searchinform. Николай Сорокин. АО «Центральное...
TRANSCRIPT
Как выбрать идеальнуюDLP-систему?
Руководитель представительстваSearchInform в Сибирском Федеральном Округе
#CODEIBГ. ОМСК
27 МАЯ 2016
Николай Сорокин Инженер по защите
информации АО «Центральное конструкторское бюро автоматики»
Семён Елизаров
SearchInform сегодня
#CODEIB
Более 1600 клиентов
в 8 странахмира
Офисы во всех ФО России, а также в Казахстане,
Украине, Белоруссии, Польше
10 уголовных дел выиграно
клиентами против
инсайдеров
Более1 000 000 ПКпод контролем
КИБSearchInform
10 лет на рынке DLP,20 лет в IT
Г. ОМСК27 МАЯ 2016
С чего начать?
Выбрать 2-3 системы для тестирования
Определить критерии выбора
Определить основные каналы передачи информации, которые необходимо контролировать
#CODEIB Г. ОМСК27 МАЯ 2016
Критерии выбора системы
Цена и стоимость владения системой
Количество контролируемых каналов
Надежность и скорость работы системы
Аналитические возможности
Наличие, качество и быстрота реакции технической поддержки
Экспертиза, опыт и надежность вендора
#CODEIB Г. ОМСК27 МАЯ 2016
Критерий 1: Количество контролируемых каналов
В процессе тестирования, определите каналы, которые используются для работы,
и каналы для личного общения
Уточните у вендора политику лицензирования и возможность покупки отдельных модулей, чтобы
не переплачивать за ненужные каналы перехвата
#CODEIB Г. ОМСК27 МАЯ 2016
IM Sniffer
Cloud Sniffer
Skype Sniffer
HTTP Sniffer
DeviceSniffer
FileSniffer
Mail Sniffer ProgramSniffer Mobile Sniffer AD Sniffer Notebook
Sniffer
MicrophoneSniffer
Monitor Sniffer
FTP Sniffer
Print SnifferIndexing
Workstations
KeyloggerSniffer
Как быть дальше?КАНАЛ КОНТРОЛИРУЕТСЯКАНАЛ ЗАБЛОКИРОВАН
Вариант 1 Вариант 2
#CODEIB Г. ОМСК27 МАЯ 2016
КАНАЛ КОНТРОЛИРУЕТСЯ
Критерий 2: Надежность и скорость работы системы
Сравните объемы перехвата тестируемых систем под нагрузкой(если объем данных разных систем разный, значит одна из них пропускает)
#CODEIB Г. ОМСК24 МАЯ 2016
Проведите нагрузочное тестирование на максимальном количестве машин
Полноценное тестирование DLP-системы должно проходить в срок от 2-х недель до месяца, чтобы выявить все нюансы и проверить надежность ПО
Критерий 3: Аналитические возможности
#CODEIB Г. ОМСК27 МАЯ 2016
Простота и удобство создания политик безопасности
Инструменты для проведения расследования
Информативность отчетов
Наличие полной базы перехвата(только нарушения илився база?)
Критерий 4: Техническая поддержка
Помощь при внедрении, настройке и тестировании
#CODEIB Г. ОМСК27 МАЯ 2016
Качество работы техподдержки, скорость реакции на запрос
Скорость устранения проблемы
Возможность выезда специалиста к клиенту
Критерий 5: Разработчик
Наличие представительств в регионах
Попросите разработчика познакомить Вас с действующим клиентом.Задайте ему вопросы о стабильности работы системы, возможностях контроля, плюсах и минусах работы ПО.
#CODEIB Г. ОМСК27 МАЯ 2016
Набор предустановленных политик безопасности
Отраслевые практики
Регулярные обновления, устойчивость к кризисным явлениям
Критерий 6: Цена и стоимость владения системой
Стоимость владения
DLP
Стоимость лицензий
Стоимость внедрения
Количество людей, обслуживающих и
работающих с системой
Стоимость и скорость ТП
Стоимость получения новых
версий
#CODEIB Г. ОМСК27 МАЯ 2016
Финальный этап
Выбрать идеальную DLP по всем критериям ПИМИ
Составить программу и методику испытаний
Выбрать 2-3 системы для тестирования
Сравнить результаты по всем критериям
#CODEIB Г. ОМСК27 МАЯ 2016
Как это происходит на практике?
Мы сформировали собственные критерии:
#CODEIB Г. ОМСК27 МАЯ 2016
Необходимо решение, которое сможет контролировать максимально возможное количество каналов для открытой сетиОбязательное наличие индексации для внутренней сети особенно важно для нас
Детальный мониторинг по отделам в 5-10 человек, который можно было бы проводить периодически
Система должна поддерживать стабильный мониторинг до 1000 рабочих станций
Как это происходит на практике?
Преимущества, выявленные в ходе теста:
#CODEIB Г. ОМСК27 МАЯ 2016
Наличие индексации для внутренней сети
Бесперебойный мониторинг большой сети ПК
Уже на этапе тестирования были выявлены сотрудники, нарушающие внутренние правила ИБ и трудовую дисциплину
Наибольшее количество контролируемых каналов, удобная аналитика
Как это происходит на практике?
#CODEIB Г. ОМСК27 МАЯ 2016
Выбрали системы для теста
Закупили ПО, соответствующее
критериям
Изучили документацию,
получили консультации
вендоров, провели тестирование
Как это происходит на практике?
Кейсы:
1. Нарушение правил использования закрытой сети разработчиками
2. Нарушение трудовой дисциплины
#CODEIB Г. ОМСК27 МАЯ 2016
Николай Сорокин+7(383)248-90-14 (Новосибирск)[email protected]
#CODEIB Г. ОМСК27 МАЯ 2016
Сохранность конфиденциальных данных вашей компании зависит от вас!
Семён Елизаров
+7 951 [email protected]