Архив
<< Июль, 2012 >>
Пн Вт Ср Чт Пт Сб Вс
1
2345678
9101112131415
16171819202122
23242526272829
3031

Типовая Методика расследования инцидентов для "малых" компаний

Tatyana Seredkina 2011-01-20 14:03:00
Наша компания выпустила dlp-решение для "малых" предприятий:
1. в штате которых не
всегда
есть настоящий офицер безопасности
2. внедрение системы должно происходить простой инсталляцией на оборудование предприятия
3. настройка правил анализа исходящего трафика так же должна настраиваться самостоятельно, без привлечения
сторонних
организаций.
Мною разработан черновик типовой методики (во вложении) для таких компаний.
Хотелось бы получить оценку со стороны профессионалов, особенно, что касается форм документов для учета инцидентов - соответствуют предложенные
формы
и рекомендации тому, что реально
требуется
или нет
Буду признательна, если кто-то из специалистов выскажет свои замечания.
Чтобы тема не расценивалась как реклама, название разработанной системы из документа убрано

-
malotavr 2011-01-25 18:09:00
По документу.
1. Часть 1 не соответствует заявленной вами целевой аудитории. Не будет айтишник-на-пол-ставки разбираться ни в целях
создания
системы, ни в копипасте из викисека, ни, тем более, в оптимизации затрат.
2. "2.4.2. Определение уязвимостей" не имеет никакого отношения к уязвимостям
3. "2.6.1. Охрана документов" - настроили, теперь каждый аттач в письме будет форвардится человеку, который даже не офицер безопасности. И что он должен с этой помойкой делать?
Чисто из вредности: а если он, не дай бог, последует рекомендации и поставит режим блокировки, то Систему снесут через неделю - она ведь будет честно
блокировать
все аттачи, даже нужные, не так ли?
4. "2.6.2. Защита персональных данных": "В данное правило ввести шаблон в соответствии с порядком хранения персональных
данных в информационной системе обработки персональных данных
"
Убило напрочь.
Я
даже для стандартизованого кадрого учета не взялся бы такие шаблоны разработать, о кастомной клиентской базе вообще молчу. А вы предлагаете делать это "даже не офицеру безопасности".
5. "2.6.4. Защита отсканированных документов и отправляемых факсов" - см. п. 3: что со всем этим хламом делать?
6. "2.8.1.
Исключение
использования
анонимных прокси": переименуйте в "Исключение поиска анонимных прокси", так будет честнее
7. "2.8.2. Выявление наиболее
посещаемых
Интернет-ресурсов"
Вы собственный рисунок 4 видели? Как доктор говорю - топ1000 наиболее частых сайтов будут counter.rambler.ru, баннерные сети и т.п. Вы всерьез считаете,
что
"не офицер безопасности" будет их отфильтровывать,
а
оставшее оценивать на принадлежность к разным категориям?
8. "ГЛАВА 4. РАССЛЕДОВАНИЕ НАРУШЕНИЯ": "при поступлении оповещения
о
НАРУШЕНИИ..." - а как из кучи уведомлений выделить уведомления именно о нарушении?
9. "Все СООБЩЕНИЯ, перехватываемые СИСТЕМОЙ, должны быть проанализированы офицером (администратором)
безопасности
на наличие в них защищаемой информации (составляющей коммерческую тайну)."
Откуда в SME офицер (администратор) безопасности?
Короче, вы не раскрыли самый главный вопрос: как зафиксировать утечку конфиденциальной информации на фоне легитимной деятельности пользователей. Насколько я могу судить по инструкции, в режиме охраны документов и сканов фиксироваться будет все.
В целом - нежизнеспособно, особенно для SME.

box_roller 2011-01-20 14:36:00
Сумбурный документ.
Называется "Методика по расследованию внутренних
нарушений информационной безопасности" а описывает все на свете.
Мое замечание:
не
понятно какие цели преследует данный документ и на какую аудиторию рассчитан.

Tatyana Seredkina 2011-01-20 16:03:00
box_roller, Спасибо за быстрый ответ.
Аудитория - специалист компании размер которой 5-25 человек, где будут использовать Систему для контроля и, если Система
зарегистрирует
Нарушение, для расследования.
Рассчитано, что настраивать Систему специалисты компании так же будут самостоятельно и, чтобы ставить, к примеру документы на охрану для начала должны будут разобраться что ставить на охрану и что - нет.
Поэтому бОльшая часть документа описывает кто
может
допускать нарушения и подготовительные мероприятия.
Предустоновленные типы Правил в Системе уже есть: Нетрудовая активность, Поисковая активность, Охраняемые документы, Тематические документы, Персональные данные и еще ряд типов
правил
в качестве начальной настройки, но для каждого предприятия свои контролируемые и каналы и ресурсы, поэтому в подготовительных мероприятиях и описано по какому
принципу
создавать собственные Правила.
Понятно, что небольшое предприятие не банк, и нет регламентов которых жестко придерживаются,
но
для начала работы хотелось бы описать некие рекомендации, которые помогут на начальном этапе использования Системы.

