Upload
alexey-lukatsky
View
4.954
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
1/120© 2008 Cisco Systems, Inc. All rights reserved.Personal Data
Российские и международные стандарты в контексте DLP-решений
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 2/120
О чем пойдет речь?
О каком законодательстве мы говорим?
Что такое DLP-решение?
Какие данные защищаем?
Где может произойти утечка?
Классификация DLP-решений
Требования российского законодательства
Требования международного законодательства
Стандарты и лучшие практики
Законно ли применение DLP-решений?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 3/120
Парафраз о законодательстве
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 4/120
Иерархия требований по ИБ
Международные требования
Резолюции ООН, принципы
ОЭСР…
Стандарты(например, ISO
2700x)
Рекомендации и требования
(например, PCI DSS)
Национальные требования
Законы, кодексы, указы
Постановления, приказы
Рекомендации и требования(например,
ПДн)
Отраслевые требования
Стандарты(например, СТО
БР ИББС)
Рекомендации и требования(например,
СТР-К)
Стандарты ISO 13569,
HB 174-2003
Корпоративные требования
Концепция ИБСтандарт настроек
оборудования
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 5/120
Что такое DLP-решение?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 6/120
Что такое предотвращение потери данных (DLP)?
DLP
Защита конфиденциальных и персональных данных на уровне содержимого
при использовании (In-Use)при передаче (In-Motion)при хранении (At-Rest)
Защита от случайных или намеренных утечек данных
Расширение политики безопасности для защиты данных
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 7/120
Классификации DLP
ILM DLP
Классификация данных
Защита от случайных
утечек
Защита от кражи данных
Шифрование
СЗИ от НСД
DLP
Data-at-Rest
Data-in-Motion
Data-in-Use
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 8/120
Что мы защищаем?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 9/120
Данные или информация?
Сами по себе данные не являются целью для защиты, т.к. не представляют никакого интереса для злоумышленников
Данные интересны только в контексте, т.е. когда они становятся информацией
Данные Контекст Информация
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 10/120
Утечку чего надо контролировать?
DLP-решение обеспечивает предотвращение или контроль утечек информации ограниченного доступа, к которой согласно российскому законодательству относят
Конфиденциальную информацию (она же информация ограниченного доступа)
Государственную тайну
В российском законодательстве существует около 50 видов тайн
Все они требуют защиты
Но нарушение не каждой из них влечет за собой наказание
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 11/120
Парафраз о тайне в российском праве
В российском праве отсутствует единая классификация тайн
Указ президента №188 – только одна из попыток (не самая удачная)
Также отсутствует четкое правовое понятие терминов «тайна» и «конфиденциальная информация»
В различных нормативных актах
Конфиденциальная информация приравнивается к гостайне
Конфиденциальная информация противопостовляетсягостайне
Конфиденциальная информация включает тайну связи или находится с ней на одном и том же уровне иерархии
Конфиденциальная информация не относится к охраняемой законом
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 12/120
Пример: банковская тайна
Сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией
Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных организаций»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 13/120
Пример: персональные данные
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», 242-ФЗ «О государственной геномной регистрации в РФ» и т.д.
Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 14/120
Пример: коммерческая тайна
Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны
Определена в 98-ФЗ «О коммерческой тайне»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 15/120
Коммерческая тайна для АО
Реестр держателей акций
Финансовая и бухгалтерская информация
Документы стратегического развития
Прогнозы по развитию бизнеса
Аналитика по рынкам
Внутренние документы конкурентного анализа
Информация о системе защиты информации
Информация по разведке, запасах и добыче полезных ископаемых
Информация по сбыту нефти и нефтепродуктов
Исходные коды программных продуктов…
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 16/120
Другие виды тайн
Тайна Содержимое Нормативный актНаказание за
разглашение
Информация,
составляющая
коммерческую
тайну
Научно-техническая, технологическая,
производственная, финансово-
экономическая или иная информация (в
том числе составляющая секреты
производства (ноу-хау), которая имеет
действительную или потенциальную
коммерческую ценность в силу
неизвестности ее третьим лицам, к
которой нет свободного доступа на
законном основании и в отношении
которой обладателем такой информации
введен режим коммерческой тайны
98-ФЗ "О коммерческой
тайне"183 УК РФ, 81 ТК РФ
Банковская тайна
(тайна банковских
вкладов)
Сведения об операциях, счетах и
вкладах ее клиентов и корреспондентов,
а также об иных сведениях,
устанавливаемых кредитной
организацией
ФЗ 395-1 "О банках и
банковской деятельности",
857 ГК РФ, Таможенный
кодекс РФ, ФЗ "О
реструктуризации
кредитных организаций"
183 УК РФ, 81 ТК РФ
Служебная тайна
Служебные сведения, доступ к которым
ограничен органами государственной
власти в соответствии с Гражданским
кодексом Российской Федерации и
федеральными законами
Указ Президента от
6.03.1997 №188, 139 ГК РФ,
ФЗ "Об основах
государственной службы
Российской Федерации",
Постановление
Правительства РФ от
3.11.94г. № 1233
81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 17/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Тайна кредитной
истории
218-ФЗ "О кредитных
историях"81 ТК РФ
Тайна страхования
Сведения о страхователе,
застрахованном лице и
выгодоприобретателе, состоянии их
здоровья, а также об имущественном
положении этих лиц
946 ГК РФ 81 ТК РФ
Тайна завещания
Сведения, касающиеся содержания
завещания, его совершения, изменения
или отмены
1123 ГК РФ 81 ТК РФ
Налоговая тайна
Любые полученные налоговым органом,
органами внутренних дел, органом
государственного внебюджетного фонда и
таможенным органом сведения о
налогоплательщике (за рядом
исключением)
146-ФЗ "Налоговый кодекс
РФ"183 УК РФ, 81 ТК РФ
Тайна усыновления
ребенка223-ФЗ Семейный кодекс РФ155 УК РФ, 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 18/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Врачебная тайна
Сведения о наличии у гражданина
психического расстройства, фактах
обращения за психиатрической помощью
и лечении в учреждении, оказывающем
такую помощь, а также иные сведения о
состоянии психического здоровья
117-ФЗ "О психиатрической
помощи и гарантиях прав
граждан при ее оказании"
81 ТК РФ
Информация о факте обращения за
медицинской помощью, состоянии
здоровья гражданина, диагнозе
заболевания, иные сведения, полученные
при обследовании и лечении гражданина,
а также сведения о проведенных
искусственном оплодотворении и
имплантации эмбриона, а также о
личности донора
Основы законодательства
РФ об охране здоровья
граждан
151 ГК РФ, 1064 ГК
РФ, 137 УК РФ, 81
ТК РФ
Медицинская тайнаРезультаты обследования лица,
вступающего в брак223-ФЗ Семейный кодекс РФ81 ТК РФ
Сведения о доноре
и реципиентеВозможно это врачебная тайна
4180-1-ФЗ "О
трансплантации органов
и(или) тканей человека"
81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 19/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Тайна переписки,
телефонных
переговоров,
почтовых,
телеграфных или
иных сообщений
(тайна связи)
176-ФЗ "О почтовой связи",
126-ФЗ "О связи", УПК РФ138 УК РФ, 81 ТК РФ
Тайна частной
жизни (личная
тайна)
Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ
Аудиторская тайна
Любые сведения и документы,
полученные и (или) составленные
аудиторской организацией и ее
работниками, а также индивидуальным
аудитором и работниками, с которыми им
заключены трудовые договоры, при
оказании услуг (за рядом исключений)
307-ФЗ "Об аудиторской
деятельности"81 ТК РФ
Тайна
судопроизводства
(тайна следствия и
судопроизводства)
241 УПК РФ, 10 ГПК РФ, 11
АПК РФ, 166 УПК РФ, Указ
Президента от 6.03.1997
№188
81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 20/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Адвокатская тайна
(она же тайна
судебного
представительства)
Любые сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю
63-ФЗ "Об адвокатской
деятельности и адвокатуре в
РФ"
81 ТК РФ
Тайна нотариальных
действий
Основы законодательства
Российской Федерации о
нотариате
81 ТК РФ
Профессиональная
тайнаОбщее понятие
Указ Президента от
6.03.1997 №18881 ТК РФ
Персональные
данные
143-ФЗ "Об актах
гражданского состояния",
152-ФЗ "О персональных
данных", 242-ФЗ "О
государственной геномной
регистрации в РФ"
13.11 КоАП, 137 УК
РФ, 81 ТК РФ
Тайна исповеди
125-ФЗ "О свободе совести
и о религиозных
объединениях"
120-е правило
Номоканона при
Большом Требнике
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 21/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Государственная
тайна
ФЗ 5485-1 "О
государственной тайне"81 ТК РФ
Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ
Тайна голосования
51-ФЗ "О выборах депутатов
Государственной Думы
Федерального Собрания
РФ", 19-ФЗ "О выборах
Президента РФ", 67-ФЗ "Об
основных гарантиях
избирательных прав и права
на участие в референдуме
граждан РФ"…
141 УК РФ, 81 ТК РФ
Журналистская
тайна
2124-1-ФЗ "О средствах
массовой информации"81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 22/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Секрет производства
(ноу-хау)
Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления
профессиональной деятельности,
которые имеют действительную или
потенциальную коммерческую ценность в
силу неизвестности их третьим лицам, к
которым у третьих лиц нет свободного
доступа на законном основании и в
отношении которых обладателем таких
сведений введен режим коммерческой
тайны
1465 ГК РФ 183 УК РФ, 81 ТК РФ
Сведения об
сущности
изобретения,
полезной модели
или промышленного
образца до их
официальной
публикации
147 УК РФ, 7.12 КоАП147 УК РФ, 7.12
КоАП, 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 23/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Тайна
предварительного
расследования
(следствия)
139 УПК РФ, ФЗ 2202-1 "О
прокуратуре РФ"310 УК РФ, 81 ТК РФ
Тайна сведений о
мерах безопасности
в отношении судьи и
иных участников
уголовного процесса
311 УК РФ 311 УК РФ, 81 ТК РФ
Тайна сведений о
мерах безопасности
в отношении
должностного лица
правоохранительног
о или
контролирующего
органа
320 УК РФ, 17.13 КоАП320 УК РФ, 17.13
КоАП, 81 ТК РФ
Тайна дневников и
личных записей
Сведения о частной жизни (личной и
семейной тайне), содержащиеся в
дневниках, блокнотах, записныъ книжках,
записках и т.п.
Присутствовало в
предыдущей версии ГК РФ137 УК РФ, 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 24/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Тайна
вероисповедания
Сведения об отношении к религии, к
исповеданию или отказу от исповедания
религии, об участии или неучастии в
богослужениях, других религиозных
обрядах и церемониях, о деятельности в
религиозных объединениях, об обучении
религии
125-ФЗ "О свободе совести и
о религиозных
объединениях"
81 ТК РФ
Тайна сведений о
военнослужащих
внутренних войск
МВД
Сведения о местах дислокации или о
передислокации соединений и воинских
частей внутренних войск, а также
сведения о военнослужащих внутренних
войск, принимавших участие в пресечении
деятельности вооруженных преступников,
незаконных вооруженных формирований
и иных организованных преступных групп,
а также сведений о членах их семей
27-ФЗ "О внутренних
войсках МВД РФ"81 ТК РФ
Тайна сведений
личного
характера, ставшие
известными
работникам
учреждений при
оказании
социальных услуг
122-ФЗ "О социальном
обслуживании граждан
пожилого возраста и
инвалидов"
81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 25/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Тайна сведений о
потерпевших,
свидетелей и иных
участников
уголовного
судопроизводства
119-ФЗ "О государственной
защите потерпевших,
свидетелей и иных
участников уголовного
судопроизводства", Указ
Президента от 23.09.2005
№1111
81 ТК РФ
Производственная
тайна
Скорее всего совпадает с понятием
"секрет производства"
146-ФЗ "Налоговый кодекс
РФ"81 ТК РФ
Тайна ценных бумаг
(она же служебная
информация)
Любая не являющаяся общедоступной
информация об эмитенте и выпущенных
им эмиссионных ценных бумагах, которая
ставит лиц, обладающих в силу своего
служебного положения, трудовых
обязанностей или договора, заключенного
с эмитентом, такой информацией, в
преимущественное положение по
сравнению с другими субъектами рынка
ценных бумаг
39-ФЗ "О рынке ценных
бумаг"81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 26/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Военная тайна
Некоторые юристы относят военную тайну
либо к государственной тайне, либо к
служебной тайне Вооруженных сил РФ
76-ФЗ "О статусе
военнослужащих", Устав
внутренней службы
Вооруженных Сил РФ
81 ТК РФ
Тайна сведений о
лицах, внедренных в
организованные
преступные группы,
штатных негласных
сотрудников
органов,осуществля
ющих оперативно-
розыскную
деятельность, а
также лицах,
оказывающих или
оказывавших им
содействие на
конфиденциальной
основе
144-ФЗ "Об оперативно-
розыскной деятельности"81 ТК РФ
Тайна совещания
