Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

пр Организационные и юридические аспекты использования DLP

4,660 views

Published on

Моя презентация с БИТ Урал 2016

Published in: Technology
  • Be the first to comment

пр Организационные и юридические аспекты использования DLP

  1. 1. Организационные  и   юридические  аспекты   использования  DLP-­‐систем ПРОЗОРОВ  АНДРЕЙ,  CISM,  ЧЛЕН  АРСИБ 2016-­‐04-­‐14 1
  2. 2. Зачем  это  надо? Это  помогает  снизить  юр.риски: • Возможность  использовать  в  Суде  (ТК  РФ,  УК  РФ)   информацию,  выявленную  с  использованием  DLP. • Существенно  повысить  вероятность  победы  в  Суде   (ТК  РФ,  УК  РФ) • Возможность  понимать  сильные  и  слабые  стороны,   конструктивно  общаться  с  HR,  Юристами  и  Руководством • Возможность  снизить  трудозатраты  (дисциплинарные   взыскания  и  судебные  издержки) 2016-­‐04-­‐14 2 А  еще  это  помогает  повысить  общий  уровень  ИБ  и эффективность  работы  DLP  
  3. 3. О  чем  эта  презентация? 1. Принципы  легального  использования  DLP 2. Регламентируем  работу  DLP  (документированные  положения) 3. Стратегия  аргументации  DLP (легализация) 4. Управление  инцидентами   • Общая  процедура  реагирования • Преследование  нарушителей  по  ТК  РФ  и  УК  РФ • Увольнение  за  разглашение  охраняемой  законом  тайны 5. DLP для  профи:   ◦ Дилемма  DLP:  блокировать  или  нет? ◦ Обучение  и  повышение  осведомленности ◦ Метрики  и  KPI 6. Дополнительные  материалы 2016-­‐04-­‐14 3
  4. 4. Принципы  легального  использования  DLP 1. Усиливаем  «бумажную  безопасность»   (документированные  правила) 2. Открыто  контролируем  лишь  корпоративные ресурсы  и  сервисы 3. Инциденты  необходимо  закрывать   (доводим  до  «управленческого  решения») 4. Понимаем  судебную  практику  (увольнение  за  разглашение),   знаем  «типовые  ошибки»  и  избегаем  их 5. Открыто  взаимодействуем  с  HR,  юристами  и   руководителями  ключевых  подразделений 2016-­‐04-­‐14 4
  5. 5. Документированные  положения: 1. Необходимы  по  закону  (ТК  РФ,  98-­‐ФЗ,  152-­‐ФЗ  и  пр.) 2. Определяют  желаемое  поведение/состояние 3. Дают  возможность  контроля  их  выполнения 4. Показывают  (Суду,  регуляторам),  что  у  вас  все   хорошо  с  ИБ,  и  вы  ей  занимаетесь 5. Показывают  руководству  вашу  работу  JJJ 2016-­‐04-­‐14 5
  6. 6. 2016-­‐04-­‐14 6
  7. 7. Положения,  необходимые  для  DLP 1. Перечень  информации  ограниченного  доступа   (ПДн,  КТ,  СТ,  БТ,  ВТ,  и  пр.) 2. Запрет  разглашения  информации  ограниченного  доступа 3. Положения  об  ответственности  работников 4. Правила  обработки  и  защиты  информации 5. Запрет  хранения  личной  информации  на  корп.устройствах 6. Правила  обработки  и  защиты  информации  регулярно  контролируются   с  использованием  средств  мониторинга 7. Сотрудники  подразделения  ИБ  обеспечивают  контроль  выполнения   правил  и  реагирование  на  инциденты  ИБ 8. Система  защиты  информации  соответствует  актуальным  угрозам,  а   также  требованиям  и  рекомендация  регулирующих  органов 2016-­‐04-­‐14 7
  8. 8. Общий  комплект  документов  (для  Суда) 2016-­‐04-­‐14 8
  9. 9. Этим  пугают…  Бууу!!! 2016-­‐04-­‐14 9 Конституция  РФ  статья  23   1)  Каждый  имеет  право  на  неприкосновенность  частной  жизни,   личную и  семейную  тайну,  защиту  своей  чести и  доброго  имени. 2)  Каждый  имеет  право  на  тайну  переписки,  телефонных   переговоров,  почтовых,  телеграфных  и  иных  сообщений.   Ограничение  этого  права  допускается  только  на  основании   судебного  решения. УК  РФ • Статья  137.  Нарушение  неприкосновенности  частной  жизни   • Статья  138.  Нарушение  тайны  переписки,  телефонных   переговоров,  почтовых,  телеграфных  или  иных  сообщений
  10. 10. Почему  можно  использовать  DLP? 1. По  149-­‐ФЗ  (ст.6)  у  обладателя  информации  (организация)  есть  права   разрешать  и  ограничивать  доступ  к  информации,  определять  порядок  и   условия  такого  доступа,  принимать  меры  по  защите  информации… 2. Работодатель  не  предполагает  наличие  личной  информации  на   корпоративных  устройствах  (это  в  явном  виде  запрещено).  Работники   уведомлены,  что  используются  средства  мониторинга  и  контроля 3. DLP,  как  мера  защиты,  определена  регулятором  (Приказы  ФСТЭК  России   №21/№17,  мера  ОЦЛ.5) 4. Изучите  судебную  практику! Уже  есть  дела,  выигранные  работодателем,   контролирующим  рабочую  переписку  и  использующим  DLP 5. Придерживайтесь  стратегии  аргументации  при  использовании  DLP   (см.далее) 2016-­‐04-­‐14 10