-
box_roller 2011-01-20 16:22:00
То есть речь идет о сисадмине... возможно с частичной занятостью. И если в процессе написания документа не забывать для кого он,
то
изложение получиться совсем иным.
Для данной аудитории нужна только глава 3 и 4. Остальное "вода".

Алексей Лукацкий 2011-01-20 16:42:00
Я скажу больше - для указанной целевой аудитории такие продукты, как САМОСТОЯТЕЛЬНЫЕ единицы, вообще не нужны.
Ибо
компания
на
5-25 человек не имеет не только отдельного ИБ-человека, который бы понимал, что такое инцидент и желал бы заниматься заполнением "дурацких" форм, но и вообще из средств защиты они понимают только антивирус и файрволл (именно в такой транскрипции) внутри маршрутизатора.

Tatyana Seredkina 2011-01-20 17:00:00
Алексей Лукацкий, т.е руководителю, который при помощи Системы выяснил, что некий сотрудник ведет некорректную переписку, в которой "сливает" информацию об участии компании в торгах, аукционах либо сообщает в частной переписке
условия
договора и/или названия юридического лица и подобное, достаточно просто в курилке "настучать по шапке", ни в
каких
формах не фиксируя анализ по нарушению?

-
VSolon 2011-01-21 17:21:00
При помощи системы (извините что со строчной) руководитель ничего не выяснит, выяснит с помощью комплекса мероприятий, где система быть может и пригодится.
Система не
перехватит
звонок по сотовому в котором не лояльный сотрудник скажет: "Да, ты был
прав
в том вопросе который мы обсуждали с тобой позавчера в баре, той племяннице уже 19 с половиной
лет
и не больше как я думал раньше."
Система боюсь не перехватит снимки сделанные с экрана компьютера сотовым телефоном, причем делать это можно совершенно незаметно установив режим видеозаписи а не фотографирования.
Случайных нарушителей - быть может поймает, но со словами ключевыми намучатся придется немало.

Алексей Лукацкий 2011-01-20 19:40:00
Конечно. Он просто уволит сотрудника и все. Ему вообще никаких доказательств бывает не надо. И уж тем более он не
будет
ради этого покупать какое-то непонятное ему решение, название которого отличается от "антивируса".

Tatyana Seredkina 2011-01-24 12:06:00
VSolon, Спасибо за корректное замечание.
В таком случае прошу еще совета, что из рекомендаций с практической точки зрения, именно от специалистов-практиков следует добавить.
Ситуация ведь очень простая, со временем, для закрытия предписания операторам ПДн нужно будет выстраивать некую систему защиты.
И, безусловно цена вопроса при приобретении системы для перекрытия каналов утечки
будет
играть свою роль.
Но доступная по цене система и не требующая дополнительных затрат на внедрение (я не говорю про период адаптации и "дотачивания" правил обработки под себя),
требует
полноценных документов
с
описанием, для самостоятельной настройки.

Шауро Евгений 2011-01-24 16:37:00
Немного юмора:
Прочитал в документации настройки на фразу "лови резюме" и подумал, что можно притащить в офис нетбук со "своим" интернетом и рассылать, что угодно кому угодно. У нас, собственно,
каждый
третий
сотрудник
"выступает со своим роялем".

Шауро Евгений 2011-01-24 16:39:00
Если по существу,
то
этот сегмент (мини DLP) не особо то и занят. И как раз мелким компаниям может быть интересен "DLP из коробки".

Алексей Лукацкий 2011-01-25 10:22:00
Он им не интересен. Поверьте на слово ;-) Как и вообще любая
безопасность
для малого бизнеса, отличающаяся от антивируса и, может быть, "файрволла".
Известное мне исследование ИБ для малого
бизнеса
только доказывает личный опыт. И мелкие конторы не запугать даже ФЗ-152, который скоро вообще превратится в пустышку.

Шауро Евгений 2011-01-25 14:55:00
Когда-то Active Directory была сложной системой и использовалась только
начиная
со средних компаний (я не говорю, что она
на
самом деле простая). Сейчас AD может развернуть любой школьник. Наверное тоже будет и с DLP системами: кто-то создаст простую и понятную систему и будет заниматься, как это называется в интеграции, boxmoving'ом.

security_user 2011-01-25 15:54:00
Использование компаниями dlp-решений предполагает определенный уровень зрелости этих компаний с точки зрения ИБ.
Ну а какой уровень
зрелости
подавляющего большинства компаний малого бизнеса ... Лукацкий написал кратко но точно

Tatyana Seredkina 2011-01-25 17:27:00
Алексей Лукацкий, Известное мне исследование
ИБ
для малого бизнеса

можно ссылку на исследование?

Tatyana Seredkina 2011-01-25 18:31:00
malotavr,
Спасибо!
Никак не разберусь как создать приватное сообщение, поэтому пишу сюда
каждый аттач в письме будет форвардится оповещение приходит в виде <время>, <что отправил>, <кто отправил>, распишу подробнее, будет настройка периода времени за который будут приходить "письма счастья"
не взялся бы такие шаблоны разработать
т.е шаблон в виде:
"%last_name% %first_name% %so_name% %passport:russia% %credit_card%"
некорректен? В данном случае шаблон
указывает
на то, что порядок следования обязателен
Защита отсканированных документов и отправляемых факсов" - см. п. 3: что со всем этим хламом делать в текущей версии пока хранить, в следующей система будет детектировать рисунок - это фотка
или
документ, но верно, будет лежать мертвым грузом
для
статистики
Как доктор говорю - топ1000
наиболее
частых сайтов будут counter.rambler.ru, баннерные сети
спасибо за подсказку - повод работать
по
исключениям, в любом случае повод думать.
Какие отличные замечания! Спасибо

-
malotavr 2011-01-26 14:39:00
Сообщение от Tatyana Seredkina
каждый аттач в письме будет форвардится оповещение приходит в виде <время>, <что отправил>, <кто отправил>,
распишу
подробнее,
будет
настройка периода времени за который будут приходить "письма счастья"
Важно другое - нет критерия, который бы позволил отфильтровать легитимную отправку документа от нелегитимной. Если так, то оператор
системы
превращается в цензора, который должен просматривать отправленные документы (по
которым
к нему придут уведомления) и по каждому из них принимать решение, легитимна была отправка или нет. Помимо трудоемкости, этот человек не всегда компетентен принимать такие решения.
Сообщение от Tatyana Seredkina
т.е шаблон в виде "%last_name% %first_name% %so_name% %passport:russia% %credit_c rd%"
некорректен?
По кадровому учету Госкомстатом выпущено 19 унифицированных форм учета кадров. Все эти формы содержат
персональные
данные работников. Для того, чтобы сделать шаблоны, нужно:
- внимательно посмотреть на эти формы;
- выделить из них собственно персональные данные;
- понять, как для этого набора
персональных
данных должен выглядеть шаблон.
Задача нетривиальная, а ведь речь идет об унифицированных формах. Если же рассматривать документы, написанные в
свободной
форме,
то
эта задача может и совсем не решаться.
Ну вот примерно это я и имел в виду

Шауро Евгений 2011-02-03 15:08:00
Ага)
Забыть
= передать в ИТ на поддержку

-
Toparenko 2011-02-04 08:18:00
Никогда не пробовали состыковывать статистику обнаружения вирусов у юзверя с мониторингом посещаемых им сайтов и/или подключения отчуждаемых носителей (если таковое ему разрешено)?
Установку антивируса пользователям, его обновление и поддержку
я
еще могу понять когда отдают ИТ.
Но
доступ к статистике и анализ отлова "забыть" нельзя.

-
-
Алексей Лукацкий 2011-02-04 12:16:00
Также как и
процесс
реагирования на инциденты ;-)

-
-
Uomo 2011-02-07 10:57:00
Совершенно согласен с вышесказанным. Потому что ИТ, как правило после установки в сети антивируса, и настройки регулярных обновлений
и
сами забывают про него.
Как
итог - часть клиентских машин не обновляется, на части не производится проверка, на отдельных экземплярах антивирус вообще отключен по каким-либо причинам.
И все потому что
поддержкой
ИТ инфраструктуры и обеспечением ее безопасности должны заниматься разные подразделения. Ведь ИТ отдел не заинтересован в обеспечении безопасности, он заинтересован в том, чтобы все работало. А какими средствами эта цель достигнута, зачастую не так уж и важно.

Информация