KEEPING SECRETS SAFE Компания и решения Решения компании Perimetrix для управления классифицированной электронной информацией и ее защиты от угроз утечки и несанкционированных изменений

KEEPING SECRETS SAFE Проблема: Оборот электронной информации Реалии сегодняшнего дня Концентрация информации на электронных носителях увеличивается Деловая среда становится все более виртуальной Конфиденциальная информация, хранящаяся в электронном виде, становится все более ликвидным активом, с высокой тиражируемостью** и относительной простотой конвертируемости в деньги Традиционное электронное делопроизводство не обеспечивает необходимого уровня защиты сведений, содержащих конфиденциальную информацию Факторы, усугубляющие проблему – коррупция, корпоративное мошенничество («фрод»), текучесть кадров, нерыночные методы конкуренции Следствие – утечки конфиденциальной (коммерческая тайна, персональные данные и т.п.) информации и другие неправомерные действия авторизованного персонала по отношению к таким данным **) Здесь под «тиражируемостью» понимается простота, в случае наличия легального доступа, клонирования (создания множества копий) одного и того же информационного ресурса (актива), без потери его аутентичности и целостности

KEEPING SECRETS SAFE Проблема: Рост неструктурированная информации Реалии сегодняшнего дня Средний объем информации, хранимой и обрабатываемой пользователями в неструктурированном виде, составляет ~ 40% * 86% компаний сталкиваются с постоянным увеличением числа электронных документов, хранимых в неструктурированном виде. Ежегодная скорость прироста данного объема составляет ~ 7% *) Aberdeen Group. Securing Unstructured Data, % Электронные данные, содержащие конфиденциальную информацию, остаются на диске пользователя сетевой папке и др. устройствах без какого либо учета и контроля.

KEEPING SECRETS SAFE Проблема: Отсутствие контроля за оборотом электронной информации ограниченного доступа Получение контента на рабочую станцию Утечка информации Пользователи с легальными правами допуск База данных, Портал, ERP, CRM Неклассифицированная информация, хранимая в структурированном виде в единой базе данных, портале и т.д.

KEEPING SECRETS SAFE Решение: Классификация и … C4 C3 C2 C1 Принадлежность Функциональность Неструктурированные данные Данные извне Структурированные данные (Портал, ERP, CRM, База данных Принадлежность (Коммерческая тайна, Персональные данные,…..) Секретность (С1, С2, С3,….)Функциональность (Финансы, Маркетинг, Разработка…..)Территориальная принадлежность (Москва, Киев, Стамбул….)Другое (1, 2, 3,….)

KEEPING SECRETS SAFE Необходима система способная определить и поддерживать классификационный признак информационного объекта и обеспечить применение соответствующих политик в части доступа, обработки, хранения и передачи классифицированного информационного объекта Решение: … и контроль (управление) C4 C3 C2 C1 Принадлежность Функциональность Политики (правила) доступа, обработки, хранения и передачи классифицированных данных Пользователь и его рабочая станция Классифицированный информационный объект

KEEPING SECRETS SAFE Решение: Perimetrix SafeSpace Система управления жизненным циклом классифицированных электронных данных Отслеживание, идентификация и защита классифицированной электронной информации при ее хранении использовании передаче Управление жизненным циклом классифицированной электронной информацией и обеспечение сохранности информационных активов коммерческой информации персональных данных другой информации ограниченного доступа Обеспечение эффективного процесса управления информационными активами с целью противодействия компрометации компании, ее руководства или акционеров коррупционному злоупотреблению должностными полномочиями корпоративному шпионажу саботажу

KEEPING SECRETS SAFE Комплексность системы Perimetrix SafeSpace Какими средствами достигается Модульный принцип построения системы (масштабируемость) Несколько независимых уровней защиты (надежность) Статические и динамические методы предотвращения утечек Вариативность технического обеспечения безопасности в зависимости от различных сценариев реализации угроз Персонифицированные настройки политик безопасности Отслеживание, идентификация и защита классифицированной информации при ее хранении, использовании и передаче

KEEPING SECRETS SAFE Perimetrix SafeSpace Пять уровней предупреждения и защиты SafeEdge – элемент системы Perimetrix, предна- значенный для предотвращения утечки конфиден- циальных данных. Обеспечивает фильтрацию и автоматическую классификацию исходящих данных SafeUse – элемент системы Perimetrix, предназначенный для построения аудируемой, в соответствии с принятыми в компании политиками безопасности, среды распределенного хранения и обработки конфиденциальной информации. Предотвращает неавторизованные действия пользователей, приложений и процессов в отношении с классифицированных данных SafeStore – компонент системы Perimetrix, предназначенный для защищенного хранения и передачи классифицированных данных. Обеспечивает преемственность политик при передаче классифицированной информации. Предотвращает компрометацию данных при физической краже носителя или резервной копии Enterprise Integration Server (EIS) – сервер взаимодействия Perimetrix SafeUse с гетерогенными корпоративными средами хранения и обработки данных (RDBMS, системами класса ERP, CRM, HRMS, PLM и проч.) Network Exposal (NetEX) – модуль выявления и анализа скрытых зависимостей между конфиденци- альными данными, связанными с ними событиями и сотрудни- ками компании Обеспечение сохранности информационных активов, коммерческой информации, персональных данных, другой информации ограниченного доступа

KEEPING SECRETS SAFE Целостность системы Perimetrix SafeSpace Какими средствами достигается Горизонтальная интеграция входящих и исходящих информационных потоков конфиденциальной информации Учет индустриальной специфики и характерных для каждой отрасли бизнес-сценариев (SSBS, Security Sensitive Business Scenarios) Защита конфиденциальной информации на всех этапах ее жизненного цикла (Secret Documents Lyfecycle) Обеспечение эффективного процесса информационной безопасности бизнеса с целью противодействия - компрометации компании, ее руководства или акционеров; коррупционному злоупотреблению должностными полномочиями; корпоративному шпионажу; саботажу

KEEPING SECRETS SAFE Рerimetrix SafeSpace: Как это работает? Жизненный цикл классифицированной информации (данных) ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ PERIMETRIX Первичная классификация Деклассификация Неструктурированные данные 1.Классификация (электронные метки) с помощью модуля Perimetrix SafeEdge, по заданным текстовым примерам или «цифровым отпечаткам» ; 2.Вручную - «файл, все, что в папке, все, что на файловом сервере» и т.п. 1.Автоматическая классификация (электронные метки) по исходящему адресу, входящему адресу, текстовой метке в сообщении. 2.Автоматически при использовании криптоконтейнера «CRYPTEX» 3.Автоматически по номеру устройства Данные извне 1.Автоматическая классификаци всего ресурса я (электронные метки) по IP адресу, сетевому узлу. 2.Детальная классификация при использовании интеграционного сервиса EIS ERP Portal DB Структурированные данные Драйвер на рабочей станции позволяет осуществлять обработку, хранение и передачу (обмен) классифицированной информации пользователем только в соответствии с политиками. Доступ неразрешенных политиками приложений, устройств, процессов блокируется. Политики применяются ДИНАМИЧЕСКИ – т.е. в момент доступа пользователя к классифицированной информации. При работе пользователя в обычном режиме – никаких ограничений нет Политики обычно привязываются к рабочему процессу (бизнес – процессу) и позволяют пользователю выполнять свои обязанности, ограничивая другую активность, по отношению к классифицированной информации Вывод из периметра\ уничтожение Система может понижать\снимать классификационный маркер в соответствии с политиками и логирует уничтожение (снятие классификационного маркера) – т.е. остается запись о данном действии Возможна настройка политик архивирования классифицированной информации, предварительного криптования заданным алгоритмом при отсылке электронной почтой или копировании на устройство

KEEPING SECRETS SAFE Perimetrix SafeSpace: Функциональные компоненты Perimetrix SafeStore Криптозащита и управление жизненным циклом Perimetrix EIS Интеграциия с корпорат. приложениями и БД Perimetrix SafeUse Управление перемещенеием данных драйвер на рабочей станции Perimetrix SafeEdge DLP и автоматическая классификация данных Фильтрация трафика (ел.почта, веб, мгновенные сообщения, внутри сети) Общая платформа (сервер) и база данных Единое для всех модулей управление политиками и инцидентами Perimetrix NetEx Аналитика и выявление атипичных активностей

KEEPING SECRETS SAFE ОБЪЕКТЫ ЗАЩИТЫ ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ)БАЗЫ ДАННЫХ И КОРП. ПРИЛОЖЕНИЯ ПАССИВНЫЕ СУЩНОСТИ СУБЪЕКТЫ ЗАЩИТЫ ПОЛЬЗОВАТЕЛИ КИКОНТЕЙНЕРЫ АКТИВНЫЕ СУЩНОСТИ АУДИРУЕМАЯ СРЕДА Perimetrix SafeSpace: Настройка политик 1/11/1 БИЗНЕС – ПРОЦЕСС РАБОЧИЙ ПРОЦЕСС Места хранения и обработки КИ Форматы хранения КИ Приложения обработки КИ Процессы обработки КИ Каналы транспортировки КИ ЛОГИКА РАБОТЫ СИСТЕМЫ 6 6 C4 C3 C2 C1 Владелец данных тематическ. признаки ТОПОЛОГИЯ КОМПЬЮТЕРНОЙ СИСТЕМЫ Регламенты инвентаризации КИ Автоматич. классификация в местах хранения ПРОЦЕССЫ ХРАНЕНИЯ И ОБРАБОТКИ КИ Классификация критичных бизнес-приложений Логика интеграции с корпоративным контентом LIFECYCLE MANAGEMENT 5 5 КЛАССИФИКАТОР КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПОЛНОМОЧИЯ ДОВЕРЕННЫЙ ПЕРЕЧЕНЬ КЛАССИФИКАЦИЯ ПРАВИЛА ДОПУСКА

KEEPING SECRETS SAFE АУДИРУЕМАЯ СРЕДА ОБЪЕКТЫ ЗАЩИТЫ СУБЪЕКТЫ ЗАЩИТЫ ПОЛНОМОЧИЯ ДОВЕРЕННЫЙ ПЕРЕЧЕНЬ Perimetrix SafeSpace: Унифицированная модель событий (УМС) 1/21/2 ПОЛЬЗОВАТЕЛИ КИКОНТЕЙНЕРЫ ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ) ПОРЯДОК ПРИНЯТИЯ РЕШЕНИЙ: 1.Определить актуальный уровень информационного объекта 2.Идентифицировать элементы УМС: контейнер-источник контейнер-приемник инициатора действия (перемещения) 3.Сопоставить допустимые уровни элементов УМС с актуальным уровнем информационного объекта БАЗЫ ДАННЫХ И КОРП. ПРИЛОЖЕНИЯ ЛОГИКА РАБОТЫ СИСТЕМЫ Активная конфигурация АКТИВНЫЕ СУЩНОСТИ ПАССИВНЫЕ СУЩНОСТИ *) Уровень – комбинация грифа секретности и тематических признаков, назначенная субъекту/объекту защиты; ДУ – допустимый уровень; АУ – актуальный уровень РАЗРЕШИТЬ или БЛОКИРОВАТЬ ПЕРЕМЕЩЕНИЕ КИ Допустимый уровень Актуальный уровень Д/У * А/У * Актуальный уровень

KEEPING SECRETS SAFE ОБЪЕКТЫ ЗАЩИТЫ СУБЪЕКТЫ ЗАЩИТЫ Perimetrix SafeSpace: Пример цепочки перемещений [1] 1/31/3 ПОЛЬЗОВАТЕЛИ КИ ИНИЦИАТОР ИСТОЧНИК ОТКРЫТИЕ ДОКУМЕНТА: Инициатор перемещения = владелец контейнера-источника = владелец контейнера-получателя Конт.истч. = файл MS Word Конт.плч. = процесс Winword.EXE Д/У инициатора = С3 А/У контейнера-источника = C2 Д/У контейнера-получателя = С3 ЛОГИКА РАБОТЫ СИСТЕМЫ Активная конфигурация Актуальный уровень РАЗРЕШИТЬ ПЕРЕМЕЩЕНИЕ КИ С3 Допустимый уровень АУДИРУЕМАЯ СРЕДА ПОЛУЧАТЕЛЬ А/У * Д/У * *) Уровень – комбинация грифа секретности и тематических признаков, назначенная субъекту/объекту защиты; ДУ – допустимый уровень; АУ – актуальный уровень С2 С3 С2 Управление информацией и событиями безопасности ЛОГ

KEEPING SECRETS SAFE ОБЪЕКТЫ ЗАЩИТЫ СУБЪЕКТЫ ЗАЩИТЫ Perimetrix SafeSpace: Пример цепочки перемещений [2] 1/41/4 ИНИЦИАТОРИСТОЧНИК ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ) ОТКРЫТИЕ ДОКУМЕНТА: Инициатор перемещения = владелец контейнера-источника = владелец контейнера-получателя Конт.истч. = файл MS Word Конт.плч. = процесс Winword.EXE Д/У инициатора = С3 А/У контейнера-источника = C2 Д/У контейнера-получателя = С3 ЛОГИКА РАБОТЫ СИСТЕМЫ Активная конфигурация БЛОКИРОВАТЬ ПЕРЕМЕЩЕНИЕ КИ С3 Допустимый уровень С2 ПОЛУЧАТЕЛЬ АУДИРУЕМАЯ СРЕДА КОПИРОВАНИЕ ДОКУМЕНТА: Инициатор перемещения = владелец контейнера-источника = владелец контейнера-получателя Конт.истч. = процесс Winword.EXE Конт.плч. = флэш-накопитель Д/У инициатора = С3 А/У контейнера-источника = C2 Д/У контейнера-получателя = С1 Д/У * С1 А/У * *) Уровень – комбинация грифа секретности и тематических признаков, назначенная субъекту/объекту защиты; ДУ – допустимый уровень; АУ – актуальный уровень Управление информацией и событиями безопасности ЛОГ

KEEPING SECRETS SAFE ОБЪЕКТЫ ЗАЩИТЫ СУБЪЕКТЫ ЗАЩИТЫ Perimetrix SafeSpace: Пример цепочки перемещений [3] 1/51/5 ИНИЦИАТОРИСТОЧНИК ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ (ФАЙЛЫ) ОТКРЫТИЕ ДОКУМЕНТА: Инициатор перемещения = владелец контейнера-источника = владелец контейнера-получателя Конт.истч. = файл MS Word Конт.плч. = процесс Winword.EXE Д/У инициатора = С3 А/У контейнера-источника = C2 Д/У контейнера-получателя = С3 ЛОГИКА РАБОТЫ СИСТЕМЫ Активная конфигурация РАЗРЕШИТЬ ПЕРЕМЕЩЕНИЕ КИ С3 Допустимый уровень С2 ПОЛУЧАТЕЛЬ АУДИРУЕМАЯ СРЕДА КОНВЕРТАЦИЯ ДОКУМЕНТА: Инициатор перемещения = владелец контейнера-источника = владелец контейнера-получателя Конт.истч. = процесс Winword.EXE Конт.плч. = процесс Acrobat.EXE Д/У инициатора = С3 А/У контейнера-источника = C2 Д/У контейнера-получателя = С4 Д/У * С4 А/У * *) Уровень – комбинация грифа секретности и тематических признаков Классификатора, назначенная субъекту/объекту защиты; ДУ – допустимый уровень; АУ – актуальный уровень С2 LIFECYCLE MANAGEMENT Актуальный уровень Управление информацией и событиями безопасности ЛОГ ИНВЕНТАРИЗАЦИЯ

KEEPING SECRETS SAFE Некоторые особенности (возможности) решения Perimetrix динамический доступ к сетевым ресурсам, переферийным устройствам и локальным портам, в зависимости от категории обрабатываемой пользователем классифицированной информации (КИ) (в отличии от систем блокировки устройств); наследование уровней КИ исходного документа всеми производными файлами (контроль деривативов) и соответственно, применение политик; расшифровка КИ возможна только на рабочей станции с установленным и работающим агентом SafeUse; преемственность политик при пересылке КИ в дочерние организации, или поставщикам\заказчиками при подписанном Соглашении о неразглашении; печать и создание твердых копий КИ возможно только на определенных политикой ИБ устройствах; автоматическая классификация и контроль данных из офисных систем (ERP, CRM, PLM etc.), порталов, баз данных, при обработке пользователем данных их этих систем; наличие «защиты от администратора» – ведется история всех конфигураций системы и остается «след» изменения настроек, если таковые происходили.

KEEPING SECRETS SAFE Подход к внедрению системы управления КИ Понимание ключевых бизнес-процессов и информационных потоков с ними связанных. Защита тех бизнес-процессов и теми средствами, которые позволяют добиться минимизации стоимости владения системой (TCO) и получить разумный баланс между требованиями информационной безопасности и потребностями бизнеса Карта бизнес-процессов 1 Очередность и объем внедрения 3 Матрица бизнес-процессов под риском 2

KEEPING SECRETS SAFE Cпасибо за внимание! Компания Perimetrix Россия и СНГ : ООО «ПЕРИМЕТРИКС» , Москва, Мичуринский проспект, д. 45 Телефон: ; Факс: Южно – Африканская Республика: Perimetrix SA (Pty) Ltd Balblair Building, Kildrummy Office Park,Cnr Witkoppen Road and Umhlanga Drive, Paulshof, 2056 Tel: ; Fax: