Портал по безопасности.
Проекты систем безопасности Типовые решения систем безопасности Чертежи и схемы подключений

Присоединяйтесь к нам в соц. сетях:


Главная Статьи Статьи по информационной безопасности
Расследование утечек информации
Мобильная версия
Вход в личный кабинет
Регистрация, нас уже 4965
 - События которые нельзя пропустить
  • Вся информация в один клик beta

Расследование утечек информации (2077)

Опубликовано: 16 Декабря 2013

Что такое расследование утечек информации? Зачем нужны расследования? Как относиться к их результатам и для чего их использовать? Отвечая на эти вопросы в разном окружении, можно прийти к разным ответам.
Если абстрагироваться от очевидного ответа о ценности критичной бизнес-информации, утрата которой может привести к финансовым и репутационным потерям или даже к полному краху бизнеса, и сравнить российские реалии с реалиями передовых в области защиты данных западных держав, налицо существенные различия.
Западная законодательная практика в обязательном порядке карает утечку информации, не предъявляя, в подавляющем большинстве случаев, обязательных критериев к порядку защиты данных. Таким образом, бизнес, самостоятельно определяя необходимый уровень защиты тех или иных данных, беспокоится о защите от утечек данных и использует расследования утечек информации, во-первых, для определения виновных и применимости соответствующих санкций к ним, во-вторых, для принятия решения о необходимости тех или иных изменений в системе защиты информации.
Отечественное законодательство, напротив, формулирует требования к порядку защиты информации и степень наказания за несоответствие процесса, выстроенного в организациях, этим требованиям. Сами утечки информации при этом в общем случае не являются наказуемыми.
Такая ситуация обеспечивает спокойствие тем, кто отвечает за защиту информации: построил систему в соответствии с требованиями — и живи припеваючи. При этом вдумчивый подход к сбору и анализу данных в процессе расследований утечек информации открывает широчайшие (даже с правом на ошибку) возможности для эффективного «тюнинга» системы защиты информации и предотвращения утечек в будущем.
Начинать расследование утечки необходимо после определения факта утечки, что зачастую, ввиду сложности выявления потенциальной угрозы, происходит уже после утечки данных. Однако, чтобы расследование было максимально скоротечным, эффективным и позволило сформулировать правильные рекомендации по изменениям в системе защиты информации, подготовку к расследованию утечек стоит начать заблаговременно.
Важным элементом подготовки к расследованию неизбежных утечек информации, является внедрение решений DLP и SIEM. Несмотря на то что эти решения не создавались непосредственно для расследования инцидентов, данные, собираемые в процессе их работы, как никогда могут быть полезны именно при расследовании утечек информации.
Решения DLP (Data Leak / Loss Prevention) созданы для автоматизации процесса обнаружения нежелательных событий с критичными данными через анализ потоков информации. При настройке решения критичным данным приписываются определенные критерии, в соответствии с которыми DLP сможет распознать потенциальную утечку. DLP также оперирует понятием «вероятность», которое определяет, что любое событие с некоторой вероятностью может быть утечкой. Пользователь системы самостоятельно определяет порог срабатывания (вероятность), при котором событие считается утечкой. При наступлении такого события с критичными данными система автоматически сигнализирует о факте или угрозе утечки.
Решения SIEM (Security Information and Event Management) созданы для выявления нежелательных событий на любом уровне информационной инфраструктуры: будь то сетевые вторжения, вирусные эпидемии, попытки несанкционированного доступа, сбои в работе систем, ошибки конфигураций, консолидации и хранения журналов событий от различных источников — например, клиентских систем, серверов, сетевых устройств, приложений, систем контроля доступа и пр. Предполагается, что предотвращение возможно в случае оперативного реагирования на «сигналы SOS», подаваемые решением SIEM. Последнее, для своевременной подачи сигналов тревоги, консолидирует и хранит журналы событий, предоставляет инструменты для анализа событий; обеспечивает корреляцию и обработку событий по заданным правилам; информирует о критичных событиях.
Фиксация фактов утечек или угроз информационной безопасности, своевременное информирование о них, предоставление отправной точки для начала расследования — уже достаточные причины для внедрения решений DLP и SIEM. Однако если мы рассматриваем процесс расследования утечки не только как карательное мероприятие, но и как возможность модернизации системы защиты, то это далеко не самые главные достоинства описанных решений.
Информация, которую собирают DLP и SIEM в процессе работы, — кладезь для исследователя механизма утечек, их классификации и определения способов противодействия подобным инцидентам в будущем. В этих данных кроется наибольший потенциал для организации полноценных расследований, результатом которых станут рекомендации по модернизации системы защиты критичных данных организации.
Техник и методик расследования множество. Во многом успех расследования зависит от мастерства и смекалки лиц, участвующих в расследовании. Безусловно, необходимо глубокое знание информационных технологий, понимание психологии злоумышленников, умение строить сложные гипотезы. С другой стороны, независимо от того, как отлажен процесс расследования, решающим фактором является наличие исходных данных для расследования. Если следов злоумышленника нет, то строить процедуру расследования становится просто не на чем. Именно для этих целей необходимо активное применение решений, предназначенных для сбора, анализа, корреляции событий безопасности, а также инструментов для анализа исходящего контента.
Сайт: www.cleper.ru
Подписаться на публикацию новых статей.

Комментарии
Tona - 14 Февраля 2014 в 11:31
Статья не для простых умов. Наверно, здесь речь идёт о защите информации в разных областях наук. Нам не избежать противоречий и шила в мешке не утаить, если угроза, тут дело времени. Кто-то подарил же нам чупакабру, вот нравы. И радостные, добрые открытия скрываются, чтобы продать за премию. Не всем дано быть Буратино на поле чудес.
Оставить свой комментарий



Дополнительно

Категории

Скачать последний проект
Система пожаротушения складов сахара на основе модульной ТРВ

Система пожаротушения строится на оборудовании НВП Болид. Входящая в систему пожарная сигнализации...
Скачать проект (5,81 Мб)
Самые читаемые новости этого месяца
Электронный аукцион. Очередная победа (107 / 107)
Компания АСКОН получила право на заключение государственного контракта. Закупочная процедура —...
«Амиком» принял участие в 9 Международном форуме All-Over-IP (106 / 106)
Компания «Амиком» приняла участие в международной выставке, посвященной IP-системам видеонаблюдения...
Новый видеодомофон SATVISION! (106 / 106)
Компания SATVISION сообщает о поступлении нового цветного видеодомофона SVM-405. Новый цветной...
Cтанция единого времени для сердца нашей Родины - Кремля (93 / 93)
Компания «Тэндо» совместно с компанией «ПИК Единое время» успешно завершили проект по созданию...
Новые разветвители питания на 4 и 8 каналов от Tantos (90 / 90)
В «Сатро-Паладин» новинка Tantos - разветвители питания на 4 и 8 каналов. Это, соответственно,...
  • Портал по безопасности
  • Транспортная безопасность
  • Пожарная безопасность
  • Пожарные машины
  • Пож.ру
© 2006—2016   ООО «Гермион»

При использовании материалов с сайта,
активная ссылка на портал обязательна.
Выбрать кнопку для своего сайта.

тел. (960) 510-55-00