судей
Суждения, имевшие место при
обсуждении и постановлении приговора298 УПК РФ 81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 27/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Тайна совещания
присяжных
заседателей
Суждения, имевшие место во время
совещания341 УПК РФ 81 ТК РФ
Дактилоскопическая
тайна
Информация об особенностях строения
папиллярных узоров пальцев рук
человека и о его личности (охраняется в
режиме служебной тайны)
128-ФЗ "О государственной
дактилоскопической
регистрации в РФ"
81 ТК РФ
Торговая тайна
352-ПП от 28.05.1992 "О
заключении
межправительственных
соглашений во избежании
двойного налогообложения
жоходов и имущества"
81 ТК РФ
Промышленная
тайна
352-ПП от 28.05.1992 "О
заключении
межправительственных
соглашений во избежании
двойного налогообложения
доходов и имущества"
81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 28/120
Другие виды тайн (продолжение)
Тайна Содержимое Нормативный актНаказание за
разглашение
Секретный торговый
процесс
Соглашение между
Правительством РФ и
Правительством Республики
Беларусь об избежании
двойного налогообложения и
предотвращении уклонения
от уплаты налогов в
отношении налогов на
доходы и имущество
81 ТК РФ
Информация,
противоречащая
государственным
интересам
Соглашение между
Правительством РФ и
Правительством Республики
Узбекистан об избежании
двойного налогооблажения
доходов и имущества
81 ТК РФ
Информация,
раскрытие которой
противоречит
национальному
законодательству
Соглашение между
Правительством РФ и
Правительством Республики
Молдова об избежании
двойного налогооблажения
доходов и имущества и
предотвращении уклонения
от уплаты налогов
81 ТК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 29/120
Другие виды тайн (окончание)
Тайна Содержимое Нормативный актНаказание за
разглашение
Информация,
которую нельзя
получить в ходе
обычной
административной
практики
Конвенция между
Правительством РФ и
Правительством
Королевства Швеции об
избежании двойного
налогообложения в
отношении налогов на
доходы
81 ТК РФ
Конфиденциальная
информация
В зависимости от нормативного акта
может включать в себя государственную
тайну, противопоставляться ей, быть
самостоятельным видом тайны (наряду,
например, с банковской или
коммерческой тайной, а также тайной
связи), а также вообще не считаться
охраняемой законом
61-ФЗ "Таможенный Кодекс
РФ", 126-ФЗ "О связи", Указ
Президента от 6.03.1997
№188
81 ТК РФ
Депутатская тайна
3-ФЗ "О статусе депутата
Совета Федерации и статусе
депутата Государственной
Думы Федерального
Собрания РФ", 56 УПК РФ
81 ТК РФ
Тайна жилища Конституция РФ 139 УК РФ
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 30/120
Переход из состояния в состояние
ПДн
ВТ
СТ
КТБТ
ТС
… Врачебнаятайна
Служебнаятайна
Коммерческаятайна
Банковскаятайна
Другие видытайн
(страхование, нотариат,усыновление и т.д.)
Тайнасвязи
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 31/120
Классификация информации
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 32/120
Классификация информации
Классификация информации – разделение существующих информационных активов организации по типам, выполняемое в соответствии со степенью тяжести последствий от потери ихзначимых свойств ИБ
СТО БР ИББС-1.0-2008
В организации рекомендуется провести классификацию неплатежной информации
Классификацию информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности
СТО БР ИББС-1.0-2008
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 33/120
ISO 27002-2005, ITU-T X.1051
Стандарт ISO/IEC 27002 «Свод правил по управлению защитой информации»
Раздел 7.2 стандарта ISO 27002 посвящен классификации
ГОСТ Р ИСО/МЭК 17799-2005
Рекомендации ITU-T X.1051 «Система управления информационной безопасностью – Требования к электросвязи (ISMS-T)»
Раздел А.3.2 стандарта посвящен классификации
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 34/120
РС БР ИББС-2.2-2009
Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов
Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ и иных нормативных правовых актов, в том числе нормативных актов Банка России
В конкретной организации БС РФ рекомендуемый перечень информационных активов может быть изменен в соответствии с принятыми в ней подходами к классификации информационных активов и уровнем детализации типов информационных активов
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 35/120
Классификация РС БР ИББС-2.2-2009
Информация ограниченного доступа
Информация, установленная нормами законодательства РФ
Банковская тайна
Персональные данные
Информация, установленная организацией БС РФ
Платежная информация
Внутренняя банковская информация
Управляющая информация платежных, информационных и информационно-телекоммуникационных систем
Открытая (общедоступная) информация
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 36/120
Классификация ИСПДн
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных»
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 37/120
Категорирование ПДн
1 категория
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
2 категория
ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
3 категория
ПДн, позволяющие идентифицировать субъекта персональных данных
4 категория
Обезличенные и (или) общедоступные ПДн
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 38/120
Классификация информации в КСИИ
Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах
Утверждены 18 мая 2007 года
Дана методика оценки важности (ценности) информации
5 степеней важности по конфиденциальности
3 степени важности по целостности
3 степени важности по доступности
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 39/120
Классификация в Газпроме
СТО Газпром 4.2.3-004. Правила классификации объектов защиты
Р Газпром 4.2.3-001. Методика классификации объектов защиты
Классификация объектов защиты выполняется с целью обеспечения дифференцированного подхода к организации их защиты с учетом уровня критичности, характеризующего влияние на деятельность и репутацию организации, ее деловых партнеров, клиентов и работников
Классификация позволяет определить приоритетность и экономическую целесообразность проведения дальнейших мероприятий по обеспечению информационной безопасности объекта защиты
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 40/120
Другие нормативы по классификации
ISO 13569. Banking and related financial services —Information security guidelines
BSI Standard 100-1 Information Security Management Systems (ISMS)
BSI-Standard 100-2: IT-Grundschutz Methodology
The Standard of Good Practice for Information Security(от ISF)
И т.д.
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 41/120
DLP с точки зрения техники
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 42/120
Какая функциональность есть в DLP?
