Разработка методических рекомендаций по выявлению инцидентов информационной безопасности с использованием DLP-систем
Курсовая
работа
по
информационно-аналитическому обеспечению безопасности информационных систем
на тему:
«Разработка методических рекомендаций по выявлению инцидентов информационной
безопасности с использованием DLP-систем»
Содержание
Введение
. Классификация инцидентов
информационной безопасности
2. Анализ существующих
DLP-систем
2.1 InfoWatch Traffic Monitor
Enterprise
2.2 Дозор Джет
.3 SecurIT Zgate и Zlock
.4 Symantec DLP
.5 Websense DSS
.6 Trend Micro DLP
.7 Сравнительный анализ DLP-систем
по управлению, обработке инцидентов и системе отчетности о работе
3. Разработка документа
«Методические рекомендации по выявлению инцидентов информационной безопасности
с использованием DLP-систем»
.1 Титульный лист
3.2 Пояснительная записка
.3 Общие положения
.4 Инциденты информационной
безопасности. Классификация инцидентов информационной безопасности связанных с
несанкционированной отправкой / копированием конфиденциальных данных через сеть
Интернет и сменные носители
.5 Рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем
.6 Ведение базы данных учета
инцидентов информационной безопасности
Заключение
Список используемой литературы
Приложение 1
Приложение 2
Введение
При обеспечении информационной безопасности организации
одним из самых важных видов деятельности является выявление инцидентов
информационной безопасности. Необходимо понимать то, что невозможно избежать
всех инцидентов информационной безопасности, так как всегда могут происходить
события, влекущие за собой потенциальную угрозу.
Событие информационной безопасности -
идентифицированное появление определенного состояния системы, сервиса или сети,
указывающего на возможное нарушение политики ИБ или отказ защитных мер, или
возникновение неизвестной ранее ситуации, которая может иметь отношение к
безопасности.
Инцидент информационной безопасности - одно или
серия нежелательных или неожиданных событий в системе информационной
безопасности, которые имеют большой шанс скомпрометировать деловые операции и
поставить под угрозу защиту информации.
У крупных организаций каждые сутки фиксируется
большое количество событий, не являющихся инцидентами, но один пропущенный
инцидент может стоить это организации очень больших убытков, вплоть до
прекращения деятельности.
Существует множество способов борьбы с
инцидентами, как на уровне организационных процедур, так и на уровне
программных решений. Одним из наиболее эффективных методов является внедрение
системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) -
технологии предотвращения утечек конфиденциальной информации из информационной
системы вовне, а также технические устройства (программные или
программно-аппаратные) такого предотвращения утечек.
В ходе данной курсовой работы будет рассмотрена
возможность выявления инцидентов информационной безопасности с помощь DLP-систем
и разработан документ «Методические рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем».
.
Классификация инцидентов информационной безопасности
Инцидентами информационной безопасности
являются:
· утрата услуг, оборудования или устройств;
· системные сбои или перегрузки;
· ошибки пользователей;
· несоблюдение политики или
рекомендаций по ИБ;
· нарушение физических мер защиты;
· неконтролируемые изменения систем;
· сбои программного обеспечения и
отказы технических средств;
· нарушение правил доступа.
Инциденты информационной безопасности можно
классифицировать на несколько групп:
По категории критичности:
· 1 категория. Инцидент может привести к
значительным негативным последствиям (ущербу) для информационных активов или
репутации организации.
· 2 категория. Инцидент может привести
к негативным последствиям (ущербу) для информационных активов или репутации
организации.
· 3 категория. Инцидент может привести
к незначительным негативным последствиям (ущербу) для информационных активов
или репутации Банка.
· 4 категория. Инцидент не может
привести к негативным последствиям (ущербу) для информационных активов или
репутации.
Приоритеты реагирования на инциденты:
· очень высокий. Соответствует 1-й категории
критичности. Время реагирование не более 1 часа;
· высокий. Соответствует 2-й категории
критичности. Время реагирование не более 4 часов;
· средний. Соответствует 3-й категории
критичности. Время реагирование не более 8 часов;
· низкий. Соответствует 4-й категории
критичности. Время реагирование не определено.
По причине возникновения:
· Случайные.
· Намеренные.
По степени нанесенного ущерба:
· Непоправимый ущерб.
· Поправимый ущерб.
· Отсутствие ущерба.
информационный
коррупция самоуправление
2.
Анализ существующих DLP-систем
Выбор любой корпоративной системы информационной
безопасности зачастую является настолько же трудоёмким, насколько внедрение и
последующая эксплуатация. DLP-системы лишь подтверждают это: на рынке сейчас
существует несколько десятков различных продуктов с более чем сотней различных
параметров, усложняющих выбор. Ниже будут рассмотрены 6 популярных DLP-систем.
.1 InfoWatch Traffic Monitor Enterprise
Система защиты от утечек, основанная на анализе
исходящего трафика, мониторинге содержимого, передаваемого на сменные носители,
и принтеры. Собственная технология лингвистического анализа, позволяет
осуществлять категоризацию перехваченной информации и обнаруживать в ней конфиденциальные
данные. Система рассчитана на средний и крупный бизнес, госсектор с
численностью от 500 до 5 тыс. пользователей и более. Поддержка филиальной
разветвленной структуры. Возможность хранения всех событий компании до 3-х и
более лет.
.2 Дозор Джет
Шлюзовая система защиты от утечек информации,
основанная на контроле исходящего сетевого трафика, поиска хранимых данных.
Подходит для использования в среднем и крупном бизнесе, госсекторе.
.3 SecurIT Zgate и Zlock
Система защиты от утечек информации, основанная
на контроле входящего, исходящего и внутреннего сетевого трафика, поиска
хранимых данных, агентского контроля, мониторинга содержимого, передаваемого на
сменные носители и принтеры. Первая российская DLP-система с возможностью
гибридного анализа. Система рассчитана на предприятия от SMB (до 500
пользователей) до крупного бизнеса и государственных организаций (внедрения до
250 тыс. пользователей). Поддержка любой ИТ-инфраструктуры. Бессрочное хранение
событий и данных в архиве.
.4 Symantec DLP
.5 Websense DSS
Система защиты от утечек информации, основанная
на контроле исходящего сетевого трафика, поиска хранимых данных. Система
работает как на уровне шлюза, так и на уровне конечных точек сети. Используется
в среднем и крупном бизнесе.
.6 Trend Micro DLP
Система защиты от утечек информации, основанная
на контроле исходящего сетевого трафика, поиска хранимых данных, мониторинга
содержимого, передаваемого на сменные носители. Система работает как на уровне
шлюза, так и на уровне конечных точек сети. Используется в среднем бизнесе.
2.7 Сравнительный анализ DLP-систем
по управлению, обработке инцидентов и системе отчетности о работе
Детальное сравнение указанных DLP-систем
рассмотрено отдельно (Приложение 1).
В силу широкого спектра решаемых DLP-системами
задач невозможно сделать однозначный вывод о превосходстве того или иного
продукта. Благодаря данному сравнению каждая организация сможет самостоятельно
определиться, какая из DLP-систем больше других подходит для их целей. Ведь в
каждом конкретном случае организация знает, какие технологии или функциональные
возможности для неё наиболее важны, а значит, сможет сделать из сравнения
правильный именно для неё вывод.
.
Разработка документа «Методические рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем»
Методические рекомендации представляют собой
особым образом структурированную информацию, определяющую порядок, логику и
акценты выполнения каких-либо действий, процедур (в нашем случае - выявление
инцидентов информационной безопасности с использованием DLP-систем).
Как и любой другой документ, документ
«Методические рекомендации» должен быть структурирован и разбит на пункты.
План разрабатываемого документа:
· Титульный лист
· Пояснительная записка
· Общие положения
· Инциденты информационной
безопасности. Классификация инцидентов информационной безопасности связанных с
несанкционированной отправкой / копированием конфиденциальных данных через сеть
Интернет и сменные носители.
· Рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем.
· Ведение базы данных учета инцидентов
информационной безопасности.
В последовательности пунктов должна соблюдаться
логическая связь между ними. Во избежание вольных трактовок документа,
информация должна предоставляться четко и однозначно. Каждый отдельный пункт
должен предоставлять собою уникальный по отношению к другим блок информации, освещающий
собою вопрос с определенной стороны.
Далее будут рассмотрены принципы построения
каждого пункта плана в отдельности.
.1
Титульный лист
На титульном листе должны быть обозначены:
· название учреждения (в порядке
нисходящей подчиненности).
· название (с пометкой о виде
методической продукции - методические рекомендации).
· название города.
· год разработки.
.2 Пояснительная записка
В этом пункте необходимо дать
обоснование необходимости составления данного документа, краткий анализ
положения дел по рассматриваемому вопросу, определить область применения
документа. Так же необходимо определить цели разработки данных методических
рекомендаций и дать краткое описание ожидаемых результатов от их использования.
.3 Общие положения
В пункте “Общие положения”
необходимо описать сущность и структуру документа, круг лиц, обязанных
исполнять требования настоящих методических рекомендаций и задачи, которые
решают настоящие методические рекомендации.
.4 Инциденты информационной безопасности.
Классификация инцидентов информационной безопасности связанных с
несанкционированной отправкой / копированием конфиденциальных данных через сеть
Интернет и сменные носители
В этом пункте необходимо дать
определение инциденту информационной безопасности, указать классификацию
инцидентов информационной безопасности по категориям критичности, каналам
утечки, причине возникновения и по степени нанесенного ущерба.
3.5 Рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем
В данном пункте необходимо указать рекомендации
по предупреждению инцидентов информационной безопасности, рекомендации по их
выявлении и реагировании на них.
.6 Ведение базы данных учета инцидентов
информационной безопасности
В этом разделе должны быть оговорены правила
ведения базы данных учета инцидентов информационной безопасности.
Заключение
В ходе данной курсовой работы я рассмотрел общие
аспекты инцидентов информационной безопасности, обнаружения их и реагировании
при помощи DLP-систем. На
данный момент можно с уверенностью сказать, что данные системы необходимо всем
ведущим компаниям, т.к. они имеют столь важные решения:
· способны классифицировать и выделять наиболее
важные для защиты данные (развитые механизмы анализа содержимого);
· приспособлены для тотального охвата
информационных потоков организации (множество отслеживаемых каналов, развитая
система обработки инцидентов, гибкое распределение ролей);
· подстраиваются под существующие
бизнес-процессы (эффект от использования DLP достижим без организационных
преобразований и увеличения штата)
В целях изучения возможностей различных DLP-систем
был проведен их сравнительный анализ.
Для правильной работы и своевременному
реагированию на инциденты информационной безопасности в DLP-системах
был разработан документ «Методические рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем»,
содержащий предложения по первичным действиям при обнаружении инцидента
информационной безопасности, его выявление, реагирование на инцидент и внесение
его в базу данных инцидентов организации.
Список используемой литературы
1. «Сравнение систем защиты от
утечек (DLP)». Александр Панасенко.
. «Каналы утечек конфиденциальной
информации». Марат Давлетханов.
3. «Современные технологии
обнаружения утечек». Марат Давлетханов. .
. «Реагирование на инциденты
информационной безопасности». Андрей Голов.
5. «Управление инцидентами в
ИБ: формальность или необходимость?». Олеся Шелестова
6. Financial Considerations for
Government Use of Cloud Computing - Правительство
Австралии
2010.
7. Privacy and Cloud
Computing for Australian Government Agencies 2007.
8. Журнал «Современная наука:
актуальные проблемы теории и практики» 2012.
9. Negotiating the cloud -
legal issues in cloud computing agreements 2009.
Приложение 1
Сравнительный анализ DLP-систем
Приложение 2
«Выявление инцидентов информационной
безопасности с использованием DLP-систем»
. Пояснительная записка.
Данные методические рекомендации были
разработаны для организаций, использующих DLP-систему
в рамках защиты конфиденциальной информации от внутренних нарушителей.
Целью разработки данного документа является
составление перечня основных мер и действий по предупреждению, выявлению и
реагированию на инциденты, связанные с конфиденциальной информацией, а так же
ведения базы знаний инцидентов для предотвращения повторения состоявшихся
инцидентов.
. Общие положения.
· Методические
рекомендации по выявлению инцидентов информационной безопасности с
использованием DLP-систем определят конкретные методы предупреждения, выявления
и реагирования на инциденты информационной безопасности.
· Методические
рекомендации по выявлению инцидентов информационной безопасности с
использованием DLP-систем состоят из основных положений и трех частей,
поочередно определяющих процесс выявления и регистрации инцидентов
информационной безопасности.
· Данные методические рекомендации обязательны к
исполнению для всех лиц, ответственных за выявление инцидентов информационной безопасности с использованием систем
мониторинга DLP-систем, в организации, принявшей настоящий
документ
· Задачи настоящего документа:
o Оптимизация выявления инцидентов информационной безопасности связанные с
несанкционированной отправкой, копированием и другими действиями, позволяющими
осуществить утечку конфиденциальной информации.
o Организация быстрого и эффективного
реагирования на инциденты информационной
безопасности.
. Инциденты информационной безопасности.
Классификация инцидентов информационной безопасности связанных с
несанкционированной отправкой / копированием конфиденциальных данных через сеть
Интернет и сменные носители.
Инцидент информационной безопасности (инцидент
ИБ) - Одно или серия нежелательных или неожиданных событий в системе
информационной безопасности, которые имеют большой шанс скомпрометировать
деловые операции и поставить под угрозу защиту информации.
