Руководство по управлению утечкой данных

Carder

Carder

Professional
Messages
2,619
Reaction score
1,920
Points
113
Распространение данных - это случайное или преднамеренное раскрытие информации в неконтролируемой или несанкционированной среде или лицам, которым не нужно знать. Распространение данных иногда называют раскрытием информации или утечкой данных. Утечки данных считаются инцидентами кибербезопасности, о которых следует сообщать в Центр кибербезопасности (ACSC).

Введение​

Распространение данных - это случайное или преднамеренное раскрытие информации в неконтролируемой или несанкционированной среде или лицам, которым не нужно знать. Распространение данных иногда называют раскрытием информации или утечкой данных.
Разливы данных обычно делятся на две категории:
  • Передача информации в систему, которая не уполномочена обрабатывать информацию. Такая передача может осуществляться по электронной почте или на цифровых носителях.
  • Несанкционированное раскрытие информации в Интернете, в том числе через веб-форумы, социальные сети и другие типы облачных хранилищ.
Утечки данных считаются инцидентами кибербезопасности, о которых следует сообщать в центр кибербезопасности (ACSC).

Обзор управления утечкой данных​

Обучение пользователей системным политикам и политикам использования Интернета, а также тому, как правильно идентифицировать и обрабатывать информацию, может значительно помочь в предотвращении утечки данных. Однако в случае утечки данных организациям следует использовать следующий пятиэтапный процесс:
  • Определите. Признайте, что произошла утечка данных.
  • Сдерживайте. Определите масштаб утечки данных.
  • Оцените. Определитесь с наиболее подходящим курсом действий для предотвращения утечки данных.
  • Исправьте. Устранение утечки данных в зависимости от выбранного курса действий.
  • Предотвратите. Примите меры по предотвращению подобных инцидентов в будущем.

Шаг 1. Определить​

Разливы данных обычно выявляются пользователями. Организации должны включить в стандартные процедуры для всех пользователей, что они уведомляют соответствующее контактное лицо по вопросам безопасности о любых подозреваемых утечках данных или доступе к информации, доступ к которой у них нет.
Разливы данных также можно выявить посредством мониторинга, аудита и регистрации. Например:
  • Предотвращение отправки или получения электронных писем без защитной маркировки на почтовый сервер или почтовый клиент организации.
  • Использование инструментов предотвращения потери данных, которые могут предупреждать пользователей и предупреждать администраторов о возможных нарушениях безопасности.
Немедленная оценка должна быть проведена, чтобы:
  • Отслеживайте поток данных, перемещение и места хранения разлитых данных, чтобы помочь определить, какие устройства и системы затронуты.
  • Выявите затронутых пользователей системы, включая любых внешних по отношению к организации.
  • Определите промежуток времени между утечкой данных и выявлением утечки данных.

Шаг 2: Сдерживать​

Сдерживание может включать физическую изоляцию или логическое отделение затронутых систем от сети. Логическое разделение может быть достигнуто путем временного удаления функциональных возможностей программного обеспечения или применения контроля доступа к системам для предотвращения дальнейшего воздействия.
Например, процесс сдерживания утечки данных с использованием внутренней электронной почты может включать:
  • Идентификация отправителя и получателей электронного письма, связь с ними и указание им не пересылать или получать доступ к электронной почте.
  • Определение необходимости сохранения копии электронного письма, чтобы владелец информации мог проверить конфиденциальность информации для оценки ущерба.
  • Определение необходимости как можно быстрее удалить электронное письмо из почтовых ящиков затронутых пользователей, чтобы предотвратить его дальнейшее распространение.
  • Переход к этапу оценки, чтобы определить, какие дальнейшие действия необходимы, включая потенциальную дезинфекцию почтового сервера и рабочих станций.

Шаг 3. Оценить​

После локализации, чтобы предотвратить дальнейший доступ и раскрытие разлитых данных, следует провести тщательную оценку. Это включает в себя:
  • Выявление затронутых системных пользователей, систем и устройств. Хотя процесс идентификации выделяет системы и пользователей, которые изначально затронуты, после процесса локализации следует провести более тщательную оценку. Сюда должны входить такие устройства, как рабочие станции, хранилище резервных копий, принтеры, серверы печати, общие сетевые ресурсы, почтовый ящик и серверы, устройства фильтрации контента, веб-почта и внешние системы. Организации должны привлекать к этому процессу своих системных и сетевых администраторов.
  • Связь с владельцем информации. Необходимо связаться с владельцем информации и уведомить об утечке данных. Владелец информации должен быть в состоянии предоставить руководство по любым конкретным требованиям к обработке данных, если это применимо, для минимизации их воздействия.
  • Связь с соответствующими органами.
  • Выполнение оценки ущерба. Организации должны выполнить оценку ущерба, чтобы определить, какой ущерб был причинен утечкой данных. Организации должны исходить из того, что разлитые данные скомпрометированы, и основывать процедуры восстановления или управление рисками на наихудшем сценарии.

Шаг 4. Исправить​

Организации должны работать в сотрудничестве с владельцами информации, чтобы определить удовлетворительное устранение любых утечек данных, отмечая, что восстановление обычно достигается за счет баланса технических средств контроля и действий по управлению рисками.
Для каждой системы, выявленной на этапе оценки, следует разработать стратегию восстановления, которая охватывает:
  • контроль доступа к данным и системам, хранящим данные
  • коэффициент использования хранилища памяти (то есть способность системы естественным образом перезаписывать свободное пространство за счет истощения и роста данных)
  • критичность системы для бизнеса (например, критически важная сеть хранения данных или рабочая станция пользователя)
  • продолжительность воздействия данных (т. е. недавнее воздействие или данные подвергались воздействию в течение длительного периода времени)
  • варианты очистки, доступные для носителя (например, перезапись необработанного диска, перезапись файла или физическое уничтожение)
  • вознаграждение за выбытие актива в конце срока службы (т.е. будет ли актив перепродан или физически уничтожен)
  • балансировка риска привлечения внимания к данным и принятия ущерба
  • ресурсы, воздействия и финансовые затраты на замену или санацию затронутых систем.
Все действия по исправлению положения, включая их результаты, должны быть соответствующим образом задокументированы.

Шаг 5: Предотвратить​

Действия, которые вызывают утечку данных, должны быть проанализированы, чтобы определить, почему они произошли (например, несоблюдение политики, пробелы в существующих процедурах или отсутствие технического контроля).
В результате проверки должны быть приняты превентивные меры для снижения вероятности утечки данных в будущем. Это может включать дополнительное обучение пользователей или улучшенный технический контроль.
 
You must log in or register to reply here.

Similar threads

chushpan
Как работает UEBA
Replies
1
Views
317
Man
Man
chushpan
Шифрование данных
Replies
2
Views
325
Cloned Boy
Cloned Boy
chushpan
Эпоха кардинга
Replies
2
Views
375
Cloned Boy
Cloned Boy
chushpan
OPSEC в кардинге
Replies
0
Views
259
chushpan
chushpan
chushpan
Кардинг в политике
Replies
0
Views
291
chushpan
chushpan
Back
Top