© 1995-2022 Компания «Инфосистемы Джет»
Методика принятия решения по инцидентам, выявленным DLP
Информационная безопасность Информационная безопасность

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Главная>Информационная безопасность>Простая методика принятия решения по инцидентам, выявленным DLP
Информационная безопасность Тема номера

Простая методика принятия решения по инцидентам, выявленным DLP

22.09.2015

Посетителей: 268

Просмотров: 234

Время просмотра: 2.3

Авторы

Спикер
Андрей Тимошенков Руководитель направления Solar Dozor компании Solar Security
DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности. При этом стоит отметить, что эффективность мониторинга и контроля зависит не только от технического решения и его настроек, но и от процедуры управления инцидентами, принятой в компании.

 

 

Выявлять и расследовать инциденты не сложно – современные DLP-системы обладают функционалом, позволяющим существенно упростить подобные задачи:

 

  • механизмом контентного и контекстного анализа;
  • архивом всей переписки и возможностью построения сложных поисковых запросов;
  • интерактивными графами связей (сообщений) между сотрудниками;
  • механизмами оценки «Уровня доверия» и «Досье» на сотрудников;
  • и др.

 Гораздо сложнее принять решение о том, что делать с конкретными нарушителями, какие меры взыскания можно применить и почему. Мы предлагаем использовать простую модель принятия решения, о которой и расскажем в этой статье.

 

Для того чтобы понять, что делать по каждому конкретному инциденту, по которому мы установили нарушителя правил обработки и хранения информации, мы предлагаем ответить на 5 простых вопросов. А точнее, выбрать один из вариантов ответа и в дальнейшем просуммировать баллы. Вопросы и варианты ответов на них представлены в табл. 1.

 

Табл. 1. Вопросы и варианты ответов на них

 

Вопрос

Варианты ответа и баллы

Какова величина ущерба?

Крупный – 6

Неизвестно, или пока ущерба нет, но может быть в ближайшем будущем – 3

Ущерба нет и, скорее всего, не будет – 1

Выявлен ли умысел сотрудника?

Да – 3

Неизвестно, умысел не очевиден – 1

Нет, инцидент произошел по ошибке или невнимательности – 0

Какой уровень доверия к сотруднику?

Низкий. Сотрудника знаем плохо, это новый или временный сотрудник, сотрудник на увольнении или «на особом контроле» – 3

Обычный –  1

Высокий – 0

Были ли у сотрудника инциденты до этого?

Да – 2

Нет (в системе DLP не зафиксировано) – 0

 

Какова вероятность, что инцидент повторится у этого сотрудника?

Высокая – 3

Средняя (скорее, нет, маловероятно) – 1

Низкая – 0

Итого баллов (сумма)

 

Условно мы можем разделить инциденты на 3 группы по степени критичности (см. табл. 2).

Табл. 2. Группы инцидентов по степени критичности

Группа

Сумма баллов

Уровень критичности инцидента

Принятие решения

А

1–5

Низкий

Сотрудник ИБ

Б

6–12

Средний

Руководство и отдел персонала

В

13–17

Высокий

Руководство и отдел персонала, юристы и сотрудник ИБ

 

Группа А Если общая сумма баллов от 1 до 5, сотрудник подразделения информационной безопасности может самостоятельно выбрать один из вариантов воздействия:

  1. Перевести сотрудника в группу «особого контроля» и более пристально контролировать его каналы коммуникации.
  2. Запросить объяснительную у сотрудника и/или его руководителя.
  3. Провести профилактическую беседу с сотрудником и/или его руководителем.

 

Группа Б Если общая сумма баллов от 6 до 12, по согласованию и при взаимодействии с руководством компании и сотрудниками отдела персонала можно:

  1. Лишить благ и привилегий (в том числе расширенных прав доступа).
  2. Применить дисциплинарное взыскание в виде замечания или выговора (ТК РФ ст. 192). При этом следует строго соблюдать порядок применения дисциплинарных взысканий (ТК РФ ст. 193).

 

Группа В Если общая сумма баллов от 13 до 17, стоит рассмотреть варианты более строгих наказаний:

  1. Принять решение об увольнении по инициативе работника или по соглашению сторон (ТК РФ ст. 80 и 78).
  2. Применить дисциплинарное взыскание в виде увольнения по соответствующим основаниям. Например, за разглашение охраняемой законом тайны (ТК РФ ст. 81 п. 6).
  3. Принять решение о возмещении ущерба за счет сотрудника. Обратите внимание, если прямой действительный ущерб превышает средний месячный заработок работника, для его возмещения необходимо судебное решение.
  4. Принять решение об уголовном преследовании нарушителя. Здесь необходимо подготовить заявление в МВД России (в некоторых случаях в ФСБ России) и в дальнейшем активно помогать следственным действиям.

 

Обычно специалист по информационной безопасности не может принимать соответствующее решение самостоятельно и должен обосновывать и согласовывать его с руководством организации, юристами и специалистами отдела персонала.

 

Отдельно отметим, что выбор решений с 5-го по 9-е предполагает наличие в организации зрелой системы «бумажной безопасности»: должны быть определены и документированы перечень информации ограниченного доступа, правила обработки и хранения такой информации, базовые правила защиты информации (например, парольной защиты и допустимого использования систем и сервисов). Если в организации обрабатывается информация, составляющая коммерческую тайну, должен быть реализован соответствующий режим (по № 98-ФЗ «О коммерческой тайне»). Это необходимо, для того чтобы минимизировать юридические риски возможных судебных тяжб с работником.

 

А как же система DLP? Может ли она помочь при определении уровня критичности инцидента? Конечно, и по нашему мнению, современная система DLP обязана это делать. Покажем, как это реализовано на примере решения Solar Dozor, совместив 5 вопросов предлагаемой нами методики с функционалом продукта.

 

Возможности системы Solar Dozor

 

Какова величина ущерба от того или иного инцидента? При условии, что в организации настроен процесс управления рисками, ответить на этот вопрос аналитику ИБ помогает реализованная в Solar Dozor инцидентная модель расследования нарушений политики безопасности. Администратор может создавать политику с возможностью генерирования так называемых событий ИБ и интерпретировать собранные события, автоматически соотнося их с определенным типом угроз, актуальным для организации. Зная тип угрозы, специалист может оценить её приоритет и ущерб, который она может принести.

 

Выявлен ли умысел сотрудника? При расследовании того или иного инцидента аналитик службы ИБ в первую очередь обязан в кратчайшие сроки установить круг подозреваемых лиц и постараться определить, произошел ли инцидент случайно, так сказать, по недосмотру, или же он стал следствием осознанного, целенаправленного и, что еще хуже, систематического нарушения политик информационной безопасности компании. На данном этапе огромным подспорьем в работе аналитика будет являться реализованная в Solar Dozor возможность многофакторного анализа архива коммуникаций сотрудников (см. рис. 1).

 

Рис. 1. Пример анализа архива коммуникаций сотрудника

 

Помимо этого, аналитик ИБ имеет возможность напрямую из окна инцидента просматривать досье всех участников коммуникации и по данным «Досье» строить в графическом интерфейсе граф переписки той или иной персоны, выявляя круг неформального общения, проводить поиск неявных связей, выявлять скрытые связи между людьми, устанавливая в конечном счете круг причастных лиц.

 

Рис. 2. Карточка досье персоны, хранящая всю необходимую информацию

 

Каков уровень доверия к сотруднику? Определить уровень доверия к сотруднику буквально в один клик помогает одноименный функционал в Solar Dozor. Дело в том, что изначально все персоны и адреса в Solar Dozor имеют числовой показатель «Уровень доверия». Он создается автоматически на основе статистики нарушений и позволяет находить и выявлять явных и скрытых нарушителей, проводить поведенческий анализ, а также определять соответствие поведения сотрудников правилам компании.

 

Для персон и адресов считаются среднее значение (среднее арифметическое) и стандартное отклонение (среднеквадратическое) уровня доверия за последние 30 дней.

 

Были ли у сотрудника инциденты до этого? Опираясь на функционал «Досье», аналитик безопасности может видеть сводную информацию по истории всех произошедших инцидентов того или иного сотрудника по уровням их критичности. Тем самым в один или два клика он может ответить на четвертый вопрос предлагаемой нами методики.

 

Какова вероятность, что инцидент у этого сотрудника повторится? Данный вопрос, пожалуй, является самым сложным, ответить на него можно только экспертно, опираясь как на совокупность выявленных фактов о деятельности сотрудника (история его нарушений, уровень доверия к нему и т.п.), так и на контекст инцидента (например, круг вовлеченных лиц и скрытые связи внутри организации).

 

Таким образом, опираясь на предлагаемый в Solar Dozor функционал, аналитик службы безопасности может осуществлять глубокий анализ и расследование инцидента, в том числе на основе выявленных системой внутренних взаимосвязей между участниками подозрительной коммуникации (как внутри компании, так и вовне). Результат этой работы – эффективное расследование и классификация инцидента ИБ, выявление причастного к нему круга лиц.

 

Заключение

 

Конечно, если эта модель кажется вам слишком простой, вы всегда можете усложнить и адаптировать ее под контекст конкретной организации. Для этого может быть пересмотрен перечень вопросов и/или весовых значений ответов на них. Однако, по нашему опыту, представленная модель является достаточно удобной и сбалансированной. Поэтому рекомендуем ориентироваться именно на нее.

Уведомления об обновлении тем – в вашей почте

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

Средства анализа в «Дозор-Джет»

Требование, которое стояло перед системами защиты от утечек на протяжении нескольких последних лет, выполнено: сегодня контролю подвергаются все или практически все каналы утечки информации. Проблема сегодняшнего дня – как в этом непрерывно растущем потоке данных найти утечку.

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Нюансы внедрения DLP: наш опыт

Для начала нужно определиться с основными предпосылками появления DLP-системы в компании. Внедрение DLP-решения, как правило, - реакция на конкретный инцидент утечки конфиденциальной/критичной информации, который выявил уязвимость в существующей системе информационной безопасности.

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

DLP - не роскошь, а средство комфортного предупреждения утечек

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня