3 Февраля, 2015

Продаем DLP гос.компании

Игорь Агурьянов
Один крупный интегратор приглашал на работу со вкусными условиями. В итоге я на них поработал, только бесплатно и не долго - выполнив их тестовые задания по подготовке коммерческих предложений.

Задание 1: "Необходимо разработать два коммерческих предложения (КП) по защите от утечек конфиденциальной информации на прикладном уровне. Первое для фэйкового министерства, пусть оно называется Министерство РФ по делам обслуживания и ремонта памятников архитектуры. Цель - предложить заказчику техническое решение (любое, на выбор). На выходе необходимо КП, содержащее цели работ, какие задачи может решить наше предлагаемое решение, описание технического решения, обоснование выбора данного решения и предварительную спецификацию (без цен) на поставляемое оборудование и ПО."

Сверстал в результате хорошее коммерческое предложение для государственной компании - доступно по ссылке . Сори за рекламу ИнфоВотч (так получилось). Позже опубликую вторую КПшку. Под катом текстовка для этой (если у кого-то возникнут сложности с копированием из pdf-ки).

name='more'>

Коммерческое предложение
Система предотвращения утечек конфиденциальной информации



Подготовлено ________________для
Министерства Российской Федерации
по делам обслуживания и ремонта
памятников архитектуры

Предложение действует до
__.__.2015



На государственные органы управления возлагается ответственность, не только связанная с принимаемыми ими решениями, но и с обеспечением безопасности важных государственных проектов и персональных данных граждан страны. Именно поэтому ко всем государственным информационным системам предъявляется требование по обеспечению защиты информации от раскрытия при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны.

Для выполнения законодательных требований мы предлагаем воспользоваться услугами _____________ по внедрению и сопровождению в Министерстве РФ по делам обслуживания и ремонта памятников архитектуры системы предотвращения утечек на базе продукта InfoWatch Traffic Monitor Enterprise (далее - Системы)

Цель внедрения Системы:
Минимизация количества утечек конфиденциальной информации, обрабатываемой в информационных системах Министерства РФ по делам обслуживания и ремонтов памятников архитектуры.

Система контролирует передачу информации по каналам:
HTTP(S)Загрузка информации на интернет-ресурсы (соц.сети, веб-почта, файлообменники, облачные хранилища, форумы, блоги)
SMTPОтправка со служебной электронной почты
FTPЗагрузка информации на файловые сервера
Съемные
накопители
Копирование информации на usb-накопители, диски, дискеты
Системы обмена
сообщениями
Отправка информации по ICQ, Skype, Mail.ru Агент, GTalk и другие
ПечатьРаспечатка документов

Система автоматически анализирует перехваченные данные:
Технология
лингвистического
анализа
Перехватываемому объекту присваивается
категория на основе содержания в нем
совокупности ключевых слов (с учетом
морфологии). Имеется большая преднастроенная
база по различным отраслям
Технология
цифровых
отпечатков
Система детектирует отправку документов, похожих
не те, с которых были сняты цифровые отпечатки
Технология
текстовых объектов
Детектирование отправок данных, имеющие
фиксированную структуру (например, номера
паспортов, кредитных карт, номера социального
страхования)
Детектирование
выгрузок баз
данных
Система обнаруживает передачу более
определенного количества записей из базы данных
(из выбранного ряда полей)
Детектирование
скан-копий
паспортов, подписей
и печатей
Система анализа изображений позволяет
детектировать отправки скан-копий паспортов и/
или документов, которые имеют определенную
подпись или печать
Система обеспечивает:
Предотвращение утечек служебной информации.Конфиденциальная информация о государственных проектах может попасть в руки злоумышленников и привести к спекуляции фактами и впоследствии обострению политической обстановки. Помимо этого большие риски скрываются за случаями публикации конфиденциальных данных в средствах массовой информации, ведущих к большому общественному резонансу. Поэтому вместо сглаживания негативных последствий подобных эпизодов куда важнее бороться с источником проблемы. Система помогает вовремя предотвратить выход конфиденциальной информации за пределы организации, а в случае попадания информации в СМИ, оперативно провести кампанию по снижению общественного резонанса и смягчения последствий от инцидента.

Выполнение требований законодательства в сфере персональных данных и государственных информационных систем.Законодательство в отношении защиты персональных данных и государственных информационных систем постоянно расширяется и совершенствуется. Государственные органы в числе первых стремятся обеспечить максимально полное соответствие нормативно-правовым актам в этих сферах. Приказом ФСТЭК России от 11.02.2013 №17 и Приказом ФСТЭК России от 18.02.2013 №21 введены требования к информационным системам персональных данных и к государственным информационным системам:
- РСБ.З: Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
- ЗИС.3: Обеспечение защиты данных от раскрытия, <...> при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Выявление злоумышленников, сговоров, мошеннических действий, саботажа, нелояльных сотрудников. Перед сменой места работы сотрудники часто забирают с собой “наработанные материалы” - свои и своих коллег, чтобы использовать их в дальнейшем. Известны факты и более “неприятного” использования служебных ресурсов не по назначению - например, сотрудники вступают в сговор с контрагентами с целью получения личной выгоды. Система способна фиксировать посещение сотрудником сайтов для поиска работы, факты ежедневных рассылок резюме, “подозрительную” переписку с контрагентами, использование инфраструктуры компании в личных целях.

Расследование инцидентов информационной безопасности. Утечка конфиденциальной информации может произойти несмотря на хорошую политику безопасности, подкреплённую современными техническими решениями. В этом случае встает вопрос о дальнейших юридически корректных действиях (проведение расследования, оформление наказания в отношении нарушителя). Отчеты, формируемые Системой могут служить основанием для инициации служебного расследования - выяснения обстоятельств инцидента и, как следствие, наказания виновных в правовом поле.
Предотвращение утечек персональных данных граждан (в т.ч. сотрудников).Персональные данные являются самым массовым типом утекающей информации в России. В соответствии со ст. 1068 ГК РФ юридическое лицо несет ответственность за вред, причиненный его работником при исполнении трудовых обязанностей. То есть, убытки и моральный вред, причиненный субъекту персональных данных, будет возмещать работодатель. В свою очередь работодатель, на основании ст. 1081 ГК РФ вправе в регрессном порядке требовать возмещения причиненных ему убытков со своего работника. Система обладает рядом преднастроенных технологий, позволяющих обнаруживать отправку персональных данных, отсканированных паспортов, заполненных бланков анкет или выгрузок из 1С.

Обеспечение технического контроля исполнения должностных инструкций. Человеческий фактор и низкий уровень компьютерной грамотности становятся причиной большого количества случайных нарушений политик информационной безопасности, влекущих за собой серьёзные последствия для сотрудников и руководителей организаций . Поэтому необходимо проводить тщательное обучение сотрудников и применять технические средства для контроля исполнения должностных инструкций на местах. Система позволяет осуществлять такой контроль, что в свою очередь позволяет выявить наиболее слабые места в осведомленности сотрудников и проводить обучение с целевыми группами, опираясь на специфику нарушений, свойственных конкретной организации.


comments powered by Disqus