Контроль доступа к информации
Контроль использования информации
Контроль копирования/передачи информации
Регистрация и учет доступа к информации
Обеспечение конфиденциальности информации
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 43/120
Парафраз о конфиденциальности
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 44/120
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя
ст.2 ФЗ-149 «Об информации, ИТ и защите информации»
Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
ст.3 ФЗ-152 «О персональных данных»
Что такое конфиденциальность?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 45/120
Дает ли нам международное законодательство право на применение DLP?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 46/120
Законы США
Закон США 107-204 (он же Sarbanes-Oxley Act of 2002)
Секция 302 возлагает на руководство компаний обязательство обеспечить корректность и истинность финансовой информации
Общее правило: «Информация, которая может быть изменения без информирования об этом руководства не может быть признана корректной»
Закон США 104-191 (он же Health Insurance Portability and Accountability Act, HIPAA)
Секция 1173 (d)(2) определяет, что каждое лицо, имеющее доступ к медицинской информации, должен принимать административные, технические и физические меры по защите от несанкционированного использования или раскрытия этой информации
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 47/120
Законы США
Комиссия по ценным бумагам США (U.S. Securities and Exchange Commission) требует обеспечения конфиденциальности финансовой информации компаний
В частности, правила SEC Rule 17a-4
Закон США GLBA (Gramm-Leach-Bliley Act), также известный под названием Financial ServicesModernization Act
Требует от финансовых учреждений обеспечить безопасность и приватность любых персональных сведений клиентов, находящихся на попечении организации (в том числе номеров банковских счетов, баланса средств на счетах и т.д.)
Аналогичные требования есть в законе США FACTA (Fair and Accurate Credit Transactions Act of 2003)
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 48/120
Законы Европы
Директива Европарламента 2002/58/EC (она же e-Privacy Directive)
Множество правил обращения с электронной информацией, включая требование обеспечения конфиденциальности
Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных
Директива 95/46/ЕС Европарламента и Совета ЕвроСоюза от 24 октября 1995 года о защите прав частных лиц применительно к личным данным и о свободном движении таких данных
Директива 97/66/ЕС Европарламента и Совета ЕвроСоюза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 49/120
Правила об уведомлении
Все штаты США имеют собственные законы, обязывающие компании, ставшие жертвой утечек персональных данных своих клиентов, уведомлять последних об этих фактах
Стоимость уведомления одного клиента – от 20 долларов
Чтобы уведомить, необходимо узнать об утечке
Первая ласточка - California's Database Security Breach Notification Act (SB 1386) and General Security Standard for Businesses (AB 1950)
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 50/120
Базель II
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 51/120
Базель II
Базель II (Международная конвергенция измерения капитала и стандартов капитала: новых подходы)
Принят в 2004-м году (первая версия – в 1988 г.)
Базель II применяется в США, Евросоюзе, Канаде, Японии и Индии
В России и некоторых других странах СНГ планировалось сделать эти требования обязательными в 2009-2010 гг.
Но вмешался кризис ;-(
Ориентация на финансовые институты
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 52/120
Риски
Базель II предъявляет требования к минимальному размеру банковского капитала
Подход может применяться и к другим отраслям
Необходимо оценивать кредитные, рыночные и операционные риски и резервировать капитал на их покрытие
Операционные риски появились только во второй версии соглашения
Неэффективное управление операционными рисками приводит
К возрастанию операционных рисков
К большим финансовым резервам, «вырванным» из бизнеса
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 53/120
О резервировании капитала
Капитал резервируется на покрытие возможного ущерба от осуществления рисков
Сумма резервирования зависит от принятого метода измерения рисков
Базовый индикативный подход
Стандартизованный подход
Расширенный измеряющий подход (AMA)
Чем «серьезнее» метод измерения, тем меньше сумма резервирования
При базовом индикативном подходе сумма резервирования равна 15% среднегодового валого дохода за предыдущие 3 года
Зависит от требований национальных стандартов бухучета
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 54/120
Определение операционного риска
Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 55/120
Определение операционного риска в "Базель II"
Определяется как риск убытков,
возникающих в результате
ненадлежащих внутренних
процессов, кадровых ресурсов или
систем, или их отказа, а также
внешних событий
(Базель II)
ОПЕРАЦИОННЫЙ РИСК
Злоупотребление
полномочиями
Ненадлежащие
процедуры контроля
Внутренние/
внешние кражи
Некорректная /
неполная /
устаревшая база
данных MIS
Судебные
разбирательства,
начатые против компании
Невыполнение
требований
регулирующих органов
Утрата ключевых
работников или
целых отделов
Пожар или
землетрясение
Неполные/
ненадлежащие
бизнес-процедуры
Отказы ИТ-
систем и сетей
55© 2003 Cisco Systems, Inc. С сохранением всех прав.
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 56/120
ИТ- vs ИБ- vs операционный риск
Связанные с ИТ-системами риски представляют собой (всего лишь) часть операционных рисков, но именно на них приходится
большинство крупных убытков…
Безопасность и
доступность ИТ
Операционный риск
Риск ИТ
56© 2003 Cisco Systems, Inc. С сохранением всех прав.
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 57/120
Репутационные риски
Базель II указывает (п.732), что «в процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк»
Согласно п.742 в состав таких рисков должны входить репутационные риски
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 58/120
Виды операционных рисков по Базель II
1-ый уровень
событий
2-ой уровень
событий
3-ий уровень
событий
Внутреннее
мошенничество
Неразрешенная
деятельность
Неотраженные в отчетности
операции
Неразрешенные типы
операций
Воровство и
мошенничество
Умышленное уничтожение
активов
Присвоение чужих счетов
Воровство, хищения, грабеж
Внешнее
мошенничество
Воровство и
мошенничество
Воровство, грабеж
Подделка
Безопасность системХакерство
Кража информации
Кадровая политика и
безопасность труда
Взаимоотношения с
сотрудниками
Организация трудовой
деятельности
Вопросы оплаты труда
Безопасная средаОхрана здоровья
Компенсации сотрудникам
Дискриминация Все типы дискриминации
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 59/120
Виды операционных рисков по Базель II
1-ый уровень
событий
2-ой уровень
событий
3-ий уровень
событий
Клиенты, продукты и
деловая практика
Приемлемость,
раскрытие
Нарушения инструкций
Раскрытие информации
Злоупотребления
конф.информацией
Неправильная деловая
или рыночная практика
Деятельность без лицензии
Изъяны продуктовДефекты продуктов
Ошибки конструкции
Выбор, спонсорство и
риски
Превышение лимитов риска
на одного клиента
Консалтинговые услугиРазногласия в оценках
результатов консалтинговых
услуг
Причинение ущерба
физическим активам
Катастрофы и прочие
события
Ущерб от природных
катастроф
Терроризм, вандализм
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 60/120
Виды операционных рисков по Базель II
1-ый уровень
событий
2-ой уровень
событий
3-ий уровень
событий
Нарушения в ведении
бизнеса и системные
сбои
Системы
Программное обеспечение
Аппаратное обеспечение
Телекоммуникации
Сбои в предоставлении услуг
Исполнение, доставка
и управление
процессами
Исполнение и
поддержание операций
Неправильные
коммуникации
Ошибки при вводе данных
Неправильное
функционирование систем
Мониторинг и отчетностьНесоблюдение обязательной
отчетности
Привлечение клиентов и
ведение документации
Неполная документация
Отсутствие разрешения от
клиентов
Управление клиентскими
счетами
Неавторизованный доступ
Халатность
Торговые контрагенты Конфликты с контрагентами
Поставщики и
подрядчики
Аутсорсинг
Конфликты с поставщиками
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 61/120
Управление рисками в России
Положение №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16 декабря 2003 г.
Обязателен к применению
Письмо ЦБР от 24 мая 2005 г. №76-Т «Об организации управления операционным риском в кредитных организациях»
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 62/120
Внутренний контроль
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 63/120
Корпоративное управление
Система отчетности перед акционерами лиц, которым доверено текущее руководство компанией
Способ управления компанией, который обеспечивает справедливое и равноправное распределение результатов деятельности между всеми акционерами, а также заинтересованными лицами
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 64/120
Корпоративное управление (продолжение)
Комплекс мер и правил, которые помогают акционерам контролировать руководство компании и влиять на менеджмент с целью максимизации прибыли и стоимости предприятия
Система взаимоотношений между менеджерами фирмы и ее владельцами по вопросам обеспечения эффективности деятельности компании и защите интересов владельцев, а также других заинтересованных сторон
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 65/120
Зачем внедрять?
Признание деловым сообществом
Рост репутации в глазах инвесторов, кредиторов и партнеров
Рост стоимости акций по сравнению с компаниями, не внедрившими корпоративное управление
Рост от 20 до 50%
Обязательное или настоятельно рекомендуемое внедрение
Защита интересов
Биржевые требования листинга
Рост конкурентоспособности
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 66/120
Необходимость внутреннего контроля
Разделение права собственности и управления этой собственностью
Конфликт интересов акционеров (рост капитализации) и менеджмента (статус, бонус и зарплата)
Требуются
Разграничение сфер деятельности и ответственности
Прозрачность управления
Распределение исполнительных и контрольных функций
Правила и процедуры для доступа акционеров к сведениям о деятельности компании
Нужен внутренний контроль механизмов корпоративного управления
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 67/120
Внутренний контроль
Процесс, разработанный под руководством или с участием CEO и CFO компании, а также введенный в действие советом директоров, менеджментом и другими служащими компании, чтобы предоставить разумные гарантии достоверности финансовой отчетности и обеспечить подготовку финансовых отчетов для внешних целей в соответствие с общепринятыми принципами бухгалтерского учета
Этот процесс включает политики и процедуры, которые (среди прочих):
Предоставляют разумную гарантию предотвращения или своевременного выявления неавторизованного приобретения, использования или перемещения корпоративных активов, которое может материально повлиять на финансовую отчетность
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 68/120
Внутренний контроль
Внутренний контроль осуществляется в целях обеспечения:
Эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками
Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности(защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений)
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 69/120
Регулирование внутреннего контроля
Положение №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16 декабря 2003 г.
Кодекс корпоративного управления ФСФР (Россия)
Акт Сарбейнса-Оксли (Sarbanes-Oxley Act of 2002)
Принципы корпоративного управления Организации экономического сотрудничества и развития (ЕС, США, Канада, Япония и др., исключая Россию)
Руководящие принципы корпоративного управления Euroshareholders (Евросоюз)
Объединенный кодекс корпоративного управления (Великобритания)
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 70/120
Дает ли нам российское законодательство право на применение DLP?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 71/120
Трехглавый закон
Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»
Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами
Ст.9
Запрещается распространение информации… за распространение которой предусмотрена уголовная или административная ответственность
Ст.10
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 72/120
Трехглавый закон (окончание)
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа
ст.16
Следовательно DLP-решение является средством защиты
Следовательно требование применять средства защиты подразумевает применение в т.ч. и DLP-решений
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 73/120
Закон «О коммерческой тайне»
Федеральный закон от 29 июля 2004 года №98-ФЗ «О коммерческой тайне»
Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 74/120
Закон «О персональных данных»
Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»
Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных
Ст.7
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним…копирования, распространения персональных данных…
Ст.19
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 75/120
Иные законы
Десятки других федеральных законов РФ устанавливают требование обеспечения защиты
Врачебной
Страховой
Адвокатской
Банковской
Служебной
Аудиторской
Иных видов тайн
с помощью общих требований, указанных в ФЗ-149 «Об информации, информационных технологиях и защите информации»
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 76/120
Законодательство о персональных данных
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 77/120
Мы не первые
Год принятия Страна Закон
1974 США The Privacy Act of 1974
1978 (с
изменениями
в 2004)
Франция Data Protection Act of 1978
1980 США Privacy Protection Act of 1980
1983 Канада The Privacy Act
1992 Венгрия Act LXIII of 1992 on the Protection of Personal
Data and the Publicity of Data of Public Interests
1992 Швейцария The Federal Law on Data Protection of 1992
1993 Новая Зеландия Privacy Act, Privacy Amendment Act
1994 Корея Act on Personal Information Protection of Public
Agencies Act on Information and Communication
Network Usage
1995 Евросоюз European Union Data Protection Directive of 1995
1995 Гонконг Personal Data Ordinance (The "Ordinance")
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 78/120
Мы не первые (продолжение)
Год принятия Страна Закон
1995 Тайвань Computer Processed Personal data Protection
Law
1996 Эстония Personal Data Protection Act
1996 Литва Law on Legal Protection of Personal Data
1997 Греция Law No.2472 on the Protection of Individuals with
Regard to the Processing of Personal Data
1997 Италия Processing of Personal Data Act
1997 Польша Act of the Protection of Personal Data
1998 Австралия Privacy Act of 1988
1998 Чили Act on the Protection of Personal Data
1998 Швеция Personal Data Protection Act
1998 Португалия Act on the Protection of Personal Data
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 79/120
Мы не первые (продолжение)
Год принятия Страна Закон
1999 Словения Personal Data Protection Act
1999 Испания ORGANIC LAW on the Protection of Personal Data
2000 Аргентина Personal Data Protection Act of 2000 (он же
Habeas Data)
2000 Австрия Data Protection Act 2000
2000 Чехия Act on Protection of Personal Data
2000 Канада Personal Information Protection and Electronic
Data Act (PIPEDA) of 2000 (Bill C-6)
2000 Дания Act on Processing of Personal Data
2000 Финляндия Act on the Amedment of the Personal Data Act
(хотя первые нормативные акты по защите
ПДн в Финляндии появились еще в 1987 году)
2000 Исландия Act of Protection of Individual; Processing
Personal Data
2000 Индия Information Technology Act
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 80/120
Мы не первые (окончание)
Год принятия Страна Закон
2000 Латвия Personal Data Protection Law
2000 Норвегия Personal Data Act
2000 Южная Корея The Act on Promotion of Information and
Communications Network Utilization and Data
Protection of 2000
2001 Германия Federal Data Protection Act of 2001
2002 Евросоюз EU Internet Privacy Law of 2002 (DIRECTIVE
2002/58/EC)
2002 Люксембург Law on the Protection of Persons with Regard to
the Processing of Personal Data
2002 Мальта Data Protection Act
2002 Словакия Act No. 428 on Personal Data Protection
2003 Ирландия Data Protection (Amendment) Act
2003 Италия Data Protection Code of 2003
2003 Япония Personal Information Protection Law
2007 Дубай Data Protection Law of 2007
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 81/120
Базовая иерархия документов по ПДн
Приказы ииные документы
ПостановленияПравительства
Законы
Конвенции и иные международные договора
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№781 от 17.11.2007
«Приказтрех» от
13.02.2008
4 «закрытых» документа
ФСТЭК
2 открытых документа ФСБ
Проект регламента
осуществления контроля и
надзора
№687 от 15.09.2008
№512 от6.07.2008
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
И еще 3-4 десятка нормативных актов разных уровней
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 82/120
ПДн в России и США
Россия
• Уведомление о факте обработке ПДн
• Ответственность за нарушение установленного порядка обработки ПДн
• Субъекты запрашивают оператора, какие ПДн он обрабатывает
• Защита любых ПДн –контроля больше
• Убытки равны и для ИП и для крупного бизнеса
США
• Уведомление только в случае инцидента
• Ответственность за утечку ПДн
• Оператор уведомляет субъекта, но только в случае утечки ПДн
• Защита небольшого перечня ПДн, разглашение которых влечет материальный ущерб
• Убытки пропорциональны числу скомпрометированных ПДн
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 83/120
Стандарты и практики
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 84/120
Стандарты и практики
ISO/IEC 27002
Должны быть определены процедуры для обращения с информацией и хранения информации, с целью защитить эту информацию от неразрешенного раскрытия или неправильного использования (10.7.3)
СТО БР ИББС-1.0-2008
ГОСТ Р ИСО/МЭК ТО 13335-4 -2007 «Методы и средства обеспечения безопасности. Выбор защитных мер»
ГОСТ Р ИСО/МЭК 13569 «Финансовые услуги. Рекомендации по информационной безопасности»
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 85/120
Стандарты и практики (окончание)
Bundesamt für Sicherheit in der Informationstechnik (BSI) Standard 100-2: IT-Grundschutz Methodology
Safeguard Catalogues
The Standard of Good Practice for Information Security (ISF SoGP)
ITU-T X.805. Архитектура безопасности для систем,обеспечивающих связь между оконечнымиустройствами
North American Electric Reliability Corporation (NERC)1300
Документы ФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 86/120
Документы ФСТЭК
СТР-К
Ключевые системы
Персональные данные
Коммерческая тайна
РД
МСЭ, СВТ…
АС
15408
Требования по защитеразных видов тайн
Требования кразработке
средств защиты
Требования кфункциональности
средств защиты
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 87/120
Технические требования регуляторов
РД ФСТЭК
15408
СТР-КЧетверокнижие
по ПДн
КСИИ
СТО БР ИББСКоммерческая
тайна
PCI DSS
ГОСТ Р ИСО17799:2005
…
Разграничение доступаИзоляция процессовУправление потоками
Межсетевое экранированиеИдентификация/аутентификация
Регистрация действийРеакция на НСДОчистка памяти
Тестирование функций защитыУчет и маркировка носителей
Контроль целостности
Контроль доступа (мандатный/
дискреционный)VLANVPN
БиллингОС (одноуровневые/
многоуровневые)СУБДIDS
Электронные замки
Защита от утечек по техническим каналамДокументальное оформление
Физическая безопасностьРегистрация действийРазграничение доступа
Учет и маркировка носителейРезервирование
Антивирусная защитаЗащита ЛВС
Защита внешнего взаимодействияСУБД
Система управленияДокументальное сопровождениеУправление жизненным циклом
Разграничение доступаРегистрация действийАнтивирусная защита
Защита внешнего взаимодействияЗащита e-mail и архив почты
КриптографияПлатежные процессы
Технологические процессы
Разграничение доступаРегистрация действий
Учет носителейОбеспечение целостности
Межсетевое взаимодействиеОтсутствие НДВ
Антивирусная защитаАнализ защищенности
Обнаружение вторженийBCP
Реагирование на инцидентыОценка рисков
Повышение осведомленностиАудит
Защита коммуникаций
Документальное сопровождениеЗащита от утечек по техническим каналам
Антивирусная защитаОбнаружение вторженийРазграничение доступаРегистрация действий
Учет и маркировка носителейОбеспечение целостности
Межсетевое взаимодействиеКриптографическая защита
ЛовушкиСканеры защищенности
Защита от утечек по техническим каналамРазграничение доступа
Межсетевое взаимодействиеVPN
Аутентификация и идентификацияКриптозащита
Шифрование информацииЭЦП
Пакетное шифрованиеСтеганография
Регистрация действийСигнализация
Обнаружение вторженийЗащита от ПМВ
Защита от сбоев, отказов и ошибокОбеспечение целостности и надежностиТестирование и контроль безопасности
Настройка МСЭКонтроль паролей
Защита данных держателей картШифрование в канале связи
Обновление антивирусаЗащита приложений
Разграничение доступаИдентификация и аутентификация
Физический доступРегистрация действийАнализ безопасности
Документальное сопровождение
Политика безопасностиОрганизация ИБ
Управление активамиБезопасность HR
Физический доступБезопасность окружения
Управление средствами связиКонтроль доступа
Приобретение, разработка и обслуживание ИСУправление инцидентами
BCPСоответствие требованиям
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 88/120
Блиц-анализ технических требований
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)Специфичные
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 89/120
Стандарты по защите ПДн
BS 10012:2009 «Data protection. Specification for a personal information management system»
NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)»
Четверокнижие ФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 90/120
PCI DSS
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 91/120
Стандарт PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) – стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard
Принят в январе 2005 года. Текущая версия – 1.2
12 основных требований, 200+ детальных требований
PCI DSS объединяет в себе требования программ:
Visa Europe & другие регионы: Account Information Security (AIS);
Visa USA: Cardholder Information Security (CISP);
MasterCard: Site Data Protection (SDP)
Поддержка AmEx, Diners Club, Discover, JCB
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 92/120
Построение и поддержка защищенной сети
1. Установка и поддержание конфигурации МСЭ для защиты данных
2. Контроль за сменой выставленных по умолчанию производителем системных паролей и других параметров системы безопасности
Защита данных владельцев платежных карт
3. Обеспечение защиты хранящихся данных держателей карт
4. Обеспечение шифрования данных владельцев карт и других важных данных при их передаче через общедоступные сети
Поддержка программу управления уязвимостями
5. Использование и регулярное обновление антивирусного программного обеспечения
6. Разработка и поддержка систем по безопасности и их приложений
Внедрение строгих мер разграничения доступа
7. Разграничение доступа к данным по принципу служебной необходимости и разделения полномочий
8. Присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру
9. Разграничение физического доступа к данным держателей карт
Регулярный мониторинг и тестирования сети
10. Отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт
11. Постоянный анализ процессов обеспечения безопасности
Поддержка политики информационной безопасности
12. Наличие и выполнение политики по информационной безопасности
12 требований PCI DSS
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 93/120
Можно ли читать чужую переписку с помощью DLP-решений?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 94/120
Что такое переписка?
Типовая модель переписки без детального анализа
То как мы обычно видим этот процесс
Не учитывается широкий круг лиц, имеющих доступ или возможность доступа к переписке
ПолучательОтправитель
Корпоративный
почтовый сервер
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 95/120
Что такое переписка?
Суд /
правоохранительные органы
Служба аудита /
внутреннего контроля /
юридический отдел
ПолучательОтправитель
Хранилище / архив
Оператор связи
Служба ИБ
Корпоративный
почтовый сервер
Служба ИТ
Аутсорсинговая
компания
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 96/120
Тайна переписки
Закон не определяет этого термина
Для разных видов «переписки» тайну составляет разный объем информации
Телеграф – ознакомление с адресом или содержанием не является нарушением тайны
Обычная почта – адрес не является тайной, в отличие от содержимого письма
Телефон – тайну составляет не только содержание разговора, но и информация о входящих/исходящих соединениях
Как быть с e-mail?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 97/120
Право на тайну переписки
Ст.17 международного пакта о гражданских и политических правах
Ст. 12 Всеобщей Декларации прав человека
Ст. 8 Европейской Конвенции о защите прав человека и основных свобод
Ст. 56 Конституции СССР 1977 года
ст. 128 Конституции СССР 1936 года
Ст. 23 действующей Конституции
Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 98/120
Ограничение права на тайну переписки
Предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц
Европейская Конвенция о защите прав человека и основных свобод
В России ограничение возможно
Если это прямо установлено в законе
Если есть судебное решение
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 99/120
Нарушение тайны переписки
Нарушение тайны переписки … заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит
Комментарии к УК РФ
Средство мониторинга и контроля электронной почты не может стать субъектом уголовного или административного разбирательства
Виноватым может быть признан только человек, работающий с системой мониторинга e-mail
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 100/120
Аргументы сторонников
Служебная переписка не относится к ст.23 Конституции
Если сотрудник дал нам согласие, то нет нарушений
Вся переписка сотрудника – собственность предприятия
Если в поле «CC:» (копия сообщения) любого сообщения включить адрес сотрудника службы ИБ, то тем самым сотрудник дает «добро» на просмотр его сообщений
Мы запрещаем сотруднику использовать предоставленные ему СВТ в личных целях
Сотрудники боятся увольнения
ФЗ «О коммерческой тайне» разрешает мне все
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 101/120
Служебная переписка?
Правоприменительная практика Европейского суда по ст.8 Европейской Конвенции о защите прав человека и основных свобод, которая легла в основу российского законодательства в данной области (и последнее не должно ей противоречить), гласит, что тайна переписки распространяется как на частные, так и на служебные. Об этом же говорит и Конституционный суд в своем определении
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 102/120
Согласие на все?
Мы не можем получить согласие на просмотр всейпереписки, неограниченной временем и другими факторами
Оно вступает в противоречие с неотчуждаемым правом (ст.17 Конституции) любого гражданина на тайну переписки
Всеобъемлющее разрешение противоречит п.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», который обязывает четко регламентировать цель и длительность обработки персональных данных, а также их перечень
Получение упомянутого в УК согласия всего лишь убирает из состава правонарушения признаки уголовно наказуемого деяния. А судебное решение по-прежнему требуется
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 103/120
E-mail = канцелярия?
Часто контроль электронной почты сравнивается с деятельностью канцелярии, которая прочитывает всю входящую и исходящую корреспонденцию на предмет ее соответствия установленным регламентам документооборота
Отчасти правомерно, но… только к деловой, а не личной переписке
А запретить личную переписку нельзя
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 104/120
CC: спасет?
Важно не как организована система электронной почты
Важно кто и на каком основании получает доступ к чужой переписке
Если у сотрудника ИБ или канцелярии нет разрешения на чтение почты, то какая разница, как он ее получил?
Проблему решит направление всех писем на единственный исходящий адрес [email protected]
Но будет ли от этого польза бизнесу?
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 105/120
Ознакомить под роспись?
Частая рекомендация – под расписку ознакомить всех сотрудников с правилами пользования корпоративной электронной почтой, в которых будет написано, что они согласны с перлюстрацией и за нарушение правил могут последовать санкции вплоть до увольнения
Максимум на что «попадет» сотрудник – это увольнение, в то время как работодатель подпадает под действие КоАП и УК
Причиной его увольнения послужило использование корпоративного почтового сервера в личных целях и работодатель этим увольнением сам признает, что он контролирует почту и нарушил тайну переписки
Патовая ситуация – признавая ограничение тайны переписки, он становится участником уголовного разбирательства, а отказываясь от этого, он попадает под огонь трудовой инспекции за незаконное увольнение
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 106/120
Расписка?
Расписка или включение соответствующего пункта в трудовой договор будут признаны ничтожным, т.к. ограничивает работника в правах (ст.9 ТК)
Эта же статья не дает возможности работодателю отказаться от обеспечения тайны переписки, т.к. это условие «ограничивает права или снижает уровень гарантий работников по сравнению с установленными» федеральным законодательством
Уволить сотрудника за нарушение правил работы с электронной почтой нельзя – такой пункт отсутствует в ст.81 ТК РФ, описывающий причины расторжения трудового договора со стороны работодателя
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 107/120
Расписка? (окончание)
Работодатель вообще не имеет права требовать от своих работников согласия на ознакомление с их личной перепиской
Это запрещено согласно п.8 ст.9 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая гласит
Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 108/120
Собственность предприятия?
Такой пункт в трудовом договоре вступает в противоречие с 4-й частью ГК, заменившего Федеральный закон «Об авторском и смежных правах»
Право на электронное письмо (авторское право), которое может быть названо литературным произведением (если так посчитает сотрудник) и является результатом интеллектуальной деятельности, принадлежит работнику
Вставляя такой пункт в трудовой договор, мы ограничиваем работника в его правах, что недопустимо
Отказаться от этих прав невозможно (ст. 1228, 1265 ГК), как и передать их работодателю
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 109/120
Служебное произведение?
Если произведение создано в рамках трудовых обязанностей (т.н. служебное произведение), то согласно ст. 1295 ГК его автором (но не владельцем исключительных прав) все равно считается работник, а не работодатель
Но применять нормы, связанные со служебным произведением, неправомерно, т.к. служебным оно будет только тогда, когда создано по служебному заданию или в рамках трудовых обязанностей
Личное же письмо не отвечает этим признакам – «создано на рабочем месте» и «создано по служебной необходимости» не одно и тоже
Интеллектуальные права не зависят от права собственности на материальный носитель, в котором выражены соответствующие результаты интеллектуальной деятельности (ст.1227 ГК)
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 110/120
Коммерческая тайна?
Статьи 10 и 11 говорят, что работодатель можно контролировать порядок обращения с коммерческой тайной и может ознакамливать работника под расписку с принятыми защитными мерами, включая и контроль электронной почты
Личная переписка сотрудников к информации, составляющей коммерческую тайну, не относится
Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты ... прав и законных интересов других лиц
Ст.10 ФЗ «О коммерческой тайне»
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 111/120
А что с получателем?
Расписка (даже если найти ей легитимное оправдание) касается только отправителя письма
А как быть с получаталем?
Согласно ст.17 Конституции «осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц»
Расписка нужна от всех получателей!
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 112/120
Доказательства?
Доказательства, полученные с нарушением закона, не имеют юридической силы и не могут быть положены в основу решения суда
Согласно УПК (ст.75) и ГПК (ст.55)
То же говорится в в п.14 Постановлении от 31.10.1995 № 8 Пленума Верховного Суда
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 113/120
Что же делать?
Управление рисками
Защита интересов организации <> защита интересов сотрудника
Математика
Произведение вероятности подачи иска сотрудников, вероятности его выигрыша (необходимо трезво взвешивать силу собственной юридической службы и работника) и вероятности досудебного разрешения спора
Поручительство
Работник поручает работодателю защищать свои интересы путем проверки электронной почти на наличие в ней вредоносных программ (ст. 273 УК), порнографии (ст. 242 УК), государственной тайны (ст. 283 УК), коммерческой и банковской тайны (ст. 183 УК), тайны переписки (ст. 138 УК) и т.п.
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 114/120
Что делают в Европе?
Европейский суд по правам человека признал, что
Существование определенного законодательства, разрешающего вести скрытое наблюдение за почтой и связью, является, ввиду исключительных условий, необходимым в демократическом обществе
Европейский суд установил критерии правомерности таких действий
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 115/120
Когда читать можно?
1. они предусмотрено законом и необходимы в демократическом обществе в интересах государственной безопасности, общественного порядка или экономического благосостояния страны, в целях предотвращения беспорядка или преступлений, охраны здоровья или защиты нравственности или защиты прав и свобод других лиц;
2. осуществляются в соответствии с законодательством (внутренние регламенты, которые легко поменять в любой момент времени, не допускаются);
3. закон и принятые на его основе подзаконные акты известны общественности и легкодоступны – отечественная практика навешивать на нормативные акты гриф «для служебного пользования» этому противоречит;
4. нормативные акты носят настолько четкий и определенный характер, что, исходя из них, заинтересованные лица могут корректировать свое поведение –нормативные акты России этому критерии, как правило, не соответствуют;
5. в законах фиксируются пределы компетенции государственных органов, уполномоченных принимать решения о перлюстрации и осуществлять его, и ограничения на способы реализации этих правомочий;
6. ограничение права необходимо для защиты демократических ценностей и институтов;
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 116/120
Когда читать можно? (окончание)
7. нарушение тайны переписки осуществляется в целях предотвращения и пресечения не каких-то мелких, а вполне определенных и наиболее опасных преступлений – иными словами сообщение о размере зарплаты гендиректора не относится к разряду контролируемых;
8. круг лиц, против которых предпринимаются означенные действия, строго ограничен – т.е. контролировать всех до единого запрещено;
9. мониторинг носит выборочный, а не общепоисковый характер – опять противоречие с российской практикой, когда контролируется вся почта без ограничений;
10. вмешательство рассматривается как временная мера – и снова нестыковка – у нас обычно контролируют не просто «отсюда и до обеда», а пока хватает объема у системы хранения;
11. для информации, полученной в результате перлюстрации, обеспечивается ее конфиденциальность;
12. в случае прекращения преследования или оправдания по требованию соответствующего лица записи либо возвращаются ему, либо уничтожаются –проконтролировать данное требование, проявившееся и в законе «О персональных данных», на практике почти нереально.
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 117/120
Заключение
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 118/120
Дополнительные сведения
Раздел сайта Cisco.com о технологии DLP
www.cisco.com/go/dlp
Соответствие решений Cisco различным нормативным актам России
http://my.cisco.ru
Информация о потерях данных в мировом масштабе
http://www.privacyrights.org/ar/ChronDataBreaches.htm
http://attrition.org/dataloss/
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 119/120
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 120/120