infowatch, держи марку!
TRANSCRIPT
Диалоги о нравственных и
правовых аспектах внедрения
DLP
Орда
Александр
Региональный
представитель в УрФО
СЕРИЯВЕБИНАРОВ
УЦСБ:
О чем будем говорить?
1. «Юридические аспекты»
2. «Как обосновать необходимость внедрения DLP»
СЕРИЯВЕБИНАРОВ
УЦСБ:
Начнем с вопросов
• А есть ли в вашей организации
коммерческие секреты ?
• Действует ли режим КТ ?
• Нужно ли защищать
информацию ?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Немного терминологии
СЕРИЯВЕБИНАРОВ
УЦСБ:
Определимся с терминами
Что такое:
• Информация?
• Информация ограниченного
доступа?
• Обладатель информации?
Коммерческая тайна
СЕРИЯВЕБИНАРОВ
УЦСБ:
Определимся с терминами
Коммерческая тайна –режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду
(98-ФЗ «О коммерческой тайне»)
Коммерческая тайна
СЕРИЯВЕБИНАРОВ
УЦСБ:
Определимся с терминами
Защита информации
Защита информации представляет собой принятие
правовых, организационных и технических мер,
направленных на:
1) обеспечение защиты информации от неправомерного доступа,
уничтожения, модифицирования, блокирования, копирования,
предоставления, распространения, а также от иных
неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного
доступа;
3) реализацию права на доступ к информации
(статья 16 149-ФЗ)
СЕРИЯВЕБИНАРОВ
УЦСБ:
Определимся с терминами
Обязанность обладателя
информации ограниченного доступа –
обеспечить ее защиту!
СЕРИЯВЕБИНАРОВ
УЦСБ:
Определимся с терминами
DLP как средство защиты
информации
СЕРИЯВЕБИНАРОВ
УЦСБ:
Что такое DLP?
DLP-системы осуществляют
мониторинг различных
информационных каналов…
А как же нарушение тайны
личной жизни сотрудников?
СЕРИЯВЕБИНАРОВ
УЦСБ:
А это вообще законно?
Тайна личной жизни
СЕРИЯВЕБИНАРОВ
УЦСБ:
А это вообще законно?
Статья 23 Конституции РФ1. Каждый имеет право на неприкосновенность частной
жизни, личную и семейную тайну, защиту своей чести и
доброго имени.
2. Каждый имеет право на
тайну переписки, телефонных
переговоров, почтовых,
телеграфных и иных сообще-
ний.
Ограничение этого права
допускается только на основа-
нии судебного решения.
«На работе не должно быть личного»:
1. Введение регламентов и инструкций для сотрудников, в которых должно быть прописано, что никакой личной информации на рабочих ПК обрабатываться не должно
2. Создание политик допустимого использования и регламентов о мониторинге и контроле
Необходимо получение согласия на осуществление мониторинга и
контроля:1. Подписание сотрудниками
согласия, где указывается что сотрудник разрешает работодателю осуществлять мониторинг и контроль информационных потоков в определенных целях
2. Создание политик, в которых прописываются цели подобного мониторинга и контроля
Два способа сделать все
по закону
СЕРИЯВЕБИНАРОВ
УЦСБ:
А это вообще законно?
Как это бывает на
практике?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Немного реальных примеров
1. Разработанные уведомления\соглашения с сотрудниками на предмет осуществления мониторинга и контроля
2. Требования по работе с информацией ограниченного доступа.
3. Документированные требования по защите информации ограниченного доступа
4. Положения о мониторинге и контроле
5. Разработанная политика допустимого использования
6. Регламентированные процедуры обнаружения и реагирования на инциденты, выявленные с помощью использования DLP-системы
Что точно должно быть в
организации?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Законные основания
Обнаружен инцидент,
связанный с утечкой
безопасности
СЕРИЯВЕБИНАРОВ
УЦСБ:
Если все-таки случилось…
Разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника
ТК РФ ст.81 п.6 (в). Расторжение трудового договора по инициативе работодателя
По Трудовому Кодексу
Увольнениепостатье
Как можно наказать?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Законные последствия
Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе
УК РФ, Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
По Уголовному Кодексу
• Штраф
до 1.5 млн. рублей
• Исправительные работы
на срок до 2 лет
• Принудительные работы
на срок до 5 лет
• Лишение свободы
на срок до 5 лет
Как можно наказать?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Законные последствия
«Как обосновать необходимость
внедрения DLP ?»
СЕРИЯВЕБИНАРОВ
УЦСБ:
ИнфоБезопасник
Отлично!
Это же контроль
информационных
потоков!
Что мы имеем в виду,
когда говорим о DLP?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Различные аспекты DLP
Безопасник
О, возможность контроля
за сотрудниками!!
Что мы имеем в виду,
когда говорим о DLP?
Различные аспекты DLP
СЕРИЯВЕБИНАРОВ
УЦСБ:
Топ-менеджер
Это что такое? Сколько
стоит?
СКОЛЬКО-
СКОЛЬКО????
Что мы имеем в виду,
когда говорим о DLP?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Различные аспекты DLP
• Рост утечек по рынку (графики, таблички)
Приводят статистику
• Нет возможности выявлять утечки
• Об инцидентах узнаем от третьих лиц
• Отсутствие механизмов расследования
Говорят о проблемах
Как обычно проводят
защиту проекта или
бюджета?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Ну как-то так:
О реальных проблемах -
вскользь
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Стандартная реакция
руководства
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Что имеется в виду под конфиденциальной и чувствительной информацией?
Какая информация нуждается в защите?
Какие информационные потоки существуют в компании?
Какие сценарии утечек информации применимы к компании?
Какие риски существуют?
Надо ли защищать и контролировать? Каким образом?
Исследование или сбор недостающей информации/конкретики
Получить ответы на
вопросы
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Пример плохого анализа
рисков
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Пример хорошего анализа
рисков
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Абстрактный ущерб – в конкретные деньги!
(!) Нужны факты реальных собственных инцидентов
Результаты
пилотов
Что-то
случалось
Количественная оценка
рисков
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
1. Мы знаем наши данные:понимаем, что и где хранится, как обрабатывается и перемещается, кто имеет доступ
2. Мы понимаем ценность наших данныхценность данных и потенциальный ущерб от утечки рассчитаны вместе с бизнесом
3. Точно знаем, что хотим от процесса защиты от утечек(и от DLP-системы как части процесса)
4. Разработаны мероприятия по реагированию на инцидентыпродуманы и согласованы варианты взаимодействия
Итак, аргументы
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
5. Перейти к «избавлению от проблем»Что надо сделать Сколько это будет стоить
4. Подкрепить информацией «а что с проблемой делают конкуренты»
3. Подкрепить «комплайнсом» (если он есть)
2. Рассказать об ущербе (потенциальном ущербе)Количественная оценка Косвенный ущерб
1. Сообщить о проблеме Побольше фактов Конкретика, реальные примеры
Схема защиты ИБ-проекта
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
СЕРИЯВЕБИНАРОВ
УЦСБ:
Обоснование необходимости
Безопасность это — ?
СЕРИЯВЕБИНАРОВ
УЦСБ:
Итоги
СЕРИЯВЕБИНАРОВ
УЦСБ:
Гаврилов Вадим
ООО «УЦСБ»
www.USSC.ru
Александр Орда
ГК InfoWatch
www.infowatch.ru
Интегратор Сильных Решений