Comments 13
http://solarsecurity.ru/bitrix/redirect.php?goto=http://ya.ru — передавайте приветы вашим одминам/сайтостроителям. А заодно Битриксу.
Возможно, вопрос довольно странный, но я не очень знаком с практическим применением таких систем. Например, сотрудник что-то утащил, компания собирается идти в суд с отчетом от этой системы, верно? Как она может доказать, что этот отчёт настоящий, а не просто напечатан (если такой вариант возможен) или подделан (чтобы подставить сотрудника)?
Если возникает вопрос о подлинности логов системы, суд опирается на заключение экспертов. Изымаются серверы, производится анализ, и эксперты говорят, логи это из DLP или чье-то творчество в условном ворде.
Спасибо. Хотя все ещё остаётся вопрос о возможности обмана системы самой компанией. Тогда одна экспертиза говорит, что это могут быть логи из DPL, а другая экспертиза говорит, что нет явных оснований считать, что действия совершены конкретно обвиняемым. Как мне кажется, это звучит немного странно, но это возможно в теории.
нет явных оснований считать, что действия совершены конкретно обвиняемым
Да, это справедливое замечание, логируются, строго говоря, действия не человека, а учетной записи. Для этого и составляются различные регламенты по процедурам и политикам ИБ. Человек должен расписаться, что он обязуется никому не передавать свой пароль от учетной записи, что он несет ответственность за действия, осуществляемые из-под его аккаунта и т.д.
Человек должен расписаться, что он обязуется никому не передавать свой пароль от учетной записи, что он несет ответственность за действия, осуществляемые из-под его аккаунта и т.д.
А какая риторика юриста компании, если сотрудник скажет, что он этого не делал, его взломали или подставили (например, как минимум системный администратор может это сделать)?
Изымаются серверы, производится анализ, и эксперты говорят, логи это из DLP
То есть в суде экспертам дадут код DLP, они его проанализируют полностью, поймут, как он работал на конкретно заданной машине в конкретно заданный момент времени (т.е. с учетом других запущенных приложений, с учетом обновлений ОС и пр.), а потом смогут четко сказать, что это лог именно программы? Звучит, как фантастика, с технической точки зрения.
И еще вопросы по поводу DLP:
- Какие гарантии производитель дает организации-заказчику? Т.е. если данные утекли мимо DLP программы, то какая компенсация предусмотрена?
- Как вы ловите утечки через DNS/IP туннели, передача информаций с помощью звуковых разъемов и т.д.?
- Как защищают DLP решения от подделки логов, т.е. какая защита от того, что один сотрудник может скомпрометировать другого сотрудника? Какую ответственность несет производитель DLP решения, если такое произошло?
А какая риторика юриста компании, если сотрудник скажет, что он этого не делал, его взломали или подставили (например, как минимум системный администратор может это сделать)?
Как минимум, есть данные СКУД, показания коллег и пр. DLP логирует не только факт, но и время инцидента.
То есть в суде экспертам дадут код DLP, они его проанализируют полностью, поймут, как он работал на конкретно заданной машине в конкретно заданный момент времени (т.е. с учетом других запущенных приложений, с учетом обновлений ОС и пр.), а потом смогут четко сказать, что это лог именно программы? Звучит, как фантастика, с технической точки зрения.
Нет, код, разумеется, никто не даст, он и не нужен. Речь не логах работы самого решения, а о логировании действий пользователей. Эти логи хранятся в системе, и они не зависят от окружения.
Какие гарантии производитель дает организации-заказчику? Т.е. если данные утекли мимо DLP программы, то какая компенсация предусмотрена?Гарантий никто не дает. Информация может пройти мимо DLP, это не секрет. Если Вы узнаете о предстоящем слиянии Uber и Яндекс.Такси и посоветуете друзьям срочно покупать акции «Яндекса», это будет утечка. Но техническими мерами предотвратить такое пока нельзя.
Как вы ловите утечки через DNS/IP туннели, передача информаций с помощью звуковых разъемов и т.д.?Конкретно Solar Dozor контролирует утечки через каналы, где невозможно снятие копии трафика с помощью скриншотов экрана. В некоторых решениях стоит кейлоггер. Через звуковые разъемы — никак. Некоторые заявляют о контроле голосовых сообщений, но там пока остается вопрос качества распознавания речи.
Как защищают DLP решения от подделки логов, т.е. какая защита от того, что один сотрудник может скомпрометировать другого сотрудника? Какую ответственность несет производитель DLP решения, если такое произошло?Это технически нереализуемо (по крайней мере, в известных нам DLP-решениях).
Всё очень просто — суд априори уверен, что доказательства подлинны. И никакие технические нюансы тут никого не волнуют. А если тебя взломали, то виноват всё равно ты (Бумажку подписал же? Вот и отвечай за хакеров теперь). Ничего и никому вы не докажете, если есть установка посадить. Богатов вон, тоже был уверен, что не виноват…
Самое интересное что статья ни о чем. Описаны действия для введения режима коммерческой тайны очень условно, но это никак не объясняет введения DLP — системы. А где фраза о том, что работник согласен, что все его действия в системе логгируются? Да он встречный иск подаст в этом же суде и скажет, что Вы шпионили за ним, незаконно собирали о нем информацию, хотя он Вам не давал на это разрешения. Необходимо наверное, как минимум взять с него подписку, о том, что он не возражает в проведении в отношении его периодической проверки, описать суть проверки кратко и размыто и ОБЯЗАТЕЛЬНО — подпись его проставить под этим. Документов бы добавил для описания самого принципа работы DLP системы, чтобы в случае проверки проверяющим давать такой документ и сами специалисты понимали что им с этой DLPсистемой делать.
Извините, но считаю, что Ваш труд не закончен и описан неполно.
Извините, но считаю, что Ваш труд не закончен и описан неполно.
Сотрудники должны знать (т.е. опять-таки расписаться в ознакомлении), что исполнение этих правил, как и использование корпоративных средств обработки информации, контролируется с использованием средств мониторинга.
Цели детально описать введение режима КТ не было, статья более общей направленности. Проблема с юридическим сопровождением DLP не в том, что люди не знают, как оформить КТ, а в том, что многие до сих пор не знают, что что-то вообще надо оформлять, что надо прописать в регламентах, о чем уведомить сотрудников и т.д.
Sign up to leave a comment.
DLP и Закон: как правильно оформить внедрение системы для защиты от утечек