждому субъекту отображается «уровень доверия» и динамика его изменений (аномалии поведения)  Уровень доверия определяется на основании различных параметров выявленных событий (критичность инцидента, контекст, история событий и пр.) с использованием встроенных справочников  Уровни критичности событий в системе: критичный, высокий, средний, низкий, инфо  Одно и тоже событие для отправителя и получателя сообщения приведет к разному изменению уровня доверия (у отправителя, очевидно, измениться сильнее)  При необходимости можно изменять (повышать / понижать / замораживать) уровень доверия для конкретных субъектов  Можно делать выборку по всем сотрудниками или по конкретным группам (например, по отделу)
  • 38. solarsecurity.ru +7 (499) 755-07-70 38 Информационный объект – группа документов и информационных сообщений определенной тематики Например: протоколы совещаний, резюме, стратегии и планы… #2
  • 39. solarsecurity.ru +7 (499) 755-07-70 Про информационные объекты 39  Можно использовать типовые или создавать самостоятельно  В информационном объекте отображаются ВСЕ файлы  «Досье» на объект:  События  Коммуникации  Места хранения #2
  • 40. solarsecurity.ru +7 (499) 755-07-70 Информационные объекты: события 40
  • 41. solarsecurity.ru +7 (499) 755-07-70 Информационные объекты: коммуникации 41 По каким каналам передавался информационный объект и кем?
  • 42. solarsecurity.ru +7 (499) 755-07-70 42 Действительно быстрый поиск! Меньше 1 секунды для архива в 17 млн. сообщений
  • 43. solarsecurity.ru +7 (499) 755-07-70 Еще про поиск 43  Поиск: Сообщения, Файлы, Персоны, События и инциденты  3 типа поиска: Быстрый (в стиле поисковых систем), По шаблону, Расширенный поиск (сложные поисковые запросы)  Запросы поиска можно сохранять в виде Шаблонов или сразу строить Отчеты  Сохраняется история поиска …
  • 44. solarsecurity.ru +7 (499) 755-07-70 44 Человек и машина (DLP) должны работать вместе…
  • 45. solarsecurity.ru +7 (499) 755-07-70 45 5. Реагирование на инцидент
  • 46. solarsecurity.ru +7 (499) 755-07-70 46 Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями
  • 47. solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 47 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
  • 48. solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 48 1. Перевод в группу «Особый контроль» 2. Получение объяснительной 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
  • 49. solarsecurity.ru +7 (499) 755-07-70 Дисциплинарные взыскания по ТК РФ 49 ТК РФ ст.192-193  1 дисциплинарный проступок – 1 дисциплинарное взыскание  Не позднее 6 месяцев со дня совершения проступка  Не позднее 1 месяца со дня обнаружения проступка  Необходимо запросить от работника письменное объяснение Статья 81. Расторжение трудового договора по инициативе работодателя 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника
  • 50. solarsecurity.ru +7 (499) 755-07-70 Материальная ответственность по ТК РФ 50 ТК РФ ст.238-250  Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.  Работник несет материальную ответственность в пределах своего среднего месячного заработка. Если больше, то нужно судебное решение.
  • 51. solarsecurity.ru +7 (499) 755-07-70 Статьи УК РФ 51  Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну  Статья 185.6. Неправомерное использование инсайдерской информации  Статья 147. Нарушение изобретательских и патентных прав  Статья 159. Мошенничество  Статья 163. Вымогательство  Статья 272. Неправомерный доступ к компьютерной информации  Статья 273. Создание, использование и распространение вредоносных компьютерных программ  Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- телекоммуникационных сетей  Статья 276. Шпионаж  Статья 283. Разглашение государственной тайны
  • 52. solarsecurity.ru +7 (499) 755-07-70 Про доказательства для Суда 52 Важные:  По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебная записка об инциденте и Протокол заседания комиссии, рассматривающей инцидент. В документах следует указать краткое описание инцидента, оценку тяжести и обстоятельства совершенного проступка.  По УПК: Показания потерпевшего, свидетеля, Заключение и показания эксперта и Заключение и показания специалиста, Вещественные доказательства. Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчету рекомендуется приложить краткое описание решения с указанием сертификатов (подойдет брошюра от производителя).
