ИТ-портал компании «Инфосистемы Джет»

Простая методика принятия решения по инцидентам, выявленным DLP

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности. При этом стоит отметить, что эффективность мониторинга и контроля зависит не только от технического решения и его настроек, но и от процедуры управления инцидентами, принятой в компании.

Выявлять и расследовать инциденты не сложно – современные DLP-системы обладают функционалом, позволяющим существенно упростить подобные задачи:

  • механизмом контентного и контекстного анализа;
  • архивом всей переписки и возможностью построения сложных поисковых запросов;
  • интерактивными графами связей (сообщений) между сотрудниками;
  • механизмами оценки «Уровня доверия» и «Досье» на сотрудников;
  • и др.

Гораздо сложнее принять решение о том, что делать с конкретными нарушителями, какие меры взыскания можно применить и почему. Мы предлагаем использовать простую модель принятия решения, о которой и расскажем в этой статье.

Для того чтобы понять, что делать по каждому конкретному инциденту, по которому мы установили нарушителя правил обработки и хранения информации, мы предлагаем ответить на 5 простых вопросов. А точнее, выбрать один из вариантов ответа и в дальнейшем просуммировать баллы. Вопросы и варианты ответов на них представлены в табл. 1.

Табл. 1. Вопросы и варианты ответов на них

Вопрос

Варианты ответа и баллы

Какова величина ущерба?

Крупный – 6

Неизвестно, или пока ущерба нет, но может быть в ближайшем будущем – 3

Ущерба нет и, скорее всего, не будет – 1

Выявлен ли умысел сотрудника?

Да – 3

Неизвестно, умысел не очевиден – 1

Нет, инцидент произошел по ошибке или невнимательности – 0

Какой уровень доверия к сотруднику?

Низкий. Сотрудника знаем плохо, это новый или временный сотрудник, сотрудник на увольнении или «на особом контроле» – 3

Обычный –  1

Высокий – 0

Были ли у сотрудника инциденты до этого?

Да – 2

Нет (в системе DLP не зафиксировано) – 0

 

Какова вероятность, что инцидент повторится у этого сотрудника?

Высокая – 3

Средняя (скорее, нет, маловероятно) – 1

Низкая – 0

Итого баллов (сумма)

 

Условно мы можем разделить инциденты на 3 группы по степени критичности (см. табл. 2).

Табл. 2. Группы инцидентов по степени критичности

Группа

Сумма баллов

Уровень критичности инцидента

Принятие решения

А

1–5

Низкий

Сотрудник ИБ

Б

6–12

Средний

Руководство и отдел персонала

В

13–17

Высокий

Руководство и отдел персонала, юристы и сотрудник ИБ

Группа А Если общая сумма баллов от 1 до 5, сотрудник подразделения информационной безопасности может самостоятельно выбрать один из вариантов воздействия:

  1. Перевести сотрудника в группу «особого контроля» и более пристально контролировать его каналы коммуникации.
  2. Запросить объяснительную у сотрудника и/или его руководителя.
  3. Провести профилактическую беседу с сотрудником и/или его руководителем.

Группа Б Если общая сумма баллов от 6 до 12, по согласованию и при взаимодействии с руководством компании и сотрудниками отдела персонала можно:

  1. Лишить благ и привилегий (в том числе расширенных прав доступа).
  2. Применить дисциплинарное взыскание в виде замечания или выговора (ТК РФ ст. 192). При этом следует строго соблюдать порядок применения дисциплинарных взысканий (ТК РФ ст. 193).

Группа В Если общая сумма баллов от 13 до 17, стоит рассмотреть варианты более строгих наказаний:

  1. Принять решение об увольнении по инициативе работника или по соглашению сторон (ТК РФ ст. 80 и 78).
  2. Применить дисциплинарное взыскание в виде увольнения по соответствующим основаниям. Например, за разглашение охраняемой законом тайны (ТК РФ ст. 81 п. 6).
  3. Принять решение о возмещении ущерба за счет сотрудника. Обратите внимание, если прямой действительный ущерб превышает средний месячный заработок работника, для его возмещения необходимо судебное решение.
  4. Принять решение об уголовном преследовании нарушителя. Здесь необходимо подготовить заявление в МВД России (в некоторых случаях в ФСБ России) и в дальнейшем активно помогать следственным действиям.

Обычно специалист по информационной безопасности не может принимать соответствующее решение самостоятельно и должен обосновывать и согласовывать его с руководством организации, юристами и специалистами отдела персонала.

Отдельно отметим, что выбор решений с 5-го по 9-е предполагает наличие в организации зрелой системы «бумажной безопасности»: должны быть определены и документированы перечень информации ограниченного доступа, правила обработки и хранения такой информации, базовые правила защиты информации (например, парольной защиты и допустимого использования систем и сервисов). Если в организации обрабатывается информация, составляющая коммерческую тайну, должен быть реализован соответствующий режим (по № 98-ФЗ «О коммерческой тайне»). Это необходимо, для того чтобы минимизировать юридические риски возможных судебных тяжб с работником.

А как же система DLP? Может ли она помочь при определении уровня критичности инцидента? Конечно, и по нашему мнению, современная система DLP обязана это делать. Покажем, как это реализовано на примере решения Solar Dozor, совместив 5 вопросов предлагаемой нами методики с функционалом продукта.

Возможности системы Solar Dozor

Какова величина ущерба от того или иного инцидента? При условии, что в организации настроен процесс управления рисками, ответить на этот вопрос аналитику ИБ помогает реализованная в Solar Dozor инцидентная модель расследования нарушений политики безопасности. Администратор может создавать политику с возможностью генерирования так называемых событий ИБ и интерпретировать собранные события, автоматически соотнося их с определенным типом угроз, актуальным для организации. Зная тип угрозы, специалист может оценить её приоритет и ущерб, который она может принести.

Выявлен ли умысел сотрудника? При расследовании того или иного инцидента аналитик службы ИБ в первую очередь обязан в кратчайшие сроки установить круг подозреваемых лиц и постараться определить, произошел ли инцидент случайно, так сказать, по недосмотру, или же он стал следствием осознанного, целенаправленного и, что еще хуже, систематического нарушения политик информационной безопасности компании. На данном этапе огромным подспорьем в работе аналитика будет являться реализованная в Solar Dozor возможность многофакторного анализа архива коммуникаций сотрудников (см. рис. 1).

Рис. 1. Пример анализа архива коммуникаций сотрудника

Помимо этого, аналитик ИБ имеет возможность напрямую из окна инцидента просматривать досье всех участников коммуникации и по данным «Досье» строить в графическом интерфейсе граф переписки той или иной персоны, выявляя круг неформального общения, проводить поиск неявных связей, выявлять скрытые связи между людьми, устанавливая в конечном счете круг причастных лиц.

Рис. 2. Карточка досье персоны, хранящая всю необходимую информацию

Каков уровень доверия к сотруднику? Определить уровень доверия к сотруднику буквально в один клик помогает одноименный функционал в Solar Dozor. Дело в том, что изначально все персоны и адреса в Solar Dozor имеют числовой показатель «Уровень доверия». Он создается автоматически на основе статистики нарушений и позволяет находить и выявлять явных и скрытых нарушителей, проводить поведенческий анализ, а также определять соответствие поведения сотрудников правилам компании.

Для персон и адресов считаются среднее значение (среднее арифметическое) и стандартное отклонение (среднеквадратическое) уровня доверия за последние 30 дней.

Были ли у сотрудника инциденты до этого? Опираясь на функционал «Досье», аналитик безопасности может видеть сводную информацию по истории всех произошедших инцидентов того или иного сотрудника по уровням их критичности. Тем самым в один или два клика он может ответить на четвертый вопрос предлагаемой нами методики.

Какова вероятность, что инцидент у этого сотрудника повторится? Данный вопрос, пожалуй, является самым сложным, ответить на него можно только экспертно, опираясь как на совокупность выявленных фактов о деятельности сотрудника (история его нарушений, уровень доверия к нему и т.п.), так и на контекст инцидента (например, круг вовлеченных лиц и скрытые связи внутри организации).

Таким образом, опираясь на предлагаемый в Solar Dozor функционал, аналитик службы безопасности может осуществлять глубокий анализ и расследование инцидента, в том числе на основе выявленных системой внутренних взаимосвязей между участниками подозрительной коммуникации (как внутри компании, так и вовне). Результат этой работы – эффективное расследование и классификация инцидента ИБ, выявление причастного к нему круга лиц.

Заключение

Конечно, если эта модель кажется вам слишком простой, вы всегда можете усложнить и адаптировать ее под контекст конкретной организации. Для этого может быть пересмотрен перечень вопросов и/или весовых значений ответов на них. Однако, по нашему опыту, представленная модель является достаточно удобной и сбалансированной. Поэтому рекомендуем ориентироваться именно на нее.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su