Техническое задание на построение системы защиты от внутренних угроз На 29 листах Новосибирск 2015 г. Перечень сокращений и терминов



Скачать 77.25 Kb.
страница4/5
Дата14.11.2016
Размер77.25 Kb.
Просмотров1274
Скачиваний0
ТипТехническое задание
1   2   3   4   5

4. Анализа перехваченной информации

При работе с политиками безопасности пользователю доступен следующий функционал:



  • автоматическая доставка уведомлений по электронной почте ответственному лицу в случае срабатывания политики безопасности (выявления инцидента); уведомление содержит общую информацию об инциденте (название политики безопасности, пользователь, допустивший нарушение, тип перехваченных данных, дата/время инцидента), а также ссылку на открытие соответствующего инцидента в пользовательской консоли;

  • возможность настройки периодичности отправки уведомлений на электронную почту (немедленная отправка уведомления по выявлению инцидента либо накопление и порционная отправка уведомлений с заданной периодичностью – раз в час, раз в сутки и т.д.);

  • возможность просмотра всех инцидентов по выбранной политике безопасности в клиентской консоли (с индивидуальным выделением просмотренных/непросмотренных инцидентов для каждого офицера безопасности, работающего с системой);

  • при просмотре информации об инциденте в клиентской консоли доступна следующая информация:

    • пользователь, допустивший нарушение;

    • дата и время инцидента;

    • тип документа, вызвавшего срабатывание политики безопасности (электронное письмо, файл, отправленный на печать и т.д.);

    • содержание документа (электронного письма, переписки в IM-клиенте, файла и т.д.), вызвавшего срабатывание политики безопасности;

    • другая дополнительная информация.

  • возможность назначения статуса для инцидента (инцидент не расследован, расследование инцидента отложено, инцидент расследован, важный инцидент, неважный инцидент, ложное срабатывание);

  • возможность гибкого выборочного просмотра инцидентов по политике безопасности (например, показать только новые (непросмотренные) инциденты; показать только последние 100 инцидентов; показать инциденты за ближайший месяц, но не более 20 последних; показать инциденты, имеющие статус «Важный» и зарегистрированные в течение последней недели и т.д.);

  • возможность полного или выборочного удаления записей об инцидентах по политике безопасности (например, удалить все инциденты старше 10 дней; удалить последние N инцидентов; удалить все инциденты, имеющие статус «Расследован»; удалить инциденты по данным, удаленным из БД, и т.д.);

  • возможность сортировки списка инцидентов по различным параметрам (по релевантности, по дате/времени, по локальному/удаленному пользователю, по типу/размеру перехваченных данных, по статусу инцидента и т.д.);

  • возможность фильтрации списка инцидентов по различным параметрам: по статусам (например, отобразить только важные), по типам данных (например, отобразить только инциденты, вызванные пересылкой информации по почтовым протоколам), по состоянию (например, отобразить только непросмотренные) – и по комбинациям этих параметров;

  • возможность экспорта списка инцидентов в файл форматов MS Excel, CSV, XML (при этом сохраняется следующая информация об инцидентах – тип перехваченных данных, локальный/удаленный пользователь, дата/время перехвата, размер, статус инцидента, прочая информация);

  • возможность экспорта перехваченных данных, вызвавших срабатывание политики безопасности, в файлы соответствующих форматов;

  • ведение журнала (лога) действий офицера безопасности.

При анализе информации используются следующие возможности (аналитические возможности системы не зависят от языка анализируемой информации – включая анализ информации на русском, английском, немецком, португальском, китайском, корейском, арабском и других языках):


Контентный анализ

  • поиск по словам и словосочетаниям с учетом морфологии (возможность отключения), расстояния между словами и порядка слов, транслитерации кириллических символов латинскими, а также с возможностью нечеткого поиска (для поиска ключевых слов, в т.ч. написанных с ошибками и опечатками);

  • технология поиска регулярных выражений, используемая для обнаружения фиксированных последовательностей символов, например, номеров паспортов, номеров банковских карт и т.п.;

  • поиск по тематическим словарям с возможностью настройки порога срабатывания (например, при обнаружении любых 3 из 10 слов или выражений, содержащихся в словаре);

  • поиск документов с умышленно измененным расширением;

  • поиск документов, защищенных паролем;

  • цифровые отпечатки документов: возможность создания цифровых отпечатков документов или папок с документами для последующего обнаружения в перехваченных данных похожих документов – с возможностью указания процента совпадения);

  • цифровые отпечатки баз данных: возможность настройки подключения системы к базе данных, содержащей конфиденциальную информацию, для создания цифровых отпечатков определенных полей выбранных таблиц с целью последующего обнаружения утечки информации из этой БД (например, при одновременном обнаружении персональных данных из связки полей «ФИО + паспортные данные»). Создание и обновление цифровых отпечатков баз данных должно осуществляться без промежуточных действий (таких как выгрузка базы данных в файл-источник цифрового отпечатка). При внесении изменений в базу данных система должна автоматически обновлять соответствующие цифровые отпечатки.

  • комбинирование нескольких простых запросов при помощи логических операторов «И», «ИЛИ», «НЕ».


Анализ по атрибутам

  • анализ по атрибутам пользовательских документов, таким как «имя документа», «адрес получателя электронной почты», «пользователь», «учетная запись IM-клиента», «дата», «время», «размер» и пр.;

  • анализ атрибутов документа по статусам, таким как пересылка документа по защищенному протоколу, шифрованного или защищенного документа, поврежденных данных, отправка вызвавших блокирование данных либо переданных в индивидуальном порядке данных

  • анализ атрибутов процессов: имя исполняющего файла, полный путь к файлу, заголовок окна процесса.


Статистический анализ

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по отправленным/полученным пользователем электронным письмам (например, «пользователь получил более 10 писем за час» или «пользователь отправил менее 20 писем за день» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по отправленным/полученным пользователем файлам (например, «пользователь получил более 10 файлов за час» или «пользователь отправил более 20 файлов за день» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по голосовым переговорам в IM-клиентах (например, «время голосовых переговоров пользователя в IM-клиентах за день превысило 1 час» или «пользователь совершил более 10 звонков за день» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по переписке пользователя в IM-клиентах (например, «пользователь провел более 10 сессий переписки за день» или «пользователь отправил более 100 сообщений за день» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по посещенным пользователем URL (например, «пользователь посетил более 100 URL за день», «пользователь посетил более 1000 URL за неделю» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по поисковым запросам пользователя (например, «пользователь отправил более 100 поисковых запросов в период с 13:00 до 15:00» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по данным, отправленным пользователем на печать (например, «пользователь распечатал более 10 документов за день» или «пользователь распечатал более 1000 страниц за неделю» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по времени активности/простоя ПК (например, «ПК бездействовал в течение более 3 часов за день», «начало активности ПК зафиксировано позже 10:30» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по времени работы пользователя с определенными приложениями (например, «пользователь работал в Microsoft Word в течение более 5 часов за день» или «пользователь работал в приложении “Пасьянс Косынка” в течение более 70% рабочего времени» и т.д.);

  • возможность настройки автоматических уведомлений о достижении определенных количественных показателей по времени активности пользователя в браузере (например, «Время пребывания пользователя на определенном сайте через браузер превысило 1 час за день» и т.д.);


Событийный анализ

Возможность настройки автоматических уведомлений в следующих случаях:



  • запуск (завершение работы) пользователем определенного приложения;

  • обнаружения пересылки зашифрованного вложения (например, защищенный паролем документ MS Office или архив);

  • копирования файлов с контролируемых компьютеров на внешние накопители, облачные хранилища и сетевые диски с определенными параметрами;

  • подключения и использования на контролируемых рабочих станциях устройств с определенными параметрами;

  • посещение определенных web-ресурсов;

  • блокирования пересылки данных по протоколам SMTP, HTTP(S);

  • обнаружения конфиденциальных файлов на компьютерных дисках пользователей;

  • выявления факта пересылки документа с измененным расширением (например, при переименовании пользователем файла .doc в .jpg и последующей отправкой, система должна быть в состоянии определить оригинальный формат файла и извлечь из него текст для контентного анализа, дополнительно уведомив ответственного сотрудника о самом факте изменения расширения).

Независимо от используемого типа анализа, система предоставляет возможность выполнять ретроспективный анализ всех перехваченных данных для выявления фактов нарушения вновь созданной политики безопасности в прошлом (за весь период наблюдения).



Каталог: upload -> iblock
iblock -> Виртуальное коммуникативное пространство: становление, современное состояние и перспективы развития
iblock -> Общеобразовательное
iblock -> Занятие по профилактике терроризма и экстремизма для младших школьников «Жить в мире с собой и другими»
iblock -> К п. н, доцент кафедры немецкого языка
iblock -> Программа повышения квалификации «Новые информационные технологии в дошкольном образовании» Москва 2015
iblock -> Программа развития инновационного территориального кластера
iblock -> Информация о реализации


Поделитесь с Вашими друзьями:
1   2   3   4   5


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал