dlp for top managers

1/58 © Cisco, 2010. Все права защищены.

DLP с точки зрения топ-менеджера

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 258

Это модно и круто! DLP 1.0

Привязать к бизнесу! DLP 3.0

Блин! Груз проблем велик! DLP 2.0


Решение бизнес-задач

Решение задач ИБ

То

п-м

енед

же

р

Безо

па

сни

к


Цели топ-менеджмента

Операционные цели

Финансовые цели

Цели ИТ

Цели ИБ

Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ

Грустно это признавать, но это так


• Снижение лояльности клиентов за счет утечки их персональных данных

COO

• Снижение дохода за счет хищения интеллектуальной собственности

CFO

• Подрыв репутации и снижение курса акций в результате утечки финансовой информации

CEO

• Иски и штрафы за счет нарушения нормативных требований

CLO


Управление рисками бизнеса

Планирование непрерывности бизнеса

Соответствие требованиям

Контракты и взаимоотношения с третьими сторонами

Лояльность

Защита от вирусов и вредоносного ПО

Защита хостов

Защита приложений

Криптография

Восстановление после катастроф

Сетевая безопасность


Регулятивные

Финансовые

Операционные


• DLP-решение обеспечивает предотвращение или контроль утечек информации ограниченного доступа, к которой согласно российскому законодательству относят

Конфиденциальную информацию (она же информация ограниченного доступа)

Государственную тайну

• В российском законодательстве существует около 50 видов тайн

Все они требуют защиты

• Нарушение не каждой из тайн влечет за собой наказание


• В российском праве отсутствует единая классификация тайн Указ президента №188 – только одна из попыток (не самая удачная)

• Также отсутствует четкое правовое понятие терминов «тайна» и «конфиденциальная информация»

• В различных нормативных актах Конфиденциальная информация приравнивается к гостайне

Конфиденциальная информация противопоставляется гостайне

Конфиденциальная информация включает тайну связи или находится с ней на одном и том же уровне иерархии

Конфиденциальная информация не относится к охраняемой законом


• Сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией

Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных организаций»

Наказание за разглашение - 183 УК РФ, 81 ТК РФ

Примеров наказания руководства компаний практически нет


• Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», 242-ФЗ «О государственной геномной регистрации в РФ» и т.д.

Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ



• Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны

Определена в 98-ФЗ «О коммерческой тайне»

Наказание за разглашение - 183 УК РФ, 81 ТК РФ



Тайна Содержимое Нормативный акт Наказание за

разглашение

Информация,

составляющая

коммерческую

тайну

Научно-техническая, технологическая,

производственная, финансово-

экономическая или иная информация (в

том числе составляющая секреты

производства (ноу-хау), которая имеет

действительную или потенциальную

коммерческую ценность в силу

неизвестности ее третьим лицам, к

которой нет свободного доступа на

законном основании и в отношении

которой обладателем такой информации

введен режим коммерческой тайны

98-ФЗ "О коммерческой

тайне" 183 УК РФ, 81 ТК РФ

Банковская тайна

(тайна банковских

вкладов)

Сведения об операциях, счетах и

вкладах ее клиентов и корреспондентов,

а также об иных сведениях,

устанавливаемых кредитной

организацией

ФЗ 395-1 "О банках и

банковской деятельности",

857 ГК РФ, Таможенный

кодекс РФ, ФЗ "О

реструктуризации

кредитных организаций"

183 УК РФ, 81 ТК РФ

Служебная тайна

Служебные сведения, доступ к которым

ограничен органами государственной

власти в соответствии с Гражданским

кодексом Российской Федерации и

федеральными законами

Указ Президента от

6.03.1997 №188, 139 ГК РФ,

ФЗ "Об основах

государственной службы

Российской Федерации",

Постановление

Правительства РФ от

3.11.94г. № 1233

81 ТК РФ




Тайна кредитной

истории 218-ФЗ "О кредитных

историях" 81 ТК РФ

Тайна страхования

Сведения о страхователе,

застрахованном лице и

выгодоприобретателе, состоянии их

здоровья, а также об имущественном

положении этих лиц

946 ГК РФ 81 ТК РФ

Тайна завещания Сведения, касающиеся содержания

завещания, его совершения, изменения

или отмены 1123 ГК РФ 81 ТК РФ

Налоговая тайна

Любые полученные налоговым органом,

органами внутренних дел, органом

государственного внебюджетного фонда и

таможенным органом сведения о

налогоплательщике (за рядом

исключением)

146-ФЗ "Налоговый кодекс

РФ" 183 УК РФ, 81 ТК РФ

Тайна усыновления

ребенка 223-ФЗ Семейный кодекс РФ 155 УК РФ, 81 ТК РФ




Врачебная тайна

Сведения о наличии у гражданина

психического расстройства, фактах

обращения за психиатрической помощью

и лечении в учреждении, оказывающем

такую помощь, а также иные сведения о

состоянии психического здоровья

117-ФЗ "О психиатрической

помощи и гарантиях прав

граждан при ее оказании" 81 ТК РФ

Информация о факте обращения за

медицинской помощью, состоянии

здоровья гражданина, диагнозе

заболевания, иные сведения, полученные

при обследовании и лечении гражданина,

а также сведения о проведенных

искусственном оплодотворении и

имплантации эмбриона, а также о

личности донора

Основы законодательства

РФ об охране здоровья

граждан

151 ГК РФ, 1064 ГК

РФ, 137 УК РФ, 81

ТК РФ

Медицинская тайна Результаты обследования лица,

вступающего в брак 223-ФЗ Семейный кодекс РФ 81 ТК РФ

Сведения о доноре

и реципиенте Возможно это врачебная тайна

4180-1-ФЗ "О

трансплантации органов

и(или) тканей человека" 81 ТК РФ




Тайна переписки,

телефонных

переговоров,

почтовых,

телеграфных или

иных сообщений

(тайна связи)

176-ФЗ "О почтовой связи",

126-ФЗ "О связи", УПК РФ 138 УК РФ, 81 ТК РФ

Тайна частной

жизни (личная

тайна) Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ

Аудиторская тайна

Любые сведения и документы,

полученные и (или) составленные

аудиторской организацией и ее

работниками, а также индивидуальным

аудитором и работниками, с которыми им

заключены трудовые договоры, при

оказании услуг (за рядом исключений)

307-ФЗ "Об аудиторской

деятельности" 81 ТК РФ

Тайна

судопроизводства

(тайна следствия и

судопроизводства)

241 УПК РФ, 10 ГПК РФ, 11

АПК РФ, 166 УПК РФ, Указ

Президента от 6.03.1997

№188

81 ТК РФ




Адвокатская тайна

(она же тайна

судебного

представительства)

Любые сведения, связанные с оказанием

адвокатом юридической помощи своему

доверителю

63-ФЗ "Об адвокатской

деятельности и адвокатуре в

РФ" 81 ТК РФ

Тайна нотариальных

действий

Основы законодательства

Российской Федерации о

нотариате 81 ТК РФ

Профессиональная

тайна Общее понятие

Указ Президента от

6.03.1997 №188 81 ТК РФ

Персональные

данные

143-ФЗ "Об актах

гражданского состояния",

152-ФЗ "О персональных

данных", 242-ФЗ "О

государственной геномной

регистрации в РФ"

13.11 КоАП, 137 УК

РФ, 81 ТК РФ

Тайна исповеди 125-ФЗ "О свободе совести

и о религиозных

объединениях"

120-е правило

Номоканона при

Большом Требнике




Государственная

тайна ФЗ 5485-1 "О

государственной тайне" 81 ТК РФ и др.

Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ

Тайна голосования

51-ФЗ "О выборах депутатов

Государственной Думы

Федерального Собрания

РФ", 19-ФЗ "О выборах

Президента РФ", 67-ФЗ "Об

основных гарантиях

избирательных прав и права

на участие в референдуме

граждан РФ"…

141 УК РФ, 81 ТК РФ

Журналистская

тайна 2124-1-ФЗ "О средствах

массовой информации" 81 ТК РФ




Секрет производства

(ноу-хау)

Сведения любого характера

(производственные, технические,

экономические, организационные и

другие), в том числе о результатах

интеллектуальной деятельности в научно-

технической сфере, а также сведения о

способах осуществления

профессиональной деятельности,

которые имеют действительную или

потенциальную коммерческую ценность в

силу неизвестности их третьим лицам, к

которым у третьих лиц нет свободного

доступа на законном основании и в

отношении которых обладателем таких

сведений введен режим коммерческой

тайны

1465 ГК РФ 183 УК РФ, 81 ТК РФ

Сведения об

сущности

изобретения,

полезной модели

или промышленного

образца до их

официальной

публикации

147 УК РФ, 7.12 КоАП 147 УК РФ, 7.12

КоАП, 81 ТК РФ




Тайна

предварительного

расследования

(следствия)

139 УПК РФ, ФЗ 2202-1 "О

прокуратуре РФ" 310 УК РФ, 81 ТК РФ

Тайна сведений о

мерах безопасности

в отношении судьи и

иных участников

уголовного процесса

311 УК РФ 311 УК РФ, 81 ТК РФ


мерах безопасности

в отношении

должностного лица

правоохранительног

о или

контролирующего

органа

320 УК РФ, 17.13 КоАП 320 УК РФ, 17.13

КоАП, 81 ТК РФ

Тайна дневников и

личных записей

Сведения о частной жизни (личной и

семейной тайне), содержащиеся в

дневниках, блокнотах, записныъ книжках,

записках и т.п.

Присутствовало в

предыдущей версии ГК РФ 137 УК РФ, 81 ТК РФ




Тайна

вероисповедания

Сведения об отношении к религии, к

исповеданию или отказу от исповедания

религии, об участии или неучастии в

богослужениях, других религиозных

обрядах и церемониях, о деятельности в

религиозных объединениях, об обучении

религии

125-ФЗ "О свободе совести и

о религиозных

объединениях"

81 ТК РФ


военнослужащих

внутренних войск

МВД

Сведения о местах дислокации или о

передислокации соединений и воинских

частей внутренних войск, а также

сведения о военнослужащих внутренних

войск, принимавших участие в пресечении

деятельности вооруженных преступников,

незаконных вооруженных формирований

и иных организованных преступных групп,

а также сведений о членах их семей

27-ФЗ "О внутренних

войсках МВД РФ" 81 ТК РФ

Тайна сведений

личного

характера, ставшие

известными

работникам

учреждений при

оказании

социальных услуг

122-ФЗ "О социальном

обслуживании граждан

пожилого возраста и

инвалидов"

81 ТК РФ





потерпевших,

свидетелей и иных

участников

уголовного

судопроизводства

119-ФЗ "О государственной

защите потерпевших,

свидетелей и иных

участников уголовного

судопроизводства", Указ


№1111

81 ТК РФ

Производственная

тайна

Скорее всего совпадает с понятием

"секрет производства"

146-ФЗ "Налоговый кодекс

РФ" 81 ТК РФ

Тайна ценных бумаг

(она же служебная

информация)

Любая не являющаяся общедоступной

информация об эмитенте и выпущенных

им эмиссионных ценных бумагах, которая

ставит лиц, обладающих в силу своего

служебного положения, трудовых

обязанностей или договора, заключенного

с эмитентом, такой информацией, в

преимущественное положение по

сравнению с другими субъектами рынка

ценных бумаг

39-ФЗ "О рынке ценных

бумаг" 81 ТК РФ




Военная тайна

Некоторые юристы относят военную тайну

либо к государственной тайне, либо к

служебной тайне Вооруженных сил РФ

76-ФЗ "О статусе

военнослужащих", Устав

внутренней службы

Вооруженных Сил РФ

81 ТК РФ


лицах, внедренных в

организованные

преступные группы,

штатных негласных

сотрудников

органов,осуществля

ющих оперативно-

розыскную

деятельность, а

также лицах,

оказывающих или

оказывавших им

содействие на

конфиденциальной

основе

144-ФЗ "Об оперативно-

розыскной деятельности" 81 ТК РФ

Тайна совещания

судей

Суждения, имевшие место при

обсуждении и постановлении приговора 298 УПК РФ 81 ТК РФ




Тайна совещания

присяжных

заседателей

Суждения, имевшие место во время

совещания 341 УПК РФ 81 ТК РФ

Дактилоскопическая

тайна

Информация об особенностях строения

папиллярных узоров пальцев рук

человека и о его личности (охраняется в

режиме служебной тайны)

128-ФЗ "О государственной

дактилоскопической

регистрации в РФ"

81 ТК РФ

Торговая тайна

352-ПП от 28.05.1992 "О

заключении

межправительственных

соглашений во избежании

двойного налогообложения

жоходов и имущества"

81 ТК РФ

Промышленная

тайна

352-ПП от 28.05.1992 "О

заключении

межправительственных

соглашений во избежании

двойного налогообложения

доходов и имущества"

81 ТК РФ




Секретный торговый

процесс

Соглашение между

Правительством РФ и

Правительством Республики

Беларусь об избежании

двойного налогообложения и

предотвращении уклонения

от уплаты налогов в

отношении налогов на

доходы и имущество

81 ТК РФ


противоречащая

государственным

интересам




Узбекистан об избежании

двойного налогооблажения

доходов и имущества

81 ТК РФ


раскрытие которой

противоречит

национальному

законодательству




Молдова об избежании

двойного налогооблажения

доходов и имущества и

предотвращении уклонения

от уплаты налогов

81 ТК РФ





которую нельзя

получить в ходе

обычной

административной

практики

Конвенция между


Правительством

Королевства Швеции об

избежании двойного

налогообложения в

отношении налогов на

доходы

81 ТК РФ

Конфиденциальная

информация

В зависимости от нормативного акта

может включать в себя государственную

тайну, противопоставляться ей, быть

самостоятельным видом тайны (наряду,

например, с банковской или

коммерческой тайной, а также тайной

связи), а также вообще не считаться

охраняемой законом

61-ФЗ "Таможенный Кодекс

РФ", 126-ФЗ "О связи", Указ


№188

81 ТК РФ

Депутатская тайна

3-ФЗ "О статусе депутата

Совета Федерации и статусе

депутата Государственной

Думы Федерального

Собрания РФ", 56 УПК РФ

81 ТК РФ

Тайна жилища Конституция РФ 139 УК РФ


• Цена на запись

стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) - $20 на одного клиента

стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) - $20 на одного клиента

стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

• Дополнительные метрики

Отток клиентов (в течении 1, 3, 6, 12, n месяцев)

Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)

Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)


• Первая версия опубликована в январе 2005; текущая версия - 2.0

• PCI DSS 2.0 станет обязательным с 1-го января 2012

• Влияет на ВСЕХ кто

Обрабатывает

Передает

Хранит: данные владельцев карт

• PCI – это не государственный стандарт. Это соглашение между платежной системой и ее участниками

Payment Card Industry

Data Security Standard


$138

$182 $197 $202 $204

0

50

100

150

200

250

2005 2006 2007 2008 2009


Цена несоответствия $9,368,351

Цена соответствия $3,529,570

$5,838,781

Разница

$0 $5,000,000 $10,000,000

Задача Цена

Политики $297,910

Взаимодействия $343,119

Управление программой $441,859

Защита данных $1,034,148

Мониторинг соответствия $636,542

Внедрение защитных мер $775,991

Всего $3,529,570

Тип инцидента Цена

Нарушения торговли $3,297,633

Потери продуктивности $2,437,795

Потери доходов $2,180,976

Штрафы $1,451,947

Всего $9,368,351

Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоответствия

Источник: The True Cost of Compliance, Ponemon, 2010


• Каждая платежная система в каждом регионе имеет свои штрафы

• Пример

Штраф $25К-100К в месяц

Понижение на 1 уровень в иерархии

Банки-эквайеры штрафуются на $25К за каждого несоответствующего требованиям PCI DSS клиента

При несообщение об инциденте – штраф $100К (до $500К)


• Все штаты США имеют собственные законы, обязывающие компании, ставшие жертвой утечек персональных данных своих клиентов, уведомлять последних об этих фактах

Стоимость уведомления одного клиента – от 20 долларов

• Чтобы уведомить, необходимо узнать об утечке

• Первая ласточка - California's Database Security Breach Notification Act (SB 1386) and General Security Standard for Businesses (AB 1950)

Почти все 52 штата США имеют соответствующее законодательство

В Европе готовится такое законодательство

• В России требований публичного уведомления об утечках нет!


• Базель II (Международная конвергенция измерения капитала и стандартов капитала: новых подходы)

Принят в 2004-м году (первая версия – в 1988 г.)

• Ориентация на финансовые институты

• Базель II применяется в США, Евросоюзе, Канаде, Японии и Индии

• В России и некоторых других странах СНГ планировалось сделать эти требования обязательными в 2009-2010 гг.

Но вмешался кризис ;-(


• Базель II предъявляет требования к минимальному размеру банковского капитала

Подход может применяться и к другим отраслям

• Необходимо оценивать кредитные, рыночные и операционные риски и резервировать капитал на их покрытие

Операционные риски появились только во второй версии соглашения

• Неэффективное управление операционными рисками приводит

К возрастанию операционных рисков

К большим финансовым резервам, «вырванным» из бизнеса


1-ый уровень

событий

2-ой уровень

событий

3-ий уровень

событий

Внутреннее

мошенничество

Неразрешенная

деятельность

Неотраженные в отчетности

операции

Неразрешенные типы

операций

Воровство и


Умышленное уничтожение

активов

Присвоение чужих счетов

Воровство, хищения, грабеж

Внешнее


Воровство и


Воровство, грабеж

Подделка

Безопасность систем Хакерство

Кража информации

Кадровая политика и

безопасность труда

Взаимоотношения с

сотрудниками

Организация трудовой

деятельности

Вопросы оплаты труда

Безопасная среда Охрана здоровья

Компенсации сотрудникам

Дискриминация Все типы дискриминации


1-ый уровень

событий

2-ой уровень

событий

3-ий уровень

событий

Клиенты, продукты и

деловая практика

Приемлемость,

раскрытие

Нарушения инструкций

Раскрытие информации

Злоупотребления

конф.информацией

Неправильная деловая

или рыночная практика

Деятельность без лицензии

Изъяны продуктов Дефекты продуктов

Ошибки конструкции

Выбор, спонсорство и

риски

Превышение лимитов риска

на одного клиента

Консалтинговые услуги Разногласия в оценках

результатов консалтинговых

услуг

Причинение ущерба

физическим активам

Катастрофы и прочие

события

Ущерб от природных

катастроф

Терроризм, вандализм


• Ст.13.12. Нарушение правил защиты информации (КоАП)

п.1 – нарушение лицензионных условий (до 10К рублей)

п.2. – использование несертифицированных СЗИ, если они подлежат обязательной сертификации (до 20К рублей + конфискация)

п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)

п.4. – использование несертифицированных СЗИ для гостайны (до 30К рублей + конфискация)

п.5 – грубое нарушение лицензионных условий (до 15К рублей + приостановление деятельности до 90 суток)


Она имеет ценность

Имеет ценность для вас

Снижает неопределенность при принятии решений

Влияет на поведение людей, приводящее к экономическим

последствиям

Нематериальный актив (собственная стоимость)

Не имеет ценности для вас, но имеет для кого-то еще

Если ей воспользуются другие, то вы понесете

убытки или проиграете в конкурентной борьбе

Ее защита требуется государством / регулятором

Она не имеет ценности, но ее принято защищать


ChoicePoint – Зима 2004/2005

• Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.

Воздействие на бизнес

• Администрация штата Нью-Йорка отказалась от контракта с ChoicePoint на сумму 800 миллионов долларов

Падение курса

акций


• Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков

• Программа доступа с любого устройства

• Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров

• Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные

• Постоянно растет популярность решений для мобильных устройств

• К чему это приводит?

Корпоративные данные

в закрытой корпоративной

ИТ-инфраструктуре

Корпоративные данные повсюду

(неконтролируемые устройства/

облако)


Критерии:

• Данные уровня не ниже Highly Confidential

• Поддержка критически важных бизнес-

процессов

• Данные, регламентируемые нормативными

требованиями

• Данные для аутентификации/авторизации

пользователей


• Средства управления безопасностью в среде Crown-Jewel

• Аутентификация и авторизация пользователей и приложений/операций доступа к хостам

• Целостность DBlink и жизненного цикла приложений

• Аудит и журналирование доступа

• Поддержка актуальности версий СУБД и патчей в сфере безопасности

• Формализованный и контролируемый доступ в рамках защищенного сегмента сети

• Принятые стандарты повышения уровня защищенности СУБД и операционных систем

• Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету

• Умышленное искажение или маскирование данных при репликации в тестовых целях

• Шифрование данных


ACL

Доку-

менты

Cisco

Прил.

B

Прил.

C

Шлюз

Фильтрация

по URL

“All or Nothing”

Ineffective with portlets

Пользователь

экстранета

ACL

Доку-

менты

Cisco

Прил.

B

Прил.

C

Шлюз

“All or Nothing”

Пользователь

экстранета

Анализ

данных

Фильтрация

по URL

Работа на основе

доверия с проверкой

Работа на

основе доверия

По мере увеличения количества партнеров, пользующихся экстранетом,

и расширения способов доступа к экстранету анализ данных становится

критически важным механизмом поддержания требуемого уровня

защищенности ИТ-инфраструктуры


Приложение Приложение

ДМЗ

Внешний

пользователь

Оператор

системы

хранения

Внутренний

пользователь

Ключи

шифрования

Внутренняя

сеть

Метаданные

приложений

• Данные в облаке

всегда зашифрованы

• Ключи шифрования

защищены и

хранятся в

собственной ИТ-

инфраструктуре

организации

• Оптимизация

производительности

Интернет


• Классификация данных

• Вертикализация

• Бумажная безопасность

• Спектр каналов утечки

• Нефайловые и нетекстовые источники

• Умышленные утечки

• Туманная облачность

• Мобилизация

• Синхронизация

• Интеграция


Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.

• Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных

• Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении

• Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла

• Решения на основе данных Владение

Классификация

Управление/защита определяются классом данных


1. Определение важных данных

Базы данных, системы хранения, каналы связи, оконечные устройства

2. Установка политики защиты данных

Укрепление политики безопасности данных для предотвращения случайной и намеренной утечки данных

3. Безопасное подключение

Устранение точек несанкционированного доступа, шифрование удаленных подключений, контроль беспроводного доступа

4. Управление доступом

Ограничение доступа к важным сетям, базам данных и файлам

5. Контроль утечек (DLP)

Контроль важных данных в местах повышенного риска, проверка содержимого на основе политик, допустимое использование, шифрование

Для защиты от потерь и краж конфиденциальных данных необходима многоуровневая

платформа безопасности

Контроль

утечек

(DLP)

Управление

доступом

Безопасные

подключения

Самозащищающаяся сеть


Инцидент

Требования

законов

Бизнес-

требования Обоснование

Принятие

решения

Оценка

эффективности Угрозы

Изменение

технологий

На этом

«водоразделе»

многие завершают

всю работу

Реализация

проекта ИБ

Наиболее вероятный путь

Наименее вероятный путь


PERFORMANCEASSESMENT

CONTACTINGVENDORS

FORMALREVIEW

SELECTINGPOTENTIALVENDORS

EVALUATING

RECOMMENDINGVENDOR

APPROVINGPURCHASE

MANAGINGPURCHASE

INITIATINGEVALUATION

IDENTIFYISSUES

DECIDING WHOINVOLVED

CXO

CIO/CISO

ИТ/ИБ-менеджер

LOB Менеджер

Другие


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

dlp for top managers

Documents