19.11.2009    Москва, КВЦ "Сокольники", конференц-зал павильона №2
Организаторы:        
Поддержка:             
Партнеры:                          

или

Юлия Карцева, icq-консультация по программе и вопросам участия

Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch

03.11.2009 Защита от инсайдеров. Всегда ли организационные меры выгоднее технических? Интервью с Рустэмом Хайретдиновым, заместителем генерального директора InfoWatch

Почему InfoWatch принимает участие в конференции FinSec?
Финансовый сектор – наиболее зарегулированная отрасль экономики во всем мире, и решения для защиты конфиденциальных данных от утечки востребованы как часть программы соответствия требованиям сразу нескольким стандартам информационной безопасности. Среди операторов персональных данных, относящихся к двум первым категориям, которые по 152-ФЗ обязаны предпринимать все организационные и технические меры защиты персональных данных своих клиентов и сотрудников, банки и страховые компании встречаются чаще других организаций.
Поэтому нам хотелось бы поделиться собственным опытом защиты информации от внутренних угроз. Думаю, он будет интересен аудитории FinSec: за 6 последних лет нами реализовано более 100 проектов, из них около 30 – в банках и страховых компаниях, с государственным, частным российским и иностранным капиталом, розничных, инвестиционных, и универсальных. Актуальные версии продуктов InfoWatch доработаны с учетом требований российских регуляторов и имеют сертификаты соответствия. Также в обязательном порядке были учтены пожелания десятков наших клиентов из финансовой отрасли.

Что вы планируете рассказать и показать финансовому сообществу?
В своем выступлении я хотел бы обратить внимание аудитории на то обстоятельство, что по-настоящему эффективное противодействие инсайдерской угрозе может оказать лишь комплекс мер, сочетающий как организационные мероприятия (внедрение политик защиты конфиденциальной информации в компании, повышение осведомленности сотрудников о необходимости защиты конфиденциальных корпоративных данных), так и технические средства защиты. В нынешней непростой ситуации нужно четко соблюдать экономически оптимальный баланс организационных мер и технических средств.
Организационные меры только с виду дешевле, т.к. контроль за их соблюдением отвлекает очень много человеческих ресурсов, которым свойственно ошибаться, а под угрозой сокращения – явно нарушать политики информационной безопасности. Поэтому всегда проще поручить контроль за соблюдением критичных политик информационной безопасности бесстрастному техническому решению.

Кому адресован ваш семинар?
В принципе целевой аудиторией нашего семинара могут быть как директора и владельцы компаний разного масштаба из различных отраслей экономики, которым будут интересны методологии оценки рисков информационной безопасности, а также процедуры прохождения аудита на соответствие требованиям различных стандартов, так и руководители ИБ- и ИТ-подразделений этих компаний, которым будет интересен наш опыт разрешения реальных ситуаций промышленного шпионажа и недобросовестного поведения сотрудников, процедуры проведения внутренних расследований, сбора доказательств и наказания виновных.

Защита информации от внутренних угроз относится к классу бизнес-безопасности, т.е. требует от тех, кто реализует проект, глубокого понимания бизнеса заказчика.
Методология и стратегия защиты конфиденциальной информации от внутренних угроз одна и та же для всех – постановка процесса автоматической категоризации конфиденциальной информации, определение разрешенных маршрутов движения различных категорий и внедрение правил пользования информацией и каналами ее перемещения. Однако тактика реализации таких проектов специфична для каждой организации даже в рамках одной отрасли: у каждой компании есть свойственные только ей процессы и данные. Поэтому, наряду с передовыми технологиями в бизнес-безопасности очень важен опыт реализации проектов в конкретной отрасли.
Что касается финансового сектора, то у банков, страховых компаний, негосударственных пенсионных фондов существует своя специфика бизнеса и, соответственно, виды рисков и тактика защиты чувствительных данных.
Например, в крупных банках с разветвленной сетью филиалов гораздо сложнее мониторить обращение конфиденциальной информации. Решить этот вопрос могут системы защиты конфиденциальных данных с интегрированным централизованным хранилищем данных и обработкой информации.
В НПФ, наоборот, штат сотрудников небольшой, но и этим организациям нужно защищать конфиденциальные данные от утечки, поскольку они оперируют значительными объемами ПДн. Для такого рода компаний, по сути, только начинает формироваться предложение на рынке систем защиты конфиденциальной информации для SMB-предприятий (такие системы пока можно пересчитать по пальцам одной руки). Основными критериями для выбора систем защиты в данном случае будут низкая цена и легкость решения.
В страховых компаниях довольно высок риск, связанный с аутсорсингом (с передачей конфиденциальной информации субподрядчикам – в автосалоны, медучреждения и т.д.). Поэтому как минимум страховые компании должны иметь NDA со всеми своими партнерами, которые, в свою очередь, также являются целевой аудиторией систем защиты конфиденциальной информации от утечки.

С какими сложностями вам приходится сталкиваться в реализации ваших проектов защиты информации от инсайдеров?
Если заказчик в начале проекта может сказать: «Вот вам документы, вот признаки, по которым мы решаем, что новые и входящие документы являются конфиденциальными, вот правила использования информации внутри компании», то достаточно просто сообщить эту информацию системе, и она возьмет под защиту данные и процессы их перемещения.
Проблема в том, что чаще всего заказчик к началу проекта даже не знает, какая именно информация в его информационной системе является конфиденциальной. Он не знает, что нужно защищать, и поэтому уверен, что в действительности эффективно защититься от внутренних угроз невозможно.
Действительно, ни в одной компании нет концентрированной экспертизы в области оценки конфиденциальности информации. Достоверно степень конфиденциальности информации знают руководители функциональных подразделений – финансового, коммерческого, производственного, R&D, логистического, и т.д.
Поэтому основная проблема внедрения систем защиты от внутренних угроз — это проблема категоризации информации, а не собственно их защита. И в этом мы очень сильны. Бывает, что категоризацию данных клиент заказывает нам, а для защиты уже категоризованной информации выбирает другое решение.
Еще одной сложностью проектов по защите информации от внутренних угроз является то, что для эффективного ее использования необходимо применить ряд организационных мер, привязывающих сотрудника к его учетной записи. Любая система обработки инцидентов информационной безопасности позволяет связать инцидент с учетной записью, а принимать меры придется к сотруднику. Без такой связки использование системы будет проблематичным.

Как начиналась компания InfoWatch? Как сложилась команда? Сколько выполненных проектов по проблеме инсайдеров?
История компании InfoWatch на протяжении нескольких лет была неразрывно связана с историей крупнейшего в России производителя систем защиты от вирусов, спама и хакерских атак — «Лаборатории Касперского». Именно в кулуарах Лаборатории в 2001 году специалисты компании задались вопросом: почему мы защищаем корпоративные рабочие станции только от внешних угроз, тогда как основные финансовые потери компании несут не от хакерских атак, а от действий своих же сотрудников. В результате к концу 2001 года идея воплотилась в первичный бизнес-план проекта под кодовым названием «Информер».
В течение последующего 2002 года группа разработчиков «Лаборатории Касперского» создала прототипы первых продуктов Net Monitor и Mail Monitor, предназначенных соответственно для защиты файловых операций на рабочих станциях и фильтрации исходящего контента электронной почты. К началу 2003 года эти продукты были доведены до конечной стадии коммерческого решения и предложены первому клиенту – компании ВоГЭК (ныне часть Русгидро). Параллельно пилотные внедрения были проведены еще в десятке крупнейших российских компаний, и к концу 2003 года стало ясно, что проект настолько вырос и окреп, что вполне готов пуститься в самостоятельное плавание.
9 декабря 2003 года на российском рынке появился новый производитель программного обеспечения – ЗАО «ИнфоВотч». Годом позже у компании-новичка появились не только новые клиенты, но и первые партнеры – ведущие отечественные системные интеграторы.
Сегодня компания InfoWatch является лидером DLP-отрасли в России, занимая, по оценкам экспертов, 70% отечественного рынка защиты данных от утечек, с 8- летним опытом разработки DLP-решений. Компания также активно осваивает европейский, азиатский и американский рынки.
Продукты «ИнфоВотч» защищают от утечек конфиденциальной информации сотни тысяч компьютеров в 40 городах России и СНГ. Мы объективно являемся абсолютным лидером российского рынка по борьбе с утечками: большинство компаний, использующих системы защиты данных от несанкционированного использования, – наши клиенты.

Среди заказчиков «ИнфоВотч» — представители практически всех отраслей экономики России. Это два крупнейших мобильных оператора России, четыре нефтяных компании, три металлургических холдинга, пять энергетических компаний, естественные монополии, десятки министерств и ведомств, предприятия ВПК, структуры здравоохранения и фармацевтики. десятки банков и страховые компании,
Например, в этом году мы совместно с нашим партнером, компанией КРОК, осуществили внедрение решения InfoWatch Traffic Monitor (система защиты конфиденциальной информации от утечки для крупных предприятий) в ЗАО «Райффайзенбанк». Система дала возможность банку установить полный контроль над исходящей электронной перепиской по каналу SMTP. Качественная категоризация сообщений позволяет осуществлять обработку всей исходящей почты филиалов Банка со всей России силами нескольких офицеров информационной безопасности. За полгода промышленной эксплуатации системы были обработаны 369 критичных инцидентов нарушения информационной безопасности Банка.