  • 53. solarsecurity.ru +7 (499) 755-07-70 Стратегия «легализации» DLP работодателем 53 1. Работодатель, как владелец информации, информационных систем и сервисов, обладает правом предъявлять требования по их использованию и контролировать их выполнение. В организации определен Перечень информации ограниченного доступа, Правила работы с информацией ограниченного доступа, Политика допустимого использования (средств обработки и ИТ-сервисов). В частности, в явном виде запрещена передача информации ограниченного доступа с использованием персональных средств и систем (например, личной электронной почты). 2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет). 3. Работники уведомлены, что правила использования корпоративной информации и информационных ресурсов регулярно контролируются с использованием средств мониторинга. 4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечивает тайну связи для передачи информации по своим корпоративным каналам. О возможности мониторинга и контроля корпоративной переписки известно работникам (см.п 3). …
  • 54. solarsecurity.ru +7 (499) 755-07-70 54 5. У работодателя отсутствует умысел нарушения тайны частной жизни. Предполагается, что на контролируемых ресурсах таких данных нет. 6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а к работнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудового распорядка. 7. Обнаруженная личная информация не будет использована (по крайней мере официально) при принятии решений. 8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации, хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже при получении такой возможности (по крайней мере официально). 9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты. Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимости использовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанных со служебной деятельностью. 10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мере официально) при принятии решений.
  • 55. solarsecurity.ru +7 (499) 755-07-70 55 6. Анализ причин инцидента и «полученных уроков»
  • 56. solarsecurity.ru +7 (499) 755-07-70 Что после реагирования? 56  Подготовка и передача материалов на хранение (архив)  Анализ причин инцидента  Подготовка итогового отчета (при необходимости)  Проведение итогового совещания (при необходимости)  Награждение (или наказание) участников процедуры управления инцидентами (при необходимости)  Решение о том, «что делать дальше»
  • 57. solarsecurity.ru +7 (499) 755-07-70 Что дальше? 57  Ничего, все молодцы  Проведение Аудита ИБ и/или дополнительных проверок  Совершенствование процедуры управления инцидентами  Совершенствование системы ИБ:  Пересмотр прав доступа  Пересмотр требований по обработке и хранению информации  Обучение и повышение осведомленности:  «Точная» настройка СЗИ  Внедрение новых мер и СЗИ  …  Пересмотр кадровой политики (процедура найма и увольнения, мотивация персонала, корпоративная культура)  Изменение бизнес-процессов
  • 58. solarsecurity.ru +7 (499) 755-07-70 Обучение и повышение осведомленности 58 Кто? Тематики Рядовые пользователи • Правила работы с информацией и средствами обработки • Базовые требования по защите информации • Кейсы (типовые ошибки, соц.инженерия) • Ответственность ИТ и ИБ- специалисты • Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов • Сбор цифровых доказательств • Работа со средствами мониторинга и защиты информации HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала • Судебная практика • Развитие корпоративной культуры • Compliance (соблюдение требований) Менеджмент • Кейсы (инциденты и ущерб) • Базовые рекомендации по защите информации
  • 59. solarsecurity.ru +7 (499) 755-07-70 Процедура управления инцидентами (DLP) 59 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
  • 60. solarsecurity.ru +7 (499) 755-07-70 60 На этом по процедуре у нас все…
  • 61. solarsecurity.ru +7 (499) 755-07-70 Что уже было, что появилось… 61 Solar Dozor 5.0.4 Solar Dozor 6.0 1. Сильные технологии контентного анализа 2. Автоматизированная процедура управления событиями и инцидентами 3. Удобный рабочий стол офицера ИБ 4. «Уровень доверия» («Карма») 5. «Досье» (на субъекта) 6. Интерактивный «Граф связей» 7. Снимки экрана 8. Отчеты 9. Поиск (сложные поисковые запросы, «поиск похожих», умный поиск, поиск по тегам и пр.) 10. Crawler (DLP Discovery, инспектор файловых ресурсов) 11. Возможность блокировки 1. Интерфейс нового поколения (интерактивный ситуационный центр по внутренним угрозам) 2. «Досье» на информационные объекты 3. Действительно быстрый поиск 4. Новые возможности выявления аномалий поведения (например, нетиповые контакты, шаблоны запросов и пр.) 5. Расширенный функционал «Досье» (теперь и на группу) и другое…
  • 62. Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave