- •Содержание.
- •Введение.
- •Классификация инцидентов информационной безопасности.
- •Анализ существующих dlp-систем.
- •2.2 Дозор Джет.
- •2.7 Сравнительный анализ dlp-систем по управлению, обработке инцидентов и системе отчетности о работе.
- •Разработка документа «Методические рекомендации по выявлению инцидентов информационной безопасности с использованием dlp-систем».
- •Список используемой литературы.
- •Сравнительный анализ dlp-систем.
- •«Выявление инцидентов информационной безопасности с использованием dlp-систем»
- •1. Пояснительная записка.
- •2. Общие положения.
- •4. Рекомендации по выявлению инцидентов информационной безопасности с использованием dlp-систем.
- •5. Ведение базы данных учета инцидентов информационной безопасности.
4. Рекомендации по выявлению инцидентов информационной безопасности с использованием dlp-систем.
Рекомендации по предупреждению инцидентов информационной безопасности связанных с несанкционированными действиями в отношении конфиденциальной информации:
Доступ к сети Интернет должны иметь только те сотрудники, которым это необходимо для исполнения своих служебных обязанностей.
Запретить передачу документов, содержащих конфиденциальную информацию, по электронной почте кроме случаев, отдельно согласованных со службой безопасности организации.
Запретить согласованную со службой безопасности передачу документов, содержащих конфиденциальную информацию, в не зашифрованном виде.
Заблокировать сотрудникам возможность установки программного обеспечения на свои рабочие станции.
Заблокировать доступ к социальным сетям, чатам и другим общедоступным Web-ресурсам.
Запретить пересылку личных писем.
Заблокировать на рабочих станциях сотрудников порты, не используемые при выполнении прямых обязанностей.
Постоянно улучшать и дорабатывать политики безопасности DLP-системы.
Проводить обязательные для всех сотрудников профилактические мероприятия на тему «Работа с конфиденциальными документами на своих рабочих местах»
Ознакомить всех сотрудников с требованиями информационной безопасности, зафиксировав это факт личной подписью.
Рекомендации по выявлению инцидентов информационной безопасности для администратора DLP-системы:
Необходимо постоянно анализировать уведомления, сформированные DLP-системой.
Анализ архива передававшейся информации может дать ценные сведения для выявления факта утечки информации и для последующей обработки инцидента.
Рекомендации по реагированию на инциденты информационной безопасности для службы безопасности:
Выявить инцидент, зафиксировать время.
Оценить ситуацию и определить пораженные информационные системы.
Ограничить распространение (локализовать) инцидент.
Изолировать пораженные системы.
Собрать улики.
Отключить пораженные информационные системы.
Собрать доказательную базу для дальнейшей передачи в суд с целью привлечения злоумышленника к ответственности.
Восстановить работоспособность пораженных систем.
Провести расследование и анализ инцидента.
Зарегистрировать информацию об инциденте в базе знаний.
Принять меры по предотвращению повторения инцидента.
5. Ведение базы данных учета инцидентов информационной безопасности.
При выявлении инцидента информационной безопасности необходимо внести его в базу данных инцидентов
По мере расследования инцидента информационной безопасности следует заполнять следующие поля базы данных инцидентов информационной безопасности:
Дата и время происшествия инцидента
Дата и время обнаружения инцидента
ФИО сотрудника, выявившего инцидент
Описание инцидента
Канал утечки, по которому был реализован инцидент
ФИО сотрудника, проводившего расследование
Номер акта расследования инцидента
ФИО нарушителя
Принятые меры по уменьшению нанесенного ущерба
Ведение журнала должно быть обязательным условием. Если информация об инциденте не была внесена в базу данных учета инцидентов информационной безопасности, расценивать это как нарушение политики безопасности.