DLP for top managers

DLP с точки зрения топ-
менеджера
Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 1/58

DLP 1.0 Это модно и круто!

DLP 2.0 Блин! Груз проблем велик!

DLP 3.0 Привязать к бизнесу!

© Cisco, 2010. Все права защищены. 258

Топ-менеджер

Решение Решение
бизнес- задач
задач ИБ

Безопасник

Цели топ- Операционные
менеджмента цели

Цели ИБ

Финансовые
Цели ИТ
цели
 Цели ИБ в данной ситуации вторичны, т.к. их никто
не понимает кроме службы ИБ
Грустно это признавать, но это так

COO

• Снижение лояльности клиентов за счет утечки их персональных
данных

CFO

• Снижение дохода за счет хищения интеллектуальной собственности

CEO

• Подрыв репутации и снижение курса акций в результате утечки
финансовой информации

CLO

• Иски и штрафы за счет нарушения нормативных требований


Управление рисками Защита от вирусов и
бизнеса вредоносного ПО
Планирование Защита хостов
непрерывности бизнеса Защита приложений
Соответствие Криптография
требованиям
Восстановление после
Контракты и катастроф
взаимоотношения с
третьими сторонами Сетевая безопасность
Лояльность


Регулятивные

Финансовые

Операционные


• DLP-решение обеспечивает предотвращение или контроль
утечек информации ограниченного доступа, к которой
согласно российскому законодательству относят
Конфиденциальную информацию (она же информация ограниченного
доступа)
Государственную тайну

• В российском законодательстве существует около 50 видов
тайн
Все они требуют защиты

• Нарушение не каждой из тайн влечет за собой наказание


• В российском праве отсутствует единая классификация тайн
Указ президента №188 – только одна из попыток (не самая удачная)

• Также отсутствует четкое правовое понятие терминов
«тайна» и «конфиденциальная информация»
• В различных нормативных актах
Конфиденциальная информация приравнивается к гостайне
Конфиденциальная информация противопоставляется гостайне
Конфиденциальная информация включает тайну связи или находится с
ней на одном и том же уровне иерархии
Конфиденциальная информация не относится к охраняемой законом


• Сведения об операциях, счетах и вкладах ее клиентов и
корреспондентов, а также об иных сведениях,
устанавливаемых кредитной организацией
Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК
РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных
организаций»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет


• Любая информация, относящаяся к определенному или
определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том
числе его фамилия, имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая
информация
Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О
персональных данных», 242-ФЗ «О государственной геномной
регистрации в РФ» и т.д.
Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ


• Научно-техническая, технологическая, производственная,
финансово-экономическая или иная информация (в том
числе составляющая секреты производства (ноу-хау), которая
имеет действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам, к которой
нет свободного доступа на законном основании и в
отношении которой обладателем такой информации введен
режим коммерческой тайны
Определена в 98-ФЗ «О коммерческой тайне»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ


Наказание за
Тайна Содержимое Нормативный акт
разглашение
Научно-техническая, технологическая,
производственная, финансово-
экономическая или иная информация (в
том числе составляющая секреты
Информация, производства (ноу-хау), которая имеет
составляющая действительную или потенциальную 98-ФЗ "О коммерческой
183 УК РФ, 81 ТК РФ
коммерческую коммерческую ценность в силу тайне"
тайну неизвестности ее третьим лицам, к
которой нет свободного доступа на
законном основании и в отношении
которой обладателем такой информации
введен режим коммерческой тайны
ФЗ 395-1 "О банках и
Сведения об операциях, счетах и
банковской деятельности",
Банковская тайна вкладах ее клиентов и корреспондентов,
857 ГК РФ, Таможенный
(тайна банковских а также об иных сведениях, 183 УК РФ, 81 ТК РФ
кодекс РФ, ФЗ "О
вкладов) устанавливаемых кредитной
реструктуризации
организацией
кредитных организаций"
Указ Президента от
6.03.1997 №188, 139 ГК РФ,
Служебные сведения, доступ к которым
ФЗ "Об основах
ограничен органами государственной
государственной службы
Служебная тайна власти в соответствии с Гражданским 81 ТК РФ
Российской Федерации",
кодексом Российской Федерации и
Постановление
федеральными законами
Правительства РФ от
3.11.94г. № 1233


Тайна кредитной 218-ФЗ "О кредитных
81 ТК РФ
истории историях"

Сведения о страхователе,
застрахованном лице и
Тайна страхования выгодоприобретателе, состоянии их 946 ГК РФ 81 ТК РФ
здоровья, а также об имущественном
положении этих лиц

Сведения, касающиеся содержания
Тайна завещания завещания, его совершения, изменения 1123 ГК РФ 81 ТК РФ
или отмены

Любые полученные налоговым органом,
органами внутренних дел, органом
государственного внебюджетного фонда и 146-ФЗ "Налоговый кодекс
Налоговая тайна 183 УК РФ, 81 ТК РФ
таможенным органом сведения о РФ"
налогоплательщике (за рядом
исключением)

Тайна усыновления
223-ФЗ Семейный кодекс РФ 155 УК РФ, 81 ТК РФ
ребенка



Сведения о наличии у гражданина
психического расстройства, фактах
117-ФЗ "О психиатрической
обращения за психиатрической помощью
Врачебная тайна помощи и гарантиях прав 81 ТК РФ
и лечении в учреждении, оказывающем
граждан при ее оказании"
такую помощь, а также иные сведения о
состоянии психического здоровья

Информация о факте обращения за
медицинской помощью, состоянии
здоровья гражданина, диагнозе
заболевания, иные сведения, полученные Основы законодательства 151 ГК РФ, 1064 ГК
при обследовании и лечении гражданина, РФ об охране здоровья РФ, 137 УК РФ, 81
а также сведения о проведенных граждан ТК РФ
искусственном оплодотворении и
имплантации эмбриона, а также о
личности донора

Результаты обследования лица,
Медицинская тайна 223-ФЗ Семейный кодекс РФ 81 ТК РФ
вступающего в брак
4180-1-ФЗ "О
Сведения о доноре
Возможно это врачебная тайна трансплантации органов 81 ТК РФ
и реципиенте
и(или) тканей человека"


Тайна переписки,
телефонных
переговоров,
176-ФЗ "О почтовой связи",
почтовых, 138 УК РФ, 81 ТК РФ
126-ФЗ "О связи", УПК РФ
телеграфных или
иных сообщений
(тайна связи)

Тайна частной
жизни (личная Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ
тайна)

Любые сведения и документы,
полученные и (или) составленные
аудиторской организацией и ее
307-ФЗ "Об аудиторской
Аудиторская тайна работниками, а также индивидуальным 81 ТК РФ
деятельности"
аудитором и работниками, с которыми им
заключены трудовые договоры, при
оказании услуг (за рядом исключений)

Тайна 241 УПК РФ, 10 ГПК РФ, 11
судопроизводства АПК РФ, 166 УПК РФ, Указ
81 ТК РФ
(тайна следствия и Президента от 6.03.1997
судопроизводства) №188


Адвокатская тайна
Любые сведения, связанные с оказанием 63-ФЗ "Об адвокатской
(она же тайна
адвокатом юридической помощи своему деятельности и адвокатуре в 81 ТК РФ
судебного
доверителю РФ"
представительства)

Основы законодательства
Тайна нотариальных
Российской Федерации о 81 ТК РФ
действий
нотариате

Профессиональная Указ Президента от
Общее понятие 81 ТК РФ
тайна 6.03.1997 №188

143-ФЗ "Об актах
гражданского состояния",
Персональные 152-ФЗ "О персональных 13.11 КоАП, 137 УК
данные данных", 242-ФЗ "О РФ, 81 ТК РФ
государственной геномной
регистрации в РФ"

125-ФЗ "О свободе совести 120-е правило
Тайна исповеди и о религиозных Номоканона при
объединениях" Большом Требнике



Государственная ФЗ 5485-1 "О
81 ТК РФ и др.
тайна государственной тайне"

Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ

51-ФЗ "О выборах депутатов
Государственной Думы
Федерального Собрания
РФ", 19-ФЗ "О выборах
Тайна голосования Президента РФ", 67-ФЗ "Об 141 УК РФ, 81 ТК РФ
основных гарантиях
избирательных прав и права
на участие в референдуме
граждан РФ"…

Журналистская 2124-1-ФЗ "О средствах
81 ТК РФ
тайна массовой информации"



Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления
Секрет производства профессиональной деятельности,
1465 ГК РФ 183 УК РФ, 81 ТК РФ
(ноу-хау) которые имеют действительную или
потенциальную коммерческую ценность в
силу неизвестности их третьим лицам, к
которым у третьих лиц нет свободного
доступа на законном основании и в
отношении которых обладателем таких
сведений введен режим коммерческой
тайны
Сведения об
сущности
изобретения,
полезной модели 147 УК РФ, 7.12
147 УК РФ, 7.12 КоАП
или промышленного КоАП, 81 ТК РФ
образца до их
официальной
публикации


Тайна
предварительного 139 УПК РФ, ФЗ 2202-1 "О
расследования прокуратуре РФ"
(следствия)

Тайна сведений о
мерах безопасности
в отношении судьи и 311 УК РФ 311 УК РФ, 81 ТК РФ
иных участников
уголовного процесса
мерах безопасности
в отношении
должностного лица 320 УК РФ, 17.13
320 УК РФ, 17.13 КоАП
правоохранительног КоАП, 81 ТК РФ
о или
контролирующего
органа
Сведения о частной жизни (личной и
Тайна дневников и семейной тайне), содержащиеся в Присутствовало в
личных записей дневниках, блокнотах, записныъ книжках, предыдущей версии ГК РФ
записках и т.п.



Сведения об отношении к религии, к
исповеданию или отказу от исповедания
религии, об участии или неучастии в 125-ФЗ "О свободе совести и
Тайна
богослужениях, других религиозных о религиозных 81 ТК РФ
вероисповедания
обрядах и церемониях, о деятельности в объединениях"
религиозных объединениях, об обучении
религии
Сведения о местах дислокации или о
передислокации соединений и воинских
частей внутренних войск, а также
сведения о военнослужащих внутренних
военнослужащих 27-ФЗ "О внутренних
войск, принимавших участие в пресечении 81 ТК РФ
внутренних войск войсках МВД РФ"
деятельности вооруженных преступников,
МВД
незаконных вооруженных формирований
и иных организованных преступных групп,
а также сведений о членах их семей
Тайна сведений
личного
характера, ставшие 122-ФЗ "О социальном
известными обслуживании граждан
81 ТК РФ
работникам пожилого возраста и
учреждений при инвалидов"
оказании
социальных услуг


119-ФЗ "О государственной
защите потерпевших,
потерпевших,
свидетелей и иных
свидетелей и иных
участников уголовного 81 ТК РФ
участников
судопроизводства", Указ
уголовного
Президента от 23.09.2005
судопроизводства
№1111

Производственная Скорее всего совпадает с понятием 146-ФЗ "Налоговый кодекс
81 ТК РФ
тайна "секрет производства" РФ"

Любая не являющаяся общедоступной
информация об эмитенте и выпущенных
им эмиссионных ценных бумагах, которая
ставит лиц, обладающих в силу своего
Тайна ценных бумаг
служебного положения, трудовых 39-ФЗ "О рынке ценных
(она же служебная 81 ТК РФ
обязанностей или договора, заключенного бумаг"
информация)
с эмитентом, такой информацией, в
преимущественное положение по
сравнению с другими субъектами рынка
ценных бумаг


76-ФЗ "О статусе
Некоторые юристы относят военную тайну
военнослужащих", Устав
Военная тайна либо к государственной тайне, либо к 81 ТК РФ
внутренней службы
служебной тайне Вооруженных сил РФ
Вооруженных Сил РФ
лицах, внедренных в
организованные
преступные группы,
штатных негласных
сотрудников
органов,осуществля
ющих оперативно- 144-ФЗ "Об оперативно-
81 ТК РФ
розыскную розыскной деятельности"
деятельность, а
также лицах,
оказывающих или
оказывавших им
содействие на
конфиденциальной
основе
Тайна совещания Суждения, имевшие место при
298 УПК РФ 81 ТК РФ
судей обсуждении и постановлении приговора


Тайна совещания
Суждения, имевшие место во время
присяжных 341 УПК РФ 81 ТК РФ
совещания
заседателей
Информация об особенностях строения
128-ФЗ "О государственной
Дактилоскопическая папиллярных узоров пальцев рук
дактилоскопической 81 ТК РФ
тайна человека и о его личности (охраняется в
регистрации в РФ"
режиме служебной тайны)

