SlideShare une entreprise Scribd logo

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

Télécharger en tant que PPTX, PDF
Solar Security
Solar Security

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

Technologie
1  sur  13
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-10
solarsecurity.ru +7 (499) 755-07-70 2 DLP является средством автоматизации, но и специалист по ИБ без работы не останется…
solarsecurity.ru +7 (499) 755-07-70 Типовые сценарии работы с DLP 3 1. Регулярный мониторинг событий (М) 2. Расследование инцидентов (Р) #1
solarsecurity.ru +7 (499) 755-07-70 Зачем это нужно? 4  Не каждое «событие» переходит в «инцидент» (М)  Инциденты важно вовремя выявить (ограничения для дисциплинарных наказаний по ТК РФ) (М)  Не за все «утечки» можно наказать строго (например, при записи информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)  Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)  Можно выявить аномальное поведение и связи (М, Р)  Можно выявить всех участников (Р)
solarsecurity.ru +7 (499) 755-07-70 5 Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним
solarsecurity.ru +7 (499) 755-07-70 Фокус внимания на самое важное 6 Люди События и инциденты Информация Досье на информационные объекты: • места хранения • каналы передачи • отправители и получатели Досье на персон и группы: • Общая информация • События и инциденты • Граф-связей • Уровень доверия («карма») • Канал передачи • Сработавшая политика • Отправители и получатели
solarsecurity.ru +7 (499) 755-07-70 7
solarsecurity.ru +7 (499) 755-07-70 Полная процедура управления инцидентами (DLP) 8 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 9 Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями
solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 10 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 11 1. Перевод в группу «Особый контроль» 2. Получение объяснительной* 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
solarsecurity.ru +7 (499) 755-07-70 Вместо подведения итогов 12 На этом у меня все. Напомню, что работа с DLP складывается из 2х составляющих: регулярный мониторинг событий и расследование инцидентов. А хорошие DLP системы упрощают такую работу…
Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave

Recommandé

Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 

Recommandé

Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для RiscAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пмAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 

Contenu connexe

Tendances

спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 

Tendances (16)

2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 

En vedette

Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar Security
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Solar Security
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБSolar Security
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угрозSolar Security
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБSolar Security
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Solar Security
 

En vedette (20)

Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен быть
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБ
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угроз
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 

Similaire à Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Expolink
 
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...Expolink
 
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...Expolink
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийSolar Security
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Expolink
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Solar Security
 
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"Expolink
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"Expolink
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
DLP-система как инструмент проведения расследований инцидентов ИБ
DLP-система как инструмент проведения расследований инцидентов ИБ DLP-система как инструмент проведения расследований инцидентов ИБ
DLP-система как инструмент проведения расследований инцидентов ИБ Expolink
 

Similaire à Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP (20)

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
 
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?
 
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
 
Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Management decisions 20150328
Management decisions 20150328Management decisions 20150328
Management decisions 20150328
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Энергичное DLP
Энергичное DLPЭнергичное DLP
Энергичное DLP
 
DLP-система как инструмент проведения расследований инцидентов ИБ
DLP-система как инструмент проведения расследований инцидентов ИБ DLP-система как инструмент проведения расследований инцидентов ИБ
DLP-система как инструмент проведения расследований инцидентов ИБ
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 

Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP

  • 1. Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-10
  • 2. solarsecurity.ru +7 (499) 755-07-70 2 DLP является средством автоматизации, но и специалист по ИБ без работы не останется…
  • 3. solarsecurity.ru +7 (499) 755-07-70 Типовые сценарии работы с DLP 3 1. Регулярный мониторинг событий (М) 2. Расследование инцидентов (Р) #1
  • 4. solarsecurity.ru +7 (499) 755-07-70 Зачем это нужно? 4  Не каждое «событие» переходит в «инцидент» (М)  Инциденты важно вовремя выявить (ограничения для дисциплинарных наказаний по ТК РФ) (М)  Не за все «утечки» можно наказать строго (например, при записи информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)  Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)  Можно выявить аномальное поведение и связи (М, Р)  Можно выявить всех участников (Р)
  • 5. solarsecurity.ru +7 (499) 755-07-70 5 Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним
  • 6. solarsecurity.ru +7 (499) 755-07-70 Фокус внимания на самое важное 6 Люди События и инциденты Информация Досье на информационные объекты: • места хранения • каналы передачи • отправители и получатели Досье на персон и группы: • Общая информация • События и инциденты • Граф-связей • Уровень доверия («карма») • Канал передачи • Сработавшая политика • Отправители и получатели
  • 8. solarsecurity.ru +7 (499) 755-07-70 Полная процедура управления инцидентами (DLP) 8 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
  • 9. solarsecurity.ru +7 (499) 755-07-70 9 Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями
  • 10. solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 10 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
  • 11. solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 11 1. Перевод в группу «Особый контроль» 2. Получение объяснительной* 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
  • 12. solarsecurity.ru +7 (499) 755-07-70 Вместо подведения итогов 12 На этом у меня все. Напомню, что работа с DLP складывается из 2х составляющих: регулярный мониторинг событий и расследование инцидентов. А хорошие DLP системы упрощают такую работу…
  • 13. Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave