© 1995-2021 Компания «Инфосистемы Джет»
Методика принятия решения по инцидентам, выявленным DLP
Информационная безопасность

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Информационная безопасность Тема номера

Простая методика принятия решения по инцидентам, выявленным DLP

Автор
Андрей Тимошенков Руководитель направления Solar Dozor компании Solar Security

22.09.2015

Посетителей: 296

Просмотров: 246

Время просмотра: 1.7 мин.

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности. При этом стоит отметить, что эффективность мониторинга и контроля зависит не только от технического решения и его настроек, но и от процедуры управления инцидентами, принятой в компании.

 

 

Выявлять и расследовать инциденты не сложно – современные DLP-системы обладают функционалом, позволяющим существенно упростить подобные задачи:

 

  • механизмом контентного и контекстного анализа;
  • архивом всей переписки и возможностью построения сложных поисковых запросов;
  • интерактивными графами связей (сообщений) между сотрудниками;
  • механизмами оценки «Уровня доверия» и «Досье» на сотрудников;
  • и др.

 Гораздо сложнее принять решение о том, что делать с конкретными нарушителями, какие меры взыскания можно применить и почему. Мы предлагаем использовать простую модель принятия решения, о которой и расскажем в этой статье.

 

Для того чтобы понять, что делать по каждому конкретному инциденту, по которому мы установили нарушителя правил обработки и хранения информации, мы предлагаем ответить на 5 простых вопросов. А точнее, выбрать один из вариантов ответа и в дальнейшем просуммировать баллы. Вопросы и варианты ответов на них представлены в табл. 1.

 

Табл. 1. Вопросы и варианты ответов на них

 

Вопрос

Варианты ответа и баллы

Какова величина ущерба?

Крупный – 6

Неизвестно, или пока ущерба нет, но может быть в ближайшем будущем – 3

Ущерба нет и, скорее всего, не будет – 1

Выявлен ли умысел сотрудника?

Да – 3

Неизвестно, умысел не очевиден – 1

Нет, инцидент произошел по ошибке или невнимательности – 0

Какой уровень доверия к сотруднику?

Низкий. Сотрудника знаем плохо, это новый или временный сотрудник, сотрудник на увольнении или «на особом контроле» – 3

Обычный –  1

Высокий – 0

Были ли у сотрудника инциденты до этого?

Да – 2

Нет (в системе DLP не зафиксировано) – 0

 

Какова вероятность, что инцидент повторится у этого сотрудника?

Высокая – 3

Средняя (скорее, нет, маловероятно) – 1

Низкая – 0

Итого баллов (сумма)

 

Условно мы можем разделить инциденты на 3 группы по степени критичности (см. табл. 2).

Табл. 2. Группы инцидентов по степени критичности

Группа

Сумма баллов

Уровень критичности инцидента

Принятие решения

А

1–5

Низкий

Сотрудник ИБ

Б

6–12

Средний

Руководство и отдел персонала

В

13–17

Высокий

Руководство и отдел персонала, юристы и сотрудник ИБ

 

Группа А Если общая сумма баллов от 1 до 5, сотрудник подразделения информационной безопасности может самостоятельно выбрать один из вариантов воздействия:

  1. Перевести сотрудника в группу «особого контроля» и более пристально контролировать его каналы коммуникации.
  2. Запросить объяснительную у сотрудника и/или его руководителя.
  3. Провести профилактическую беседу с сотрудником и/или его руководителем.

 

Группа Б Если общая сумма баллов от 6 до 12, по согласованию и при взаимодействии с руководством компании и сотрудниками отдела персонала можно:

  1. Лишить благ и привилегий (в том числе расширенных прав доступа).
  2. Применить дисциплинарное взыскание в виде замечания или выговора (ТК РФ ст. 192). При этом следует строго соблюдать порядок применения дисциплинарных взысканий (ТК РФ ст. 193).

 

Группа В Если общая сумма баллов от 13 до 17, стоит рассмотреть варианты более строгих наказаний:

  1. Принять решение об увольнении по инициативе работника или по соглашению сторон (ТК РФ ст. 80 и 78).
  2. Применить дисциплинарное взыскание в виде увольнения по соответствующим основаниям. Например, за разглашение охраняемой законом тайны (ТК РФ ст. 81 п. 6).
  3. Принять решение о возмещении ущерба за счет сотрудника. Обратите внимание, если прямой действительный ущерб превышает средний месячный заработок работника, для его возмещения необходимо судебное решение.
  4. Принять решение об уголовном преследовании нарушителя. Здесь необходимо подготовить заявление в МВД России (в некоторых случаях в ФСБ России) и в дальнейшем активно помогать следственным действиям.

 

Обычно специалист по информационной безопасности не может принимать соответствующее решение самостоятельно и должен обосновывать и согласовывать его с руководством организации, юристами и специалистами отдела персонала.

 

Отдельно отметим, что выбор решений с 5-го по 9-е предполагает наличие в организации зрелой системы «бумажной безопасности»: должны быть определены и документированы перечень информации ограниченного доступа, правила обработки и хранения такой информации, базовые правила защиты информации (например, парольной защиты и допустимого использования систем и сервисов). Если в организации обрабатывается информация, составляющая коммерческую тайну, должен быть реализован соответствующий режим (по № 98-ФЗ «О коммерческой тайне»). Это необходимо, для того чтобы минимизировать юридические риски возможных судебных тяжб с работником.

 

А как же система DLP? Может ли она помочь при определении уровня критичности инцидента? Конечно, и по нашему мнению, современная система DLP обязана это делать. Покажем, как это реализовано на примере решения Solar Dozor, совместив 5 вопросов предлагаемой нами методики с функционалом продукта.

 

Возможности системы Solar Dozor

 

Какова величина ущерба от того или иного инцидента? При условии, что в организации настроен процесс управления рисками, ответить на этот вопрос аналитику ИБ помогает реализованная в Solar Dozor инцидентная модель расследования нарушений политики безопасности. Администратор может создавать политику с возможностью генерирования так называемых событий ИБ и интерпретировать собранные события, автоматически соотнося их с определенным типом угроз, актуальным для организации. Зная тип угрозы, специалист может оценить её приоритет и ущерб, который она может принести.

 

Выявлен ли умысел сотрудника? При расследовании того или иного инцидента аналитик службы ИБ в первую очередь обязан в кратчайшие сроки установить круг подозреваемых лиц и постараться определить, произошел ли инцидент случайно, так сказать, по недосмотру, или же он стал следствием осознанного, целенаправленного и, что еще хуже, систематического нарушения политик информационной безопасности компании. На данном этапе огромным подспорьем в работе аналитика будет являться реализованная в Solar Dozor возможность многофакторного анализа архива коммуникаций сотрудников (см. рис. 1).

 

Рис. 1. Пример анализа архива коммуникаций сотрудника

 

Помимо этого, аналитик ИБ имеет возможность напрямую из окна инцидента просматривать досье всех участников коммуникации и по данным «Досье» строить в графическом интерфейсе граф переписки той или иной персоны, выявляя круг неформального общения, проводить поиск неявных связей, выявлять скрытые связи между людьми, устанавливая в конечном счете круг причастных лиц.

 

Рис. 2. Карточка досье персоны, хранящая всю необходимую информацию

 

Каков уровень доверия к сотруднику? Определить уровень доверия к сотруднику буквально в один клик помогает одноименный функционал в Solar Dozor. Дело в том, что изначально все персоны и адреса в Solar Dozor имеют числовой показатель «Уровень доверия». Он создается автоматически на основе статистики нарушений и позволяет находить и выявлять явных и скрытых нарушителей, проводить поведенческий анализ, а также определять соответствие поведения сотрудников правилам компании.

 

Для персон и адресов считаются среднее значение (среднее арифметическое) и стандартное отклонение (среднеквадратическое) уровня доверия за последние 30 дней.

 

Были ли у сотрудника инциденты до этого? Опираясь на функционал «Досье», аналитик безопасности может видеть сводную информацию по истории всех произошедших инцидентов того или иного сотрудника по уровням их критичности. Тем самым в один или два клика он может ответить на четвертый вопрос предлагаемой нами методики.

 

Какова вероятность, что инцидент у этого сотрудника повторится? Данный вопрос, пожалуй, является самым сложным, ответить на него можно только экспертно, опираясь как на совокупность выявленных фактов о деятельности сотрудника (история его нарушений, уровень доверия к нему и т.п.), так и на контекст инцидента (например, круг вовлеченных лиц и скрытые связи внутри организации).

 

Таким образом, опираясь на предлагаемый в Solar Dozor функционал, аналитик службы безопасности может осуществлять глубокий анализ и расследование инцидента, в том числе на основе выявленных системой внутренних взаимосвязей между участниками подозрительной коммуникации (как внутри компании, так и вовне). Результат этой работы – эффективное расследование и классификация инцидента ИБ, выявление причастного к нему круга лиц.

 

Заключение

 

Конечно, если эта модель кажется вам слишком простой, вы всегда можете усложнить и адаптировать ее под контекст конкретной организации. Для этого может быть пересмотрен перечень вопросов и/или весовых значений ответов на них. Однако, по нашему опыту, представленная модель является достаточно удобной и сбалансированной. Поэтому рекомендуем ориентироваться именно на нее.

Уведомления об обновлении тем – в вашей почте

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

Не совсем информационная безопасность

Информационная безопасность – одна из самых обсуждаемых тем в ИТ

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и ...

Внедрение системы контроля утечек информации на основе Symantec DLP в «Евразийском банке»

Евразийский банк является активным участником финансового рынка Казахстана. На начало 2009 года банк представлен во всех крупнейших городах Казахстана 18 филиалами и 50 отделениями.

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня