DLP As Part Of Security Standards

1/120© 2008 Cisco Systems, Inc. All rights reserved.Personal Data

Российские и международные стандарты в контексте DLP-решений

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 2/120

О чем пойдет речь?

О каком законодательстве мы говорим?

Что такое DLP-решение?

Какие данные защищаем?

Где может произойти утечка?

Классификация DLP-решений

Требования российского законодательства

Требования международного законодательства

Стандарты и лучшие практики

Законно ли применение DLP-решений?


Парафраз о законодательстве


Иерархия требований по ИБ

Международные требования

Резолюции ООН, принципы

ОЭСР…

Стандарты(например, ISO

2700x)

Рекомендации и требования

(например, PCI DSS)

Национальные требования

Законы, кодексы, указы

Постановления, приказы

Рекомендации и требования(например,

ПДн)

Отраслевые требования

Стандарты(например, СТО

БР ИББС)

Рекомендации и требования(например,

СТР-К)

Стандарты ISO 13569,

HB 174-2003

Корпоративные требования

Концепция ИБСтандарт настроек

оборудования


Что такое DLP-решение?


Что такое предотвращение потери данных (DLP)?

DLP

Защита конфиденциальных и персональных данных на уровне содержимого

при использовании (In-Use)при передаче (In-Motion)при хранении (At-Rest)

Защита от случайных или намеренных утечек данных

Расширение политики безопасности для защиты данных


Классификации DLP

ILM DLP

Классификация данных

Защита от случайных

утечек

Защита от кражи данных

Шифрование

СЗИ от НСД

DLP

Data-at-Rest

Data-in-Motion

Data-in-Use


Что мы защищаем?


Данные или информация?

Сами по себе данные не являются целью для защиты, т.к. не представляют никакого интереса для злоумышленников

Данные интересны только в контексте, т.е. когда они становятся информацией

Данные Контекст Информация


Утечку чего надо контролировать?

DLP-решение обеспечивает предотвращение или контроль утечек информации ограниченного доступа, к которой согласно российскому законодательству относят

Конфиденциальную информацию (она же информация ограниченного доступа)

Государственную тайну

В российском законодательстве существует около 50 видов тайн

Все они требуют защиты

Но нарушение не каждой из них влечет за собой наказание


Парафраз о тайне в российском праве

В российском праве отсутствует единая классификация тайн

Указ президента №188 – только одна из попыток (не самая удачная)

Также отсутствует четкое правовое понятие терминов «тайна» и «конфиденциальная информация»

В различных нормативных актах

Конфиденциальная информация приравнивается к гостайне

Конфиденциальная информация противопостовляетсягостайне

Конфиденциальная информация включает тайну связи или находится с ней на одном и том же уровне иерархии

Конфиденциальная информация не относится к охраняемой законом


Пример: банковская тайна

Сведения об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией

Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных организаций»

Наказание за разглашение - 183 УК РФ, 81 ТК РФ


Пример: персональные данные

Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», 242-ФЗ «О государственной геномной регистрации в РФ» и т.д.

Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ


Пример: коммерческая тайна

Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны

Определена в 98-ФЗ «О коммерческой тайне»

Наказание за разглашение - 183 УК РФ, 81 ТК РФ


Коммерческая тайна для АО

Реестр держателей акций

Финансовая и бухгалтерская информация

Документы стратегического развития

Прогнозы по развитию бизнеса

Аналитика по рынкам

Внутренние документы конкурентного анализа

Информация о системе защиты информации

Информация по разведке, запасах и добыче полезных ископаемых

Информация по сбыту нефти и нефтепродуктов

Исходные коды программных продуктов…


Другие виды тайн

Тайна Содержимое Нормативный актНаказание за

разглашение

Информация,

составляющая

коммерческую

тайну

Научно-техническая, технологическая,

производственная, финансово-

экономическая или иная информация (в

том числе составляющая секреты

производства (ноу-хау), которая имеет

действительную или потенциальную

коммерческую ценность в силу

неизвестности ее третьим лицам, к

которой нет свободного доступа на

законном основании и в отношении

которой обладателем такой информации

введен режим коммерческой тайны

98-ФЗ "О коммерческой

тайне"183 УК РФ, 81 ТК РФ

Банковская тайна

(тайна банковских

вкладов)

Сведения об операциях, счетах и

вкладах ее клиентов и корреспондентов,

а также об иных сведениях,

устанавливаемых кредитной

организацией

ФЗ 395-1 "О банках и

банковской деятельности",

857 ГК РФ, Таможенный

кодекс РФ, ФЗ "О

реструктуризации

кредитных организаций"

183 УК РФ, 81 ТК РФ

Служебная тайна

Служебные сведения, доступ к которым

ограничен органами государственной

власти в соответствии с Гражданским

кодексом Российской Федерации и

федеральными законами

Указ Президента от

6.03.1997 №188, 139 ГК РФ,

ФЗ "Об основах

государственной службы

Российской Федерации",

Постановление

Правительства РФ от

3.11.94г. № 1233

81 ТК РФ


Другие виды тайн (продолжение)



Тайна кредитной

истории

218-ФЗ "О кредитных

историях"81 ТК РФ

Тайна страхования

Сведения о страхователе,

застрахованном лице и

выгодоприобретателе, состоянии их

здоровья, а также об имущественном

положении этих лиц

946 ГК РФ 81 ТК РФ

Тайна завещания

Сведения, касающиеся содержания

завещания, его совершения, изменения

или отмены

1123 ГК РФ 81 ТК РФ

Налоговая тайна

Любые полученные налоговым органом,

органами внутренних дел, органом

государственного внебюджетного фонда и

таможенным органом сведения о

налогоплательщике (за рядом

исключением)

146-ФЗ "Налоговый кодекс

РФ"183 УК РФ, 81 ТК РФ

Тайна усыновления

ребенка223-ФЗ Семейный кодекс РФ155 УК РФ, 81 ТК РФ





Врачебная тайна

Сведения о наличии у гражданина

психического расстройства, фактах

обращения за психиатрической помощью

и лечении в учреждении, оказывающем

такую помощь, а также иные сведения о

состоянии психического здоровья

117-ФЗ "О психиатрической

помощи и гарантиях прав

граждан при ее оказании"

81 ТК РФ

Информация о факте обращения за

медицинской помощью, состоянии

здоровья гражданина, диагнозе

заболевания, иные сведения, полученные

при обследовании и лечении гражданина,

а также сведения о проведенных

искусственном оплодотворении и

имплантации эмбриона, а также о

личности донора

Основы законодательства

РФ об охране здоровья

граждан

151 ГК РФ, 1064 ГК

РФ, 137 УК РФ, 81

ТК РФ

Медицинская тайнаРезультаты обследования лица,

вступающего в брак223-ФЗ Семейный кодекс РФ81 ТК РФ

Сведения о доноре

и реципиентеВозможно это врачебная тайна

4180-1-ФЗ "О

трансплантации органов

и(или) тканей человека"

81 ТК РФ





Тайна переписки,

телефонных

переговоров,

почтовых,

телеграфных или

иных сообщений

(тайна связи)

176-ФЗ "О почтовой связи",

126-ФЗ "О связи", УПК РФ138 УК РФ, 81 ТК РФ

Тайна частной

жизни (личная

тайна)

Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ

Аудиторская тайна

Любые сведения и документы,

полученные и (или) составленные

аудиторской организацией и ее

работниками, а также индивидуальным

аудитором и работниками, с которыми им

заключены трудовые договоры, при

оказании услуг (за рядом исключений)

307-ФЗ "Об аудиторской

деятельности"81 ТК РФ

Тайна

судопроизводства

(тайна следствия и

судопроизводства)

241 УПК РФ, 10 ГПК РФ, 11

АПК РФ, 166 УПК РФ, Указ

Президента от 6.03.1997

№188

81 ТК РФ





Адвокатская тайна

(она же тайна

судебного

представительства)

Любые сведения, связанные с оказанием

адвокатом юридической помощи своему

доверителю

63-ФЗ "Об адвокатской

деятельности и адвокатуре в

РФ"

81 ТК РФ

Тайна нотариальных

действий

Основы законодательства

Российской Федерации о

нотариате

81 ТК РФ

Профессиональная

тайнаОбщее понятие

Указ Президента от

6.03.1997 №18881 ТК РФ

Персональные

данные

143-ФЗ "Об актах

гражданского состояния",

152-ФЗ "О персональных

данных", 242-ФЗ "О

государственной геномной

регистрации в РФ"

13.11 КоАП, 137 УК

РФ, 81 ТК РФ

Тайна исповеди

125-ФЗ "О свободе совести

и о религиозных

объединениях"

120-е правило

Номоканона при

Большом Требнике





Государственная

тайна

ФЗ 5485-1 "О

государственной тайне"81 ТК РФ

Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ

Тайна голосования

51-ФЗ "О выборах депутатов

Государственной Думы

Федерального Собрания

РФ", 19-ФЗ "О выборах

Президента РФ", 67-ФЗ "Об

основных гарантиях

избирательных прав и права

на участие в референдуме

граждан РФ"…

141 УК РФ, 81 ТК РФ

Журналистская

тайна

2124-1-ФЗ "О средствах

массовой информации"81 ТК РФ





Секрет производства

(ноу-хау)

Сведения любого характера

(производственные, технические,

экономические, организационные и

другие), в том числе о результатах

интеллектуальной деятельности в научно-

технической сфере, а также сведения о

способах осуществления

профессиональной деятельности,

которые имеют действительную или

потенциальную коммерческую ценность в

силу неизвестности их третьим лицам, к

которым у третьих лиц нет свободного

доступа на законном основании и в

отношении которых обладателем таких

сведений введен режим коммерческой

тайны

1465 ГК РФ 183 УК РФ, 81 ТК РФ

Сведения об

сущности

изобретения,

полезной модели

или промышленного

образца до их

официальной

публикации

147 УК РФ, 7.12 КоАП147 УК РФ, 7.12

КоАП, 81 ТК РФ





Тайна

предварительного

расследования

(следствия)

139 УПК РФ, ФЗ 2202-1 "О

прокуратуре РФ"310 УК РФ, 81 ТК РФ

Тайна сведений о

мерах безопасности

в отношении судьи и

иных участников

уголовного процесса

311 УК РФ 311 УК РФ, 81 ТК РФ


мерах безопасности

в отношении

должностного лица

правоохранительног

о или

контролирующего

органа

320 УК РФ, 17.13 КоАП320 УК РФ, 17.13

КоАП, 81 ТК РФ

Тайна дневников и

личных записей

Сведения о частной жизни (личной и

семейной тайне), содержащиеся в

дневниках, блокнотах, записныъ книжках,

записках и т.п.

Присутствовало в

предыдущей версии ГК РФ137 УК РФ, 81 ТК РФ





Тайна

вероисповедания

Сведения об отношении к религии, к

исповеданию или отказу от исповедания

религии, об участии или неучастии в

богослужениях, других религиозных

обрядах и церемониях, о деятельности в

религиозных объединениях, об обучении

религии

125-ФЗ "О свободе совести и

о религиозных

объединениях"

81 ТК РФ


военнослужащих

внутренних войск

МВД

Сведения о местах дислокации или о

передислокации соединений и воинских

частей внутренних войск, а также

сведения о военнослужащих внутренних

войск, принимавших участие в пресечении

деятельности вооруженных преступников,

незаконных вооруженных формирований

и иных организованных преступных групп,

а также сведений о членах их семей

27-ФЗ "О внутренних

войсках МВД РФ"81 ТК РФ

Тайна сведений

личного

характера, ставшие

известными

работникам

учреждений при

оказании

социальных услуг

122-ФЗ "О социальном

обслуживании граждан

пожилого возраста и

инвалидов"

81 ТК РФ






потерпевших,

свидетелей и иных

участников

уголовного

судопроизводства

119-ФЗ "О государственной

защите потерпевших,

свидетелей и иных

участников уголовного

судопроизводства", Указ


№1111

81 ТК РФ

Производственная

тайна

Скорее всего совпадает с понятием

"секрет производства"

146-ФЗ "Налоговый кодекс

РФ"81 ТК РФ

Тайна ценных бумаг

(она же служебная

информация)

Любая не являющаяся общедоступной

информация об эмитенте и выпущенных

им эмиссионных ценных бумагах, которая

ставит лиц, обладающих в силу своего

служебного положения, трудовых

обязанностей или договора, заключенного

с эмитентом, такой информацией, в

преимущественное положение по

сравнению с другими субъектами рынка

ценных бумаг

39-ФЗ "О рынке ценных

бумаг"81 ТК РФ





Военная тайна

Некоторые юристы относят военную тайну

либо к государственной тайне, либо к

служебной тайне Вооруженных сил РФ

76-ФЗ "О статусе

военнослужащих", Устав

внутренней службы

Вооруженных Сил РФ

81 ТК РФ


лицах, внедренных в

организованные

преступные группы,

штатных негласных

сотрудников

органов,осуществля

ющих оперативно-

розыскную

деятельность, а

также лицах,

оказывающих или

оказывавших им

содействие на

конфиденциальной

основе

144-ФЗ "Об оперативно-

розыскной деятельности"81 ТК РФ

Тайна совещания

судей

Суждения, имевшие место при

обсуждении и постановлении приговора298 УПК РФ 81 ТК РФ





Тайна совещания

присяжных

заседателей

Суждения, имевшие место во время

совещания341 УПК РФ 81 ТК РФ

Дактилоскопическая

тайна

Информация об особенностях строения

папиллярных узоров пальцев рук

человека и о его личности (охраняется в

режиме служебной тайны)

128-ФЗ "О государственной

дактилоскопической

регистрации в РФ"

81 ТК РФ

Торговая тайна

352-ПП от 28.05.1992 "О

заключении

межправительственных

соглашений во избежании

двойного налогообложения

жоходов и имущества"

81 ТК РФ

Промышленная

тайна

352-ПП от 28.05.1992 "О

заключении

межправительственных

соглашений во избежании

двойного налогообложения

доходов и имущества"

81 ТК РФ





Секретный торговый

процесс

Соглашение между

Правительством РФ и

Правительством Республики

Беларусь об избежании

двойного налогообложения и

предотвращении уклонения

от уплаты налогов в

отношении налогов на

доходы и имущество

81 ТК РФ


противоречащая

государственным

интересам




Узбекистан об избежании

двойного налогооблажения

доходов и имущества

81 ТК РФ


раскрытие которой

противоречит

национальному

законодательству




Молдова об избежании

двойного налогооблажения

доходов и имущества и

предотвращении уклонения

от уплаты налогов

81 ТК РФ


Другие виды тайн (окончание)




которую нельзя

получить в ходе

обычной

административной

практики

Конвенция между


Правительством

Королевства Швеции об

избежании двойного

налогообложения в

отношении налогов на

доходы

81 ТК РФ

Конфиденциальная

информация

В зависимости от нормативного акта

может включать в себя государственную

тайну, противопоставляться ей, быть

самостоятельным видом тайны (наряду,

например, с банковской или

коммерческой тайной, а также тайной

связи), а также вообще не считаться

охраняемой законом

61-ФЗ "Таможенный Кодекс

РФ", 126-ФЗ "О связи", Указ


№188

81 ТК РФ

Депутатская тайна

3-ФЗ "О статусе депутата

Совета Федерации и статусе

депутата Государственной

Думы Федерального

Собрания РФ", 56 УПК РФ

81 ТК РФ

Тайна жилища Конституция РФ 139 УК РФ


Переход из состояния в состояние

ПДн

ВТ

СТ

КТБТ

ТС

… Врачебнаятайна

Служебнаятайна

Коммерческаятайна

Банковскаятайна

Другие видытайн

(страхование, нотариат,усыновление и т.д.)

Тайнасвязи


Классификация информации


Классификация информации

Классификация информации – разделение существующих информационных активов организации по типам, выполняемое в соответствии со степенью тяжести последствий от потери ихзначимых свойств ИБ

СТО БР ИББС-1.0-2008

В организации рекомендуется провести классификацию неплатежной информации

Классификацию информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности



ISO 27002-2005, ITU-T X.1051

Стандарт ISO/IEC 27002 «Свод правил по управлению защитой информации»

Раздел 7.2 стандарта ISO 27002 посвящен классификации

ГОСТ Р ИСО/МЭК 17799-2005

Рекомендации ITU-T X.1051 «Система управления информационной безопасностью – Требования к электросвязи (ISMS-T)»

Раздел А.3.2 стандарта посвящен классификации


РС БР ИББС-2.2-2009

Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов

Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ и иных нормативных правовых актов, в том числе нормативных актов Банка России

В конкретной организации БС РФ рекомендуемый перечень информационных активов может быть изменен в соответствии с принятыми в ней подходами к классификации информационных активов и уровнем детализации типов информационных активов


Классификация РС БР ИББС-2.2-2009

Информация ограниченного доступа

Информация, установленная нормами законодательства РФ

Банковская тайна

Персональные данные

Информация, установленная организацией БС РФ

Платежная информация

Внутренняя банковская информация

Управляющая информация платежных, информационных и информационно-телекоммуникационных систем

Открытая (общедоступная) информация


Классификация ИСПДн

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных»


Категорирование ПДн

1 категория

ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни


ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1


ПДн, позволяющие идентифицировать субъекта персональных данных


Обезличенные и (или) общедоступные ПДн


Классификация информации в КСИИ

Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

Утверждены 18 мая 2007 года

Дана методика оценки важности (ценности) информации

5 степеней важности по конфиденциальности

3 степени важности по целостности

3 степени важности по доступности


Классификация в Газпроме

СТО Газпром 4.2.3-004. Правила классификации объектов защиты

Р Газпром 4.2.3-001. Методика классификации объектов защиты

Классификация объектов защиты выполняется с целью обеспечения дифференцированного подхода к организации их защиты с учетом уровня критичности, характеризующего влияние на деятельность и репутацию организации, ее деловых партнеров, клиентов и работников

Классификация позволяет определить приоритетность и экономическую целесообразность проведения дальнейших мероприятий по обеспечению информационной безопасности объекта защиты


Другие нормативы по классификации

ISO 13569. Banking and related financial services —Information security guidelines

BSI Standard 100-1 Information Security Management Systems (ISMS)

BSI-Standard 100-2: IT-Grundschutz Methodology

The Standard of Good Practice for Information Security(от ISF)

И т.д.


DLP с точки зрения техники


Какая функциональность есть в DLP?

Контроль доступа к информации

Контроль использования информации

Контроль копирования/передачи информации

Регистрация и учет доступа к информации

Обеспечение конфиденциальности информации


Парафраз о конфиденциальности


Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

ст.2 ФЗ-149 «Об информации, ИТ и защите информации»

Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

ст.3 ФЗ-152 «О персональных данных»

Что такое конфиденциальность?


Дает ли нам международное законодательство право на применение DLP?


Законы США

Закон США 107-204 (он же Sarbanes-Oxley Act of 2002)

Секция 302 возлагает на руководство компаний обязательство обеспечить корректность и истинность финансовой информации

Общее правило: «Информация, которая может быть изменения без информирования об этом руководства не может быть признана корректной»

Закон США 104-191 (он же Health Insurance Portability and Accountability Act, HIPAA)

Секция 1173 (d)(2) определяет, что каждое лицо, имеющее доступ к медицинской информации, должен принимать административные, технические и физические меры по защите от несанкционированного использования или раскрытия этой информации


Законы США

Комиссия по ценным бумагам США (U.S. Securities and Exchange Commission) требует обеспечения конфиденциальности финансовой информации компаний

В частности, правила SEC Rule 17a-4

Закон США GLBA (Gramm-Leach-Bliley Act), также известный под названием Financial ServicesModernization Act

Требует от финансовых учреждений обеспечить безопасность и приватность любых персональных сведений клиентов, находящихся на попечении организации (в том числе номеров банковских счетов, баланса средств на счетах и т.д.)

Аналогичные требования есть в законе США FACTA (Fair and Accurate Credit Transactions Act of 2003)

http://www.sec.gov/rules/interp/34-44238.htm





Законы Европы

Директива Европарламента 2002/58/EC (она же e-Privacy Directive)

Множество правил обращения с электронной информацией, включая требование обеспечения конфиденциальности

Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных

Директива 95/46/ЕС Европарламента и Совета ЕвроСоюза от 24 октября 1995 года о защите прав частных лиц применительно к личным данным и о свободном движении таких данных

Директива 97/66/ЕС Европарламента и Совета ЕвроСоюза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций


Правила об уведомлении

Все штаты США имеют собственные законы, обязывающие компании, ставшие жертвой утечек персональных данных своих клиентов, уведомлять последних об этих фактах

Стоимость уведомления одного клиента – от 20 долларов

Чтобы уведомить, необходимо узнать об утечке

Первая ласточка - California's Database Security Breach Notification Act (SB 1386) and General Security Standard for Businesses (AB 1950)


Базель II


Базель II

Базель II (Международная конвергенция измерения капитала и стандартов капитала: новых подходы)

Принят в 2004-м году (первая версия – в 1988 г.)

Базель II применяется в США, Евросоюзе, Канаде, Японии и Индии

В России и некоторых других странах СНГ планировалось сделать эти требования обязательными в 2009-2010 гг.

Но вмешался кризис ;-(

Ориентация на финансовые институты


Риски

Базель II предъявляет требования к минимальному размеру банковского капитала

Подход может применяться и к другим отраслям

Необходимо оценивать кредитные, рыночные и операционные риски и резервировать капитал на их покрытие

Операционные риски появились только во второй версии соглашения

Неэффективное управление операционными рисками приводит

К возрастанию операционных рисков

К большим финансовым резервам, «вырванным» из бизнеса


О резервировании капитала

Капитал резервируется на покрытие возможного ущерба от осуществления рисков

Сумма резервирования зависит от принятого метода измерения рисков

Базовый индикативный подход

Стандартизованный подход

Расширенный измеряющий подход (AMA)

Чем «серьезнее» метод измерения, тем меньше сумма резервирования

При базовом индикативном подходе сумма резервирования равна 15% среднегодового валого дохода за предыдущие 3 года

Зависит от требований национальных стандартов бухучета


Определение операционного риска

Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий


Определение операционного риска в "Базель II"

Определяется как риск убытков,

возникающих в результате

ненадлежащих внутренних

процессов, кадровых ресурсов или

систем, или их отказа, а также

внешних событий

(Базель II)

ОПЕРАЦИОННЫЙ РИСК

Злоупотребление

полномочиями

Ненадлежащие

процедуры контроля

Внутренние/

внешние кражи

Некорректная /

неполная /

устаревшая база

данных MIS

Судебные

разбирательства,

начатые против компании

Невыполнение

требований

регулирующих органов

Утрата ключевых

работников или

целых отделов

Пожар или

землетрясение

Неполные/

ненадлежащие

бизнес-процедуры

Отказы ИТ-

систем и сетей

55© 2003 Cisco Systems, Inc. С сохранением всех прав.


ИТ- vs ИБ- vs операционный риск

Связанные с ИТ-системами риски представляют собой (всего лишь) часть операционных рисков, но именно на них приходится

большинство крупных убытков…

Безопасность и

доступность ИТ

Операционный риск

Риск ИТ

56© 2003 Cisco Systems, Inc. С сохранением всех прав.


Репутационные риски

Базель II указывает (п.732), что «в процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк»

Согласно п.742 в состав таких рисков должны входить репутационные риски


Виды операционных рисков по Базель II

1-ый уровень

событий

2-ой уровень

событий

3-ий уровень

событий

Внутреннее

мошенничество

Неразрешенная

деятельность

Неотраженные в отчетности

операции

Неразрешенные типы

операций

Воровство и


Умышленное уничтожение

активов

Присвоение чужих счетов

Воровство, хищения, грабеж

Внешнее


Воровство и


Воровство, грабеж

Подделка

Безопасность системХакерство

Кража информации

Кадровая политика и

безопасность труда

Взаимоотношения с

сотрудниками

Организация трудовой

деятельности

Вопросы оплаты труда

Безопасная средаОхрана здоровья

Компенсации сотрудникам

Дискриминация Все типы дискриминации




событий


событий


событий

Клиенты, продукты и

деловая практика

Приемлемость,

раскрытие

Нарушения инструкций

Раскрытие информации

Злоупотребления

конф.информацией

Неправильная деловая

или рыночная практика

Деятельность без лицензии

Изъяны продуктовДефекты продуктов

Ошибки конструкции

Выбор, спонсорство и

риски

Превышение лимитов риска

на одного клиента

Консалтинговые услугиРазногласия в оценках

результатов консалтинговых

услуг

Причинение ущерба

физическим активам

Катастрофы и прочие

события

Ущерб от природных

катастроф

Терроризм, вандализм




событий


событий


событий

Нарушения в ведении

бизнеса и системные

сбои

Системы

Программное обеспечение

Аппаратное обеспечение

Телекоммуникации

Сбои в предоставлении услуг

Исполнение, доставка

и управление

процессами

Исполнение и

поддержание операций

Неправильные

коммуникации

Ошибки при вводе данных

Неправильное

функционирование систем

Мониторинг и отчетностьНесоблюдение обязательной

отчетности

Привлечение клиентов и

ведение документации

Неполная документация

Отсутствие разрешения от

клиентов

Управление клиентскими

счетами

Неавторизованный доступ

Халатность

Торговые контрагенты Конфликты с контрагентами

Поставщики и

подрядчики

Аутсорсинг

Конфликты с поставщиками


Управление рисками в России

Положение №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16 декабря 2003 г.

Обязателен к применению

Письмо ЦБР от 24 мая 2005 г. №76-Т «Об организации управления операционным риском в кредитных организациях»


Внутренний контроль


Корпоративное управление

Система отчетности перед акционерами лиц, которым доверено текущее руководство компанией

Способ управления компанией, который обеспечивает справедливое и равноправное распределение результатов деятельности между всеми акционерами, а также заинтересованными лицами


Корпоративное управление (продолжение)

Комплекс мер и правил, которые помогают акционерам контролировать руководство компании и влиять на менеджмент с целью максимизации прибыли и стоимости предприятия

Система взаимоотношений между менеджерами фирмы и ее владельцами по вопросам обеспечения эффективности деятельности компании и защите интересов владельцев, а также других заинтересованных сторон


Зачем внедрять?

Признание деловым сообществом

Рост репутации в глазах инвесторов, кредиторов и партнеров

Рост стоимости акций по сравнению с компаниями, не внедрившими корпоративное управление

Рост от 20 до 50%

Обязательное или настоятельно рекомендуемое внедрение

Защита интересов

Биржевые требования листинга

Рост конкурентоспособности


Необходимость внутреннего контроля

Разделение права собственности и управления этой собственностью

Конфликт интересов акционеров (рост капитализации) и менеджмента (статус, бонус и зарплата)

Требуются

Разграничение сфер деятельности и ответственности

Прозрачность управления

Распределение исполнительных и контрольных функций

Правила и процедуры для доступа акционеров к сведениям о деятельности компании

Нужен внутренний контроль механизмов корпоративного управления



Процесс, разработанный под руководством или с участием CEO и CFO компании, а также введенный в действие советом директоров, менеджментом и другими служащими компании, чтобы предоставить разумные гарантии достоверности финансовой отчетности и обеспечить подготовку финансовых отчетов для внешних целей в соответствие с общепринятыми принципами бухгалтерского учета

Этот процесс включает политики и процедуры, которые (среди прочих):

Предоставляют разумную гарантию предотвращения или своевременного выявления неавторизованного приобретения, использования или перемещения корпоративных активов, которое может материально повлиять на финансовую отчетность



Внутренний контроль осуществляется в целях обеспечения:

Эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками

Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности(защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений)


Регулирование внутреннего контроля

Положение №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16 декабря 2003 г.

Кодекс корпоративного управления ФСФР (Россия)

Акт Сарбейнса-Оксли (Sarbanes-Oxley Act of 2002)

Принципы корпоративного управления Организации экономического сотрудничества и развития (ЕС, США, Канада, Япония и др., исключая Россию)

Руководящие принципы корпоративного управления Euroshareholders (Евросоюз)

Объединенный кодекс корпоративного управления (Великобритания)


Дает ли нам российское законодательство право на применение DLP?


Трехглавый закон

Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»

Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами

Ст.9

Запрещается распространение информации… за распространение которой предусмотрена уголовная или административная ответственность

Ст.10


Трехглавый закон (окончание)

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа

ст.16

Следовательно DLP-решение является средством защиты

Следовательно требование применять средства защиты подразумевает применение в т.ч. и DLP-решений


Закон «О коммерческой тайне»

Федеральный закон от 29 июля 2004 года №98-ФЗ «О коммерческой тайне»

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя

ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка

учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана


Закон «О персональных данных»

Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных

Ст.7

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним…копирования, распространения персональных данных…

Ст.19


Иные законы

Десятки других федеральных законов РФ устанавливают требование обеспечения защиты

Врачебной

Страховой

Адвокатской

Банковской

Служебной

Аудиторской

Иных видов тайн

с помощью общих требований, указанных в ФЗ-149 «Об информации, информационных технологиях и защите информации»


Законодательство о персональных данных


Мы не первые

Год принятия Страна Закон

1974 США The Privacy Act of 1974

1978 (с

изменениями

в 2004)

Франция Data Protection Act of 1978

1980 США Privacy Protection Act of 1980

1983 Канада The Privacy Act

1992 Венгрия Act LXIII of 1992 on the Protection of Personal

Data and the Publicity of Data of Public Interests

1992 Швейцария The Federal Law on Data Protection of 1992

1993 Новая Зеландия Privacy Act, Privacy Amendment Act

1994 Корея Act on Personal Information Protection of Public

Agencies Act on Information and Communication

Network Usage

1995 Евросоюз European Union Data Protection Directive of 1995

1995 Гонконг Personal Data Ordinance (The "Ordinance")

http://epic.org/privacy/1974act/









http://www.bild.net/dataprFr.htm









http://epic.org/privacy/ppa/









http://www.privcom.gc.ca/legislation/02_07_01_e.asp





http://www.obh.hu/adatved/indexek/AVTV-EN.htm




































http://194.6.168.108/cgi-bin/showme.cgi?Folder=e/g/















http://www.knowledge-basket.co.nz/privacy/legislation/1993028/toc.html



http://www.cdt.org/privacy/eudirective/EU_Directive_.html













http://www.privacy.com.hk/contents.html











Мы не первые (продолжение)


1995 Тайвань Computer Processed Personal data Protection

Law

1996 Эстония Personal Data Protection Act

1996 Литва Law on Legal Protection of Personal Data

1997 Греция Law No.2472 on the Protection of Individuals with

Regard to the Processing of Personal Data

1997 Италия Processing of Personal Data Act

1997 Польша Act of the Protection of Personal Data

1998 Австралия Privacy Act of 1988

1998 Чили Act on the Protection of Personal Data

1998 Швеция Personal Data Protection Act

1998 Португалия Act on the Protection of Personal Data

http://www.privacyexchange.org/legal/nat/omni/taiwan.html











http://www3.lrs.lt/cgi-bin/preps2?Condition1=208886&Condition2













http://www.privacyexchange.org/legal/nat/omni/greece.html































http://www.privacyexchange.org/legal/nat/omni/italy.html









http://www.privacyexchange.org/legal/nat/omni/poland.html













http://scaleplus.law.gov.au/html/pasteact/0/157/top.htm







http://www.privacyexchange.org/legal/nat/omni/chilesum.html













http://www.datainspektionen.se/PDF-filer/ovrigt/pul-eng.pdf







http://www.cnpd.pt/english/bin/legislation/Law6798EN.HTM














Мы не первые (продолжение)


1999 Словения Personal Data Protection Act

1999 Испания ORGANIC LAW on the Protection of Personal Data

2000 Аргентина Personal Data Protection Act of 2000 (он же

Habeas Data)

2000 Австрия Data Protection Act 2000

2000 Чехия Act on Protection of Personal Data

2000 Канада Personal Information Protection and Electronic

Data Act (PIPEDA) of 2000 (Bill C-6)

2000 Дания Act on Processing of Personal Data

2000 Финляндия Act on the Amedment of the Personal Data Act

(хотя первые нормативные акты по защите

ПДн в Финляндии появились еще в 1987 году)

2000 Исландия Act of Protection of Individual; Processing

Personal Data

2000 Индия Information Technology Act

http://www.privacyexchange.org/legal/nat/omni/slovenia.html







http://www.agenciaprotecciondatos.org/ley_15_ingles_v2_pdf.pdf















http://www.ulpiano.com/Dataprotection_argentina.htm











http://www.dsk.gv.at/legal.htm







http://www.uoou.cz/eng/101_2000.php3











http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html


























http://www.datatilsynet.dk/eng/index.html











http://www.legaltext.ee/text/en/X1023K4.htm

















http://www.mannvernd.is/english/laws/act.dataprotection.html
















http://www.mit.gov.in/it-bill.asp






Мы не первые (окончание)


2000 Латвия Personal Data Protection Law

2000 Норвегия Personal Data Act

2000 Южная Корея The Act on Promotion of Information and

Communications Network Utilization and Data

Protection of 2000

2001 Германия Federal Data Protection Act of 2001

2002 Евросоюз EU Internet Privacy Law of 2002 (DIRECTIVE

2002/58/EC)

2002 Люксембург Law on the Protection of Persons with Regard to

the Processing of Personal Data

2002 Мальта Data Protection Act

2002 Словакия Act No. 428 on Personal Data Protection

2003 Ирландия Data Protection (Amendment) Act

2003 Италия Data Protection Code of 2003

2003 Япония Personal Information Protection Law

2007 Дубай Data Protection Law of 2007

http://www.privacyexchange.org/legal/nat/omni/latvialaw.html







http://www.datatilsynet.no/lov/loven/poleng.html





http://www.bfd.bund.de/information/bdsg_eng.pdf











http://europa.eu.int/eur-lex/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf


















http://www.cnpd.lu/loi_langue_anglaise.pdf



























http://www.dataprotection.gov.mt/filebank/documents/DataProtectionAct.pdf





http://www.dataprotection.gov.sk/buxus/generate_page.php3?page_id=449














http://www.dataprivacy.ie/images/Compendium Act.pdf







http://www5.cao.go.jp/seikatsu/kojin/foreign/act.pdf







http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/

http://dp.difc.ae/


Базовая иерархия документов по ПДн

Приказы ииные документы

ПостановленияПравительства

Законы

Конвенции и иные международные договора

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№781 от 17.11.2007

«Приказтрех» от

13.02.2008

4 «закрытых» документа

ФСТЭК

2 открытых документа ФСБ

Проект регламента

осуществления контроля и

надзора

№687 от 15.09.2008

№512 от6.07.2008

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

И еще 3-4 десятка нормативных актов разных уровней


ПДн в России и США

Россия

• Уведомление о факте обработке ПДн

• Ответственность за нарушение установленного порядка обработки ПДн

• Субъекты запрашивают оператора, какие ПДн он обрабатывает

• Защита любых ПДн –контроля больше

• Убытки равны и для ИП и для крупного бизнеса

США

• Уведомление только в случае инцидента

• Ответственность за утечку ПДн

• Оператор уведомляет субъекта, но только в случае утечки ПДн

• Защита небольшого перечня ПДн, разглашение которых влечет материальный ущерб

• Убытки пропорциональны числу скомпрометированных ПДн


Стандарты и практики


Стандарты и практики

ISO/IEC 27002

Должны быть определены процедуры для обращения с информацией и хранения информации, с целью защитить эту информацию от неразрешенного раскрытия или неправильного использования (10.7.3)


ГОСТ Р ИСО/МЭК ТО 13335-4 -2007 «Методы и средства обеспечения безопасности. Выбор защитных мер»

ГОСТ Р ИСО/МЭК 13569 «Финансовые услуги. Рекомендации по информационной безопасности»


Стандарты и практики (окончание)

Bundesamt für Sicherheit in der Informationstechnik (BSI) Standard 100-2: IT-Grundschutz Methodology

Safeguard Catalogues

The Standard of Good Practice for Information Security (ISF SoGP)

ITU-T X.805. Архитектура безопасности для систем,обеспечивающих связь между оконечнымиустройствами

North American Electric Reliability Corporation (NERC)1300

Документы ФСТЭК


Документы ФСТЭК

СТР-К

Ключевые системы

Персональные данные

Коммерческая тайна

РД

МСЭ, СВТ…

АС

15408

Требования по защитеразных видов тайн

Требования кразработке

средств защиты

Требования кфункциональности

средств защиты


Технические требования регуляторов

РД ФСТЭК

15408

СТР-КЧетверокнижие

по ПДн

КСИИ

СТО БР ИББСКоммерческая

тайна

PCI DSS

ГОСТ Р ИСО17799:2005

…

Разграничение доступаИзоляция процессовУправление потоками

Межсетевое экранированиеИдентификация/аутентификация

Регистрация действийРеакция на НСДОчистка памяти

Тестирование функций защитыУчет и маркировка носителей

Контроль целостности

Контроль доступа (мандатный/

дискреционный)VLANVPN

БиллингОС (одноуровневые/

многоуровневые)СУБДIDS

Электронные замки

Защита от утечек по техническим каналамДокументальное оформление

Физическая безопасностьРегистрация действийРазграничение доступа

Учет и маркировка носителейРезервирование

Антивирусная защитаЗащита ЛВС

Защита внешнего взаимодействияСУБД

Система управленияДокументальное сопровождениеУправление жизненным циклом

Разграничение доступаРегистрация действийАнтивирусная защита

Защита внешнего взаимодействияЗащита e-mail и архив почты

КриптографияПлатежные процессы

Технологические процессы

Разграничение доступаРегистрация действий

Учет носителейОбеспечение целостности

Межсетевое взаимодействиеОтсутствие НДВ

Антивирусная защитаАнализ защищенности

Обнаружение вторженийBCP

Реагирование на инцидентыОценка рисков

Повышение осведомленностиАудит

Защита коммуникаций

Документальное сопровождениеЗащита от утечек по техническим каналам

Антивирусная защитаОбнаружение вторженийРазграничение доступаРегистрация действий

Учет и маркировка носителейОбеспечение целостности

Межсетевое взаимодействиеКриптографическая защита

ЛовушкиСканеры защищенности

Защита от утечек по техническим каналамРазграничение доступа

Межсетевое взаимодействиеVPN

Аутентификация и идентификацияКриптозащита

Шифрование информацииЭЦП

Пакетное шифрованиеСтеганография

Регистрация действийСигнализация

Обнаружение вторженийЗащита от ПМВ

Защита от сбоев, отказов и ошибокОбеспечение целостности и надежностиТестирование и контроль безопасности

Настройка МСЭКонтроль паролей

Защита данных держателей картШифрование в канале связи

Обновление антивирусаЗащита приложений

Разграничение доступаИдентификация и аутентификация

Физический доступРегистрация действийАнализ безопасности

Документальное сопровождение

Политика безопасностиОрганизация ИБ

Управление активамиБезопасность HR

Физический доступБезопасность окружения

Управление средствами связиКонтроль доступа

Приобретение, разработка и обслуживание ИСУправление инцидентами

BCPСоответствие требованиям


Блиц-анализ технических требований

•Разграничение доступа (+ управление потоками)

•Идентификация / аутентификация

•Межсетевое взаимодействие

•Регистрация действий

•Учет и маркировка носителей (+ очистка памяти)

•Документальное сопровождение

•Физический доступ

•Контроль целостности

•Тестирование безопасности

•Сигнализация и реагирование

•Контроль целостности

•Защита каналов связи

•Обнаружение вторжений

•Антивирусная защита

•BCP

•Защита от утечки по техническим каналам

Общие

•Защита специфичных процессов (биллинг, АБС, PCI…)

•Защита приложений (Web, СУБД…)

•Нестандартные механизмы (ловушки, стеганография)Специфичные


Стандарты по защите ПДн

BS 10012:2009 «Data protection. Specification for a personal information management system»

NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)»

Четверокнижие ФСТЭК


PCI DSS


Стандарт PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) – стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard

Принят в январе 2005 года. Текущая версия – 1.2

12 основных требований, 200+ детальных требований

PCI DSS объединяет в себе требования программ:

Visa Europe & другие регионы: Account Information Security (AIS);

Visa USA: Cardholder Information Security (CISP);

MasterCard: Site Data Protection (SDP)

Поддержка AmEx, Diners Club, Discover, JCB


Построение и поддержка защищенной сети

1. Установка и поддержание конфигурации МСЭ для защиты данных

2. Контроль за сменой выставленных по умолчанию производителем системных паролей и других параметров системы безопасности

Защита данных владельцев платежных карт

3. Обеспечение защиты хранящихся данных держателей карт

4. Обеспечение шифрования данных владельцев карт и других важных данных при их передаче через общедоступные сети

Поддержка программу управления уязвимостями

5. Использование и регулярное обновление антивирусного программного обеспечения

6. Разработка и поддержка систем по безопасности и их приложений

Внедрение строгих мер разграничения доступа

7. Разграничение доступа к данным по принципу служебной необходимости и разделения полномочий

8. Присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру

9. Разграничение физического доступа к данным держателей карт

Регулярный мониторинг и тестирования сети

10. Отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт

11. Постоянный анализ процессов обеспечения безопасности

Поддержка политики информационной безопасности

12. Наличие и выполнение политики по информационной безопасности

12 требований PCI DSS


Можно ли читать чужую переписку с помощью DLP-решений?


Что такое переписка?

Типовая модель переписки без детального анализа

То как мы обычно видим этот процесс

Не учитывается широкий круг лиц, имеющих доступ или возможность доступа к переписке

ПолучательОтправитель

Корпоративный

почтовый сервер


Что такое переписка?

Суд /

правоохранительные органы

Служба аудита /

внутреннего контроля /

юридический отдел

ПолучательОтправитель

Хранилище / архив

Оператор связи

Служба ИБ

Корпоративный

почтовый сервер

Служба ИТ

Аутсорсинговая

компания


Тайна переписки

Закон не определяет этого термина

Для разных видов «переписки» тайну составляет разный объем информации

Телеграф – ознакомление с адресом или содержанием не является нарушением тайны

Обычная почта – адрес не является тайной, в отличие от содержимого письма

Телефон – тайну составляет не только содержание разговора, но и информация о входящих/исходящих соединениях

Как быть с e-mail?


Право на тайну переписки

Ст.17 международного пакта о гражданских и политических правах

Ст. 12 Всеобщей Декларации прав человека

Ст. 8 Европейской Конвенции о защите прав человека и основных свобод

Ст. 56 Конституции СССР 1977 года

ст. 128 Конституции СССР 1936 года

Ст. 23 действующей Конституции

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения


Ограничение права на тайну переписки

Предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц

Европейская Конвенция о защите прав человека и основных свобод

В России ограничение возможно

Если это прямо установлено в законе

Если есть судебное решение


Нарушение тайны переписки

Нарушение тайны переписки … заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит

Комментарии к УК РФ

Средство мониторинга и контроля электронной почты не может стать субъектом уголовного или административного разбирательства

Виноватым может быть признан только человек, работающий с системой мониторинга e-mail


Аргументы сторонников

Служебная переписка не относится к ст.23 Конституции

Если сотрудник дал нам согласие, то нет нарушений

Вся переписка сотрудника – собственность предприятия

Если в поле «CC:» (копия сообщения) любого сообщения включить адрес сотрудника службы ИБ, то тем самым сотрудник дает «добро» на просмотр его сообщений

Мы запрещаем сотруднику использовать предоставленные ему СВТ в личных целях

Сотрудники боятся увольнения

ФЗ «О коммерческой тайне» разрешает мне все


Служебная переписка?

Правоприменительная практика Европейского суда по ст.8 Европейской Конвенции о защите прав человека и основных свобод, которая легла в основу российского законодательства в данной области (и последнее не должно ей противоречить), гласит, что тайна переписки распространяется как на частные, так и на служебные. Об этом же говорит и Конституционный суд в своем определении


Согласие на все?

Мы не можем получить согласие на просмотр всейпереписки, неограниченной временем и другими факторами

Оно вступает в противоречие с неотчуждаемым правом (ст.17 Конституции) любого гражданина на тайну переписки

Всеобъемлющее разрешение противоречит п.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», который обязывает четко регламентировать цель и длительность обработки персональных данных, а также их перечень

Получение упомянутого в УК согласия всего лишь убирает из состава правонарушения признаки уголовно наказуемого деяния. А судебное решение по-прежнему требуется


E-mail = канцелярия?

Часто контроль электронной почты сравнивается с деятельностью канцелярии, которая прочитывает всю входящую и исходящую корреспонденцию на предмет ее соответствия установленным регламентам документооборота

Отчасти правомерно, но… только к деловой, а не личной переписке

А запретить личную переписку нельзя


CC: спасет?

Важно не как организована система электронной почты

Важно кто и на каком основании получает доступ к чужой переписке

Если у сотрудника ИБ или канцелярии нет разрешения на чтение почты, то какая разница, как он ее получил?

Проблему решит направление всех писем на единственный исходящий адрес [email protected]

Но будет ли от этого польза бизнесу?

mailto:[email protected]


Ознакомить под роспись?

Частая рекомендация – под расписку ознакомить всех сотрудников с правилами пользования корпоративной электронной почтой, в которых будет написано, что они согласны с перлюстрацией и за нарушение правил могут последовать санкции вплоть до увольнения

Максимум на что «попадет» сотрудник – это увольнение, в то время как работодатель подпадает под действие КоАП и УК

Причиной его увольнения послужило использование корпоративного почтового сервера в личных целях и работодатель этим увольнением сам признает, что он контролирует почту и нарушил тайну переписки

Патовая ситуация – признавая ограничение тайны переписки, он становится участником уголовного разбирательства, а отказываясь от этого, он попадает под огонь трудовой инспекции за незаконное увольнение


Расписка?

Расписка или включение соответствующего пункта в трудовой договор будут признаны ничтожным, т.к. ограничивает работника в правах (ст.9 ТК)

Эта же статья не дает возможности работодателю отказаться от обеспечения тайны переписки, т.к. это условие «ограничивает права или снижает уровень гарантий работников по сравнению с установленными» федеральным законодательством

Уволить сотрудника за нарушение правил работы с электронной почтой нельзя – такой пункт отсутствует в ст.81 ТК РФ, описывающий причины расторжения трудового договора со стороны работодателя


Расписка? (окончание)

Работодатель вообще не имеет права требовать от своих работников согласия на ознакомление с их личной перепиской

Это запрещено согласно п.8 ст.9 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая гласит

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами


Собственность предприятия?

Такой пункт в трудовом договоре вступает в противоречие с 4-й частью ГК, заменившего Федеральный закон «Об авторском и смежных правах»

Право на электронное письмо (авторское право), которое может быть названо литературным произведением (если так посчитает сотрудник) и является результатом интеллектуальной деятельности, принадлежит работнику

Вставляя такой пункт в трудовой договор, мы ограничиваем работника в его правах, что недопустимо

Отказаться от этих прав невозможно (ст. 1228, 1265 ГК), как и передать их работодателю


Служебное произведение?

Если произведение создано в рамках трудовых обязанностей (т.н. служебное произведение), то согласно ст. 1295 ГК его автором (но не владельцем исключительных прав) все равно считается работник, а не работодатель

Но применять нормы, связанные со служебным произведением, неправомерно, т.к. служебным оно будет только тогда, когда создано по служебному заданию или в рамках трудовых обязанностей

Личное же письмо не отвечает этим признакам – «создано на рабочем месте» и «создано по служебной необходимости» не одно и тоже

Интеллектуальные права не зависят от права собственности на материальный носитель, в котором выражены соответствующие результаты интеллектуальной деятельности (ст.1227 ГК)


Коммерческая тайна?

Статьи 10 и 11 говорят, что работодатель можно контролировать порядок обращения с коммерческой тайной и может ознакамливать работника под расписку с принятыми защитными мерами, включая и контроль электронной почты

Личная переписка сотрудников к информации, составляющей коммерческую тайну, не относится

Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты ... прав и законных интересов других лиц

Ст.10 ФЗ «О коммерческой тайне»


А что с получателем?

Расписка (даже если найти ей легитимное оправдание) касается только отправителя письма

А как быть с получаталем?

Согласно ст.17 Конституции «осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц»

Расписка нужна от всех получателей!


Доказательства?

Доказательства, полученные с нарушением закона, не имеют юридической силы и не могут быть положены в основу решения суда

Согласно УПК (ст.75) и ГПК (ст.55)

То же говорится в в п.14 Постановлении от 31.10.1995 № 8 Пленума Верховного Суда


Что же делать?

Управление рисками

Защита интересов организации <> защита интересов сотрудника

Математика

Произведение вероятности подачи иска сотрудников, вероятности его выигрыша (необходимо трезво взвешивать силу собственной юридической службы и работника) и вероятности досудебного разрешения спора

Поручительство

Работник поручает работодателю защищать свои интересы путем проверки электронной почти на наличие в ней вредоносных программ (ст. 273 УК), порнографии (ст. 242 УК), государственной тайны (ст. 283 УК), коммерческой и банковской тайны (ст. 183 УК), тайны переписки (ст. 138 УК) и т.п.


Что делают в Европе?

Европейский суд по правам человека признал, что

Существование определенного законодательства, разрешающего вести скрытое наблюдение за почтой и связью, является, ввиду исключительных условий, необходимым в демократическом обществе

Европейский суд установил критерии правомерности таких действий


Когда читать можно?

1. они предусмотрено законом и необходимы в демократическом обществе в интересах государственной безопасности, общественного порядка или экономического благосостояния страны, в целях предотвращения беспорядка или преступлений, охраны здоровья или защиты нравственности или защиты прав и свобод других лиц;

2. осуществляются в соответствии с законодательством (внутренние регламенты, которые легко поменять в любой момент времени, не допускаются);

3. закон и принятые на его основе подзаконные акты известны общественности и легкодоступны – отечественная практика навешивать на нормативные акты гриф «для служебного пользования» этому противоречит;

4. нормативные акты носят настолько четкий и определенный характер, что, исходя из них, заинтересованные лица могут корректировать свое поведение –нормативные акты России этому критерии, как правило, не соответствуют;

5. в законах фиксируются пределы компетенции государственных органов, уполномоченных принимать решения о перлюстрации и осуществлять его, и ограничения на способы реализации этих правомочий;

6. ограничение права необходимо для защиты демократических ценностей и институтов;


Когда читать можно? (окончание)

7. нарушение тайны переписки осуществляется в целях предотвращения и пресечения не каких-то мелких, а вполне определенных и наиболее опасных преступлений – иными словами сообщение о размере зарплаты гендиректора не относится к разряду контролируемых;

8. круг лиц, против которых предпринимаются означенные действия, строго ограничен – т.е. контролировать всех до единого запрещено;

9. мониторинг носит выборочный, а не общепоисковый характер – опять противоречие с российской практикой, когда контролируется вся почта без ограничений;

10. вмешательство рассматривается как временная мера – и снова нестыковка – у нас обычно контролируют не просто «отсюда и до обеда», а пока хватает объема у системы хранения;

11. для информации, полученной в результате перлюстрации, обеспечивается ее конфиденциальность;

12. в случае прекращения преследования или оправдания по требованию соответствующего лица записи либо возвращаются ему, либо уничтожаются –проконтролировать данное требование, проявившееся и в законе «О персональных данных», на практике почти нереально.


Заключение


Дополнительные сведения

Раздел сайта Cisco.com о технологии DLP

www.cisco.com/go/dlp

Соответствие решений Cisco различным нормативным актам России

http://my.cisco.ru

Информация о потерях данных в мировом масштабе

http://www.privacyrights.org/ar/ChronDataBreaches.htm

http://attrition.org/dataloss/

http://www.cisco.com/go/dlp

http://my.cisco.ru/

http://www.privacyrights.org/ar/ChronDataBreaches.htm

http://attrition.org/dataloss/


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
