1
Практические аспекты внедрения системы DLP – что остается за рамками технологии ?
16 декабря 2010Николай Починок, Олег Головенко
2
Что такое Data Loss Prevention?
Цели:– Определение высокоприоритетных
политик
– Выбор стратегии обнаружения данных
– Внедрение процесса расследования инцидентов
– Определение плана исправлений
– Определение потребностей в обучении и взаимодействии с сотрудниками
– Определение метрик для последующего отслеживания и анализа эффективности внедрения DLP-решения
ПроцессыЛюди
Технологии
Symantec Data Loss Prevention
Symantec Data Loss Prevention 3
Характеристики успешных внедрений систем DLP
Обучение сотрудников
Вовлечение вледельцев
данных
Обученная команда реагирования на
инциденты
Приоритезированный подход
Вовлечение руководства
Специально выделенный
персонал
Снижение рисков потерь данных
Mon
itor m
etric
s and
repo
rts
Auto
mat
e no
tifica
tions
Prevention ProtectionNotificationRemediationBaseline
Tune
pol
icie
sDi
scov
er b
roke
n pr
oces
ses
Defin
e an
d va
lidat
e pr
oced
ures
Depl
oy p
roce
dure
Addr
ess b
roke
n pr
oces
ses
Mov
e fil
es
Bloc
k co
mm
unica
tions
Переопределение Политик
Защита
Переопределение Политик
Уведомление
Месяцы 1 to 30
Снижение рисков
Исправление
Переопределение Политик
Исходный уровень
1000
800
600
400
200
Коли
чест
во и
нцид
енто
в в
неде
лю
0
4 to 6 7 to 9 10 to 12
Включение политик
Обнаружение нарушенных
бизнсе-процесво
Общение с сотрудниками /
подразделениями
Исправление бизнес-процессов
Оценка эффективности
Автоматические уведомления
Переоценка
4Symantec Data Loss Prevention
Определение метрик
Снижение риска на 80% за 20 дней с
помощью автомати-
ческих уведомлений
Снижение риска на
70% благодаря обучению персонала
95% сокращение количества
новых инцидентов
за 1 год благодаря автомати-
ческой защите
98% сокращение
случаев некоррект-
ной настройки
прав доступа к общим файлам
Снижение риска на 97%
благодаря контролю баз данных SSN
Здравоохра-нение Страхование
Финансовые услуги
Бизнес услуги Производство
Снижение риска
6
Определение политик – начинаем с критичного
• Анализ текущих политик• Идентификация данных,
подлежащих защите• Анализ возможного
эффекта для бизнеса• Выбор 3-5 основных
политик• Определение структуры и
расположения данных• Определение степеней
критичности
• Как реализуются текущие политики безопасности (если они есть)?
• Основные области риска?• Как можно обнаружить эти данные?• Каков минимальный порог для
детектирования попыток утечек?• Что считать «серьезным» нарушением?
О чем надо помнить:
Symantec Data Loss Prevention
Процесс
Обработка инцидентов
• Какую структуру обработки инцидентов хотите использовать?
• Кто входит в вашу команду по обработке инцидентов?
• Каков процесс обработки инцидентов?
• Как будут исправляться несоответствия?
• Как будете управлять большим потоком инцидентов?
7
• Обсудить варианты• Определить подход и
процесс• Сформировать
команду• Назначить задачи
О чем надо помнить :
Symantec Data Loss Prevention
Процесс
Click icon to add chart
Правильный процесс обработки инцидентов DLP
Варианты организации процесса реагирования
First Responders
Suspected Theft
Escalation Team
First Responders
Escalation Team
Broken Business Process
HR Policy Violation
Critical Incidents
Fan-inFan-out
Data Loss Prevention
Data Loss Prevention
HR Legal BU A
BU A Legal BU B
9Symantec Data Loss Prevention
Обработка инцидентов
Процесс:
Исправление:
Цель: Разработать процедуры реагирования на инциденты
10
Symantec Data Loss Prevention
Сканирование данных
• Какой подход вы хотите использовать?
• Какая информация подвергается наибольшему риску при хранении?
• С чего планируете начать?
• Как будете определять владельцев данных?
11
• Определить подход• Определить данные• Сформировать список
целей сканирования и задать приоритеты
• Назначить задачи
О чем надо помнить :
Symantec Data Loss Prevention
Процесс
Очистка данных
• Вручную
• Автоматически
Поиск и перемещение защищаемых данных
Инвентаризация
• Требует регулярного обновления
• Требует большего количества ресурсов
Создание реестра защищаемых данных
Стратегии сканирования данных
Стратегия защиты конечных точек
• У кого есть доступ к защищаемым данным?
• Кто входит в «группу риска» (пользователи, группы)?
• Хотите включить блокирование или уведомление на рабочих станциях?
13
• Обсудить варианты• Сформировать список
конечных точек и задать приоритеты
• Приоритезировать варианты инцидентов
• Назначить задачи
О чем надо помнить :
Symantec Data Loss Prevention
Процесс
Стратегия защиты конечных точек
14
Print/Fax Copy/PasteMobile Networks
Product DiagramsPCI Data
Laptop Theft Wrongly Stored Data Removable Media
Social Security or Credit Card NumbersPrice Lists
Customer List
Customer List
Symantec Data Loss Prevention
• Как доводить информацию до сотрудников?– Сообщения общего плана– Сообщения о нарушениях
• Какое обучение будет доступно?– Группа реагирования на инциденты
– Руководители подразделений
– Сотрудники
15
• Сформировать требования
• Выработать план действий
• Назначить задачи
О чем надо помнить :
Взаимодействие с сотрудниками
Symantec Data Loss Prevention
Процесс
Взаимодействие с сотрудниками
• Сообщения
• Уведомления
• Обучение
– Группы реагирования на инциденты
– Руководителей подразделений
– Сотрудников
16
Цель: Определить потребности сотрудников
Symantec Data Loss Prevention
Метрики и Отчетность
• Какие метрики будут наиболее полезны?
• Какие отчеты будут необходимы?
• Кто должен их получать?
• Когда и как регулярно?
17
• Выработать основные метрики
• Сформировать стратегию приоритезации
• Назначить задачи
Основные вопросы:
Symantec Data Loss Prevention
Процесс
Метрики и Отчетность
• Рейтинг самых злостных нарушителей (пользователи / подразделения)
• Количество инцидентов по каждой политике
• % инцидентов с уровнем критичности «Высокий»
• % отклоненных инцидентов– по политике и подразделению– по всей компании– из-за нарушенных бизнес-
процессов
ОперационныеСнижение рисков
• % ложных срабатываний по каждой политике
• % контролируемых каналов утечки
• % контролируемых мест хранения
• Среднее время инцидента в статусе «Новый»
18
Symantec Data Loss Prevention
19
Спасибо