352-ПП от 28.05.1992 "О
заключении
межправительственных
Торговая тайна 81 ТК РФ
соглашений во избежании
двойного налогообложения
жоходов и имущества"

352-ПП от 28.05.1992 "О
заключении
Промышленная межправительственных
81 ТК РФ
тайна соглашений во избежании
двойного налогообложения
доходов и имущества"



Соглашение между
Правительством РФ и
Правительством Республики
Беларусь об избежании
Секретный торговый
двойного налогообложения и 81 ТК РФ
процесс
предотвращении уклонения
от уплаты налогов в
отношении налогов на
доходы и имущество
Информация, Правительством РФ и
противоречащая Правительством Республики
81 ТК РФ
государственным Узбекистан об избежании
интересам двойного налогооблажения
доходов и имущества
Правительством РФ и
Информация,
Правительством Республики
раскрытие которой
Молдова об избежании
противоречит 81 ТК РФ
двойного налогооблажения
национальному
доходов и имущества и
законодательству
предотвращении уклонения
от уплаты налогов


Конвенция между
Информация, Правительством РФ и
которую нельзя Правительством
получить в ходе Королевства Швеции об
81 ТК РФ
обычной избежании двойного
административной налогообложения в
практики отношении налогов на
доходы
В зависимости от нормативного акта
может включать в себя государственную
тайну, противопоставляться ей, быть 61-ФЗ "Таможенный Кодекс
Конфиденциальная самостоятельным видом тайны (наряду, РФ", 126-ФЗ "О связи", Указ
81 ТК РФ
информация например, с банковской или Президента от 6.03.1997
коммерческой тайной, а также тайной №188
связи), а также вообще не считаться
охраняемой законом
3-ФЗ "О статусе депутата
Совета Федерации и статусе
Депутатская тайна депутата Государственной 81 ТК РФ
Думы Федерального
Собрания РФ", 56 УПК РФ

Тайна жилища Конституция РФ 139 УК РФ


• Цена на запись
стоимость уведомления (создание списка пострадавших, печать,
почтовые услуги) - $20 на одного клиента
стоимость реагирования пострадавших, например, звонки в Help Desk
(опционально) - $20 на одного клиента
стоимость защитных мер у заказчиков, например, регулярные
уведомления, системы борьбы с мошенничеством, средства ИБ
(опционально)

• Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах
измерять нет смысла - рынок все забывает)


• Первая версия опубликована в
январе 2005; текущая версия -
2.0
• PCI DSS 2.0 станет обязательным
с 1-го января 2012
• Влияет на ВСЕХ кто
Обрабатывает
Передает
Хранит: данные владельцев карт
Payment Card Industry
• PCI – это не государственный Data Security Standard
стандарт. Это соглашение между
платежной системой и ее
участниками


250

$197 $202 $204
200 $182

150 $138

100

50

0
2005 2006 2007 2008 2009


$5,838,781
Разница
Цена соответствия $3,529,570

Цена несоответствия $9,368,351

$0 $5,000,000 $10,000,000

Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоответствия

Задача Цена Тип инцидента Цена
Политики $297,910 Нарушения торговли $3,297,633

Взаимодействия $343,119 Потери продуктивности $2,437,795

Управление программой $441,859 Потери доходов $2,180,976

Защита данных $1,034,148 Штрафы $1,451,947

Мониторинг соответствия $636,542 Всего $9,368,351
Внедрение защитных мер $775,991

Всего $3,529,570
Источник: The True Cost of Compliance, Ponemon, 2010


• Каждая платежная система в каждом регионе имеет свои
штрафы
• Пример
Штраф $25К-100К в месяц
Понижение на 1 уровень в иерархии
Банки-эквайеры штрафуются на $25К за каждого несоответствующего
требованиям PCI DSS клиента
При несообщение об инциденте – штраф $100К (до $500К)


• Все штаты США имеют собственные законы, обязывающие
компании, ставшие жертвой утечек персональных данных
своих клиентов, уведомлять последних об этих фактах
Стоимость уведомления одного клиента – от 20 долларов

• Чтобы уведомить, необходимо узнать об утечке

• Первая ласточка - California's Database Security Breach
Notification Act (SB 1386) and General Security Standard for
Businesses (AB 1950)
Почти все 52 штата США имеют соответствующее законодательство
В Европе готовится такое законодательство

• В России требований публичного уведомления об утечках нет!


• Базель II (Международная конвергенция измерения капитала
и стандартов капитала: новых подходы)
Принят в 2004-м году (первая версия – в 1988 г.)
• Ориентация на финансовые институты
• Базель II применяется в США, Евросоюзе, Канаде, Японии и
Индии
• В России и некоторых других странах СНГ планировалось
сделать эти требования обязательными в 2009-2010 гг.
Но вмешался кризис ;-(


• Базель II предъявляет требования к минимальному размеру
банковского капитала
Подход может применяться и к другим отраслям

• Необходимо оценивать кредитные, рыночные и
операционные риски и резервировать капитал на их покрытие
Операционные риски появились только во второй версии соглашения

• Неэффективное управление операционными рисками
приводит
К возрастанию операционных рисков
К большим финансовым резервам, «вырванным» из бизнеса


1-ый уровень 2-ой уровень 3-ий уровень
событий событий событий
Неотраженные в отчетности
Неразрешенная операции
деятельность Неразрешенные типы
Внутреннее операций
мошенничество Умышленное уничтожение
Воровство и активов
мошенничество Присвоение чужих счетов
Воровство, хищения, грабеж
Воровство и Воровство, грабеж
Внешнее мошенничество Подделка
мошенничество Хакерство
Безопасность систем Кража информации
Организация трудовой
Взаимоотношения с
деятельности
сотрудниками Вопросы оплаты труда
Кадровая политика и
безопасность труда Охрана здоровья
Безопасная среда Компенсации сотрудникам
Дискриминация Все типы дискриминации


1-ый уровень 2-ой уровень 3-ий уровень
событий событий событий
Нарушения инструкций
Приемлемость, Раскрытие информации
раскрытие Злоупотребления
конф.информацией
Деятельность без лицензии
Неправильная деловая
или рыночная практика
Клиенты, продукты и
деловая практика Дефекты продуктов
Изъяны продуктов Ошибки конструкции
Выбор, спонсорство и Превышение лимитов риска
риски на одного клиента

Разногласия в оценках
Консалтинговые услуги результатов консалтинговых
услуг
Ущерб от природных
Причинение ущерба Катастрофы и прочие
катастроф
физическим активам события Терроризм, вандализм


• Ст.13.12. Нарушение правил защиты информации (КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они подлежат
обязательной сертификации (до 20К рублей + конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)
п.4. – использование несертифицированных СЗИ для гостайны (до 30К
рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей +
приостановление деятельности до 90 суток)


Снижает неопределенность
при принятии решений

Влияет на поведение людей,
Имеет ценность для вас приводящее к экономическим
последствиям

Нематериальный актив
(собственная стоимость)
Она имеет ценность

Если ей воспользуются
другие, то вы понесете
убытки или проиграете в
Она не имеет ценности, но ее
принято защищать конкурентной борьбе
Не имеет ценности для вас,
но имеет для кого-то еще

Ее защита требуется
государством / регулятором


ChoicePoint – Зима 2004/2005
• Кража отчета с 145,000 Падение курса
именами клиентов, номеров акций
кредитных карт и т.д.

Воздействие на бизнес
• Администрация штата Нью-
Йорка отказалась от
контракта с ChoicePoint на
сумму 800 миллионов
долларов


• Глобальная компания, мобильные сотрудники, большая экосистема
сотрудников, партнеров, поставщиков, заказчиков
• Программа доступа с любого устройства
• Активная поддержка сред совместной работы - WebEx,
корпоративные социальные сети – как внутренних, так
и с доступом заказчиков/партнеров
• Cisco поддерживает облачные решения – SaaS, IaaS – как для
внутреннего использования, так и общедоступные
• Постоянно растет популярность решений для мобильных устройств
• К чему это приводит?

Корпоративные данные Корпоративные данные повсюду
в закрытой корпоративной (неконтролируемые устройства/
ИТ-инфраструктуре облако)


Критерии:
• Данные уровня не ниже Highly Confidential
• Поддержка критически важных бизнес-
процессов
• Данные, регламентируемые нормативными
требованиями
• Данные для аутентификации/авторизации
пользователей


• Средства управления безопасностью в среде Crown-Jewel
• Аутентификация и авторизация пользователей
и приложений/операций доступа к хостам
• Целостность DBlink и жизненного цикла приложений
• Аудит и журналирование доступа
• Поддержка актуальности версий СУБД и патчей в сфере безопасности
• Формализованный и контролируемый доступ в рамках защищенного сегмента
сети
• Принятые стандарты повышения уровня защищенности СУБД
и операционных систем
• Повышение управляемости и расширение возможностей мониторинга
партнерского доступа к экстранету
• Умышленное искажение или маскирование данных при репликации
в тестовых целях
• Шифрование данных


“All or Nothing” “All or Nothing”
Доку- Доку-
менты менты
Пользователь Cisco Пользователь Cisco
Шлюз Шлюз
экстранета экстранета

Прил.
ACL Прил.
ACL Фильтрация
B по URL B
Фильтрация
Анализ
по URL
данных
Прил. Прил.
C C
Ineffective with portlets

Работа на Работа на основе
основе доверия доверия с проверкой

По мере увеличения количества партнеров, пользующихся экстранетом,
и расширения способов доступа к экстранету анализ данных становится
критически важным механизмом поддержания требуемого уровня
защищенности ИТ-инфраструктуры


Интернет ДМЗ Внутренняя
сеть
Внешний
пользователь

Приложение Приложение
• Данные в облаке
всегда зашифрованы

Метаданные
• Ключи шифрования
приложений защищены и
Оператор хранятся в
системы
хранения собственной ИТ-
Ключи инфраструктуре
шифрования организации

• Оптимизация
производительности

Внутренний
пользователь


• Классификация данных
• Вертикализация
• Бумажная безопасность
• Спектр каналов утечки
• Нефайловые и нетекстовые источники
• Умышленные утечки
• Туманная облачность
• Мобилизация
• Синхронизация
• Интеграция


• Сопоставление бизнес-стратегии и
стратегии обеспечения ИБ на основании
общего множества данных
• Переход от защиты сети
и хостов к защите данных при
использовании, передаче и
хранении
• Оценка значимости данных,
последующее применение мер
обеспечения ИБ
в рамках их жизненного цикла
• Решения на основе данных
Владение Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.
Классификация
Управление/защита определяются классом данных

1. Определение важных данных Для защиты от потерь и краж
 Базы данных, системы хранения, каналы связи, конфиденциальных данных
оконечные устройства необходима многоуровневая
платформа
2. Установка политики защиты данных безопасности
 Укрепление политики безопасности данных для
предотвращения случайной и намеренной
утечки данных

3. Безопасное подключение
 Устранение точек несанкционированного
доступа, шифрование удаленных подключений, Контроль
контроль беспроводного доступа утечек
(DLP)
4. Управление доступом
 Ограничение доступа к важным сетям, базам Управление
данных и файлам доступом
5. Контроль утечек (DLP) Безопасные
 Контроль важных данных в местах повышенного подключения
риска, проверка содержимого на основе
политик, допустимое использование,
шифрование
Самозащищающаяся сеть


Наиболее вероятный путь
Изменение
технологий Наименее вероятный путь

Инцидент

Бизнес- Принятие Реализация
Обоснование
требования решения проекта ИБ

Требования
законов

На этом Оценка
«водоразделе» эффективности
Угрозы
многие завершают
всю работу

PERFORMANCE
ASSESMENT

CXO
MANAGING
IDENTIFY
PURCHASE
ISSUES

INITIATING
APPROVING
EVALUATION
PURCHASE

CIO/CISO

RECOMMENDING
VENDOR

ИТ/ИБ-менеджер
DECIDING WHO
INVOLVED

EVALUATING
SELECTING
POTENTIAL LOB Менеджер
VENDORS

FORMAL CONTACTING
REVIEW VENDORS

Другие


http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco


Praemonitus praemunitus!

Спасибо
за внимание!

security-request@cisco.com

DLP for top managers

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie DLP for top managers

Ähnlich wie DLP for top managers (20)

Mehr von Aleksey Lukatskiy

Mehr von Aleksey Lukatskiy (20)

DLP for top managers