Инцидентами информационной безопасности
являются:
· утрата услуг, оборудования или устройств;
· системные сбои или перегрузки;
· ошибки пользователей;
· несоблюдение политики или
рекомендаций по ИБ;
· нарушение физических мер защиты;
· неконтролируемые изменения систем;
· сбои программного обеспечения и
отказы технических средств;
· нарушение правил доступа.
Классификация инцидентов информационной
безопасности, связанных с несанкционированной отправкой / копированием
конфиденциальных данных через сеть Интернет и сменные носители:
По категории критичности:
категория. Инцидент может привести к
значительным негативным последствиям (ущербу) для информационных активов или
репутации организации.
категория. Инцидент может привести к негативным
последствиям (ущербу) для информационных активов или репутации организации.
категория. Инцидент может привести к
незначительным негативным последствиям (ущербу) для информационных активов или
репутации Банка.
категория. Инцидент не может привести к
негативным последствиям (ущербу) для информационных активов или репутации.
По каналам утечки:
· внешние накопителей информации(CD/DVD, USB,
Compact flash, FireWire и др.).
· сети (HTTP/HTTPS,
Email/SMTP,
FTP, IM
и др.).
· средства печати/факса.
· копирование конфиденциальных данных
в буфер обмена.
По причине возникновения:
· Случайные.
· Намеренные.
По степени нанесенного ущерба:
· Непоправимый ущерб.
· Поправимый ущерб.
· Отсутствие ущерба.
4. Рекомендации по выявлению инцидентов
информационной безопасности с использованием DLP-систем.
Рекомендации по предупреждению инцидентов
информационной безопасности связанных с несанкционированными действиями в
отношении конфиденциальной информации:
· Доступ к сети Интернет должны иметь только те
сотрудники, которым это необходимо для исполнения своих служебных обязанностей.
· Запретить передачу документов,
содержащих конфиденциальную информацию, по электронной почте кроме случаев,
отдельно согласованных со службой безопасности организации.
· Запретить согласованную со службой
безопасности передачу документов, содержащих конфиденциальную информацию, в не
зашифрованном виде.
· Заблокировать сотрудникам
возможность установки программного обеспечения на свои рабочие станции.
· Заблокировать доступ к социальным
сетям, чатам и другим общедоступным Web-ресурсам.
· Запретить пересылку личных писем.
· Заблокировать на рабочих станциях сотрудников
порты, не используемые при выполнении прямых обязанностей.
· Постоянно улучшать и дорабатывать
политики безопасности DLP-системы.
· Проводить обязательные для всех
сотрудников профилактические мероприятия на тему «Работа с конфиденциальными
документами на своих рабочих местах»
· Ознакомить всех сотрудников с
требованиями информационной безопасности, зафиксировав это факт личной
подписью.
Рекомендации по выявлению инцидентов
информационной безопасности для администратора DLP-системы:
· Необходимо постоянно анализировать уведомления,
сформированные DLP-системой.
· Анализ архива передававшейся
информации может дать ценные сведения для выявления факта утечки информации и
для последующей обработки инцидента.
Рекомендации по реагированию на инциденты информационной
безопасности для службы безопасности:
· Выявить инцидент, зафиксировать время.
· Оценить ситуацию и определить
пораженные информационные системы.
· Ограничить распространение
(локализовать) инцидент.
· Изолировать пораженные системы.
· Собрать улики.
· Отключить пораженные информационные
системы.
· Собрать доказательную базу для
дальнейшей передачи в суд с целью привлечения злоумышленника к ответственности.
· Восстановить работоспособность
пораженных систем.
· Провести расследование и анализ инцидента.
· Зарегистрировать информацию об
инциденте в базе знаний.
· Принять меры по предотвращению
повторения инцидента.
5. Ведение базы данных учета инцидентов
информационной безопасности.
· При выявлении инцидента информационной
безопасности необходимо внести его в базу данных инцидентов
· По мере расследования инцидента
информационной безопасности следует заполнять следующие поля базы данных
инцидентов информационной безопасности:
o Дата и время происшествия инцидента
o Дата и время обнаружения инцидента
o ФИО сотрудника, выявившего инцидент
o Описание инцидента
o Канал утечки, по которому был
реализован инцидент
o ФИО сотрудника, проводившего
расследование
o Номер акта расследования инцидента
o ФИО нарушителя
o Принятые меры по уменьшению
нанесенного ущерба
· Ведение журнала должно быть обязательным
условием. Если информация об инциденте не была внесена в базу данных учета
инцидентов информационной безопасности, расценивать это как нарушение политики
безопасности.