  11. 11. Стратегия  аргументации  (DLP) 2016-­‐04-­‐14 11 1. Работодатель, как обладатель (владелец) информации, информационных систем и сервисов, обладает правом предъявлять требования по их использованию и контролировать их выполнение. В организации определен Перечень информации ограниченного доступа, Правила работы с информацией ограниченного доступа, Политика допустимого использования (средств обработки и ИТ-­‐сервисов). В частности, в явном виде запрещена передача информации ограниченного доступа с использованием персональных средств и систем (например, личной электронной почты или мессенджеров, не утвержденных в организации). 2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочие станции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сеть Интернет). 3. Работники уведомлены, что правила использования корпоративной информации и информационных ресурсов регулярно контролируются с использованием средств мониторинга. 4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечивает тайну связи для передачи информации по своим корпоративным каналам. О возможности мониторинга и контроля корпоративной переписки известно работникам (см.п 3).
  12. 12. …продолжение 2016-­‐04-­‐14 12 5. У работодателя отсутствует умысел нарушения тайны частной жизни работников. Предполагается, что на контролируемыхресурсах таких данных нет. 6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а к работнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудового распорядка. 7. Обнаруженная личная информация не будет использована (по крайней мере официально) при принятии решений. 8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации, хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже при получении такой возможности (по крайней мере официально). 9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты. Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимости использовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанных со служебной деятельностью. 10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мере официально) при принятии решений.
  13. 13. Поговорим  про  управление  инцидентами По ГОСТ 27000-­‐2012 • Событие  ИБ – выявленное  состояние  системы,   услуги  или  состояние  сети,  указывающее  на   возможное  нарушение  политики  обеспечения  ИБ,   нарушение  или  отказ  мер  и  средств  контроля  и   управления  или  прежде  неизвестная  ситуации,   которая  может  иметь  значение  для  безопасности. • Инцидент  ИБ – одно  или  несколько  нежелательных   или  неожиданных  событий  ИБ,  которые  со   значительной  степенью  вероятности  приводят  к   компрометации  бизнеса  и  создают  угрозы  для  ИБ. 2016-­‐04-­‐14 13
  14. 14. Процедура  упр.инцидентами  +  ТК  РФ 2016-­‐04-­‐14 14 1.Обнаружение  и  регистрация  событий  системой  DLP 2.Выявление  инцидентов 4.Расследование  инцидента 5.Реагирование  на  инцидент 6.Анализ  причин  инцидента  и  «полученных  уроков» 3.Оперативное  реагирование  на   инцидент 6 мес. 1  мес.
  15. 15. Спец.инструменты  расследования 2016-­‐04-­‐14 15 Важнейшими  элементами  DLP   становятся  Архив всех  сообщений  и   Инструменты работы  с  ним
  16. 16. 2016-­‐04-­‐14 16 Инциденты  необходимо  закрывать   (доводим  до  «управленческого  решения»)
  17. 17. Модель  принятия  решения  по  инцидентам 2016-­‐04-­‐14 17 1. Какова  величина  ущерба? Крупный  – 6;  Неизвестно  или  пока  нет,  но  может  быть  – 3;  Ущерба  нет  – 1 2. Выявлен  ли  умысел  сотрудника?   Да  – 3;  Неизвестно  – 1;  Нет,  инцидент  по  ошибке  – 0 3. Какой  уровень  доверия  к  сотруднику? Низкий  – 3;  Обычный  – 1;  Высокий  – 0 4. Были  ли  у  сотрудника  инциденты  до  этого?   Да  – 2;  Нет  – 0 5. Какова  вероятность,  что  инцидент  повториться  у  этого  сотрудника? Высокая  – 3;  Средняя  (скорее  нет,  маловероятно)  – 1;  Низкая  – 0 Если  сумма  баллов  до  6  – вариант  А;  6-­‐12  – вариант  Б;  13  и  больше  – вариант  В
  18. 18. Решение  по  инцидентам  утечки 2016-­‐04-­‐14 18 1. Перевод  в  группу  «Особый  контроль» 2. Получение  объяснительной 3. Профилактическая  беседа 4. Лишение  благ  и  привилегий (втч  и  лишение  прав  доступа) 5. Дисциплинарные  взыскания: ◦ замечание ◦ выговор ◦ увольнение  по  соответствующим  основаниям   6. Увольнение  по  инициативе  работника  /  по  соглашению  сторон 7. Возмещение  ущерба 8. Уголовное  преследование 9. Прочее Б)  По  решению  руководства  и  HR В)  По  решению  руководства, HR,  юристов  и  ИБ.   Необходимо  четкое  понимание   процедур  и  высокий  уровень   «бумажной  безопасности» А)  По  решению  ИБ
  19. 19. Реагирование  на  инциденты 2016-­‐04-­‐14 19 HR  и юристы ИБ  /  СБ   /  ЭБ Руководство Не  слишком  надейтесь  на  других! Обычно  подразделения    живут  в  духе   «Претензий  к  пуговицам  есть?»…
  20. 20. 2016-­‐04-­‐14 20 — Где  вы  видите  себя  через  5  лет?   — Ну  у  вас  и  шутки,  товарищ  следователь
  21. 21. 2016-­‐04-­‐14 21 Наказание  по  ТК  РФ Наказание  по  УК  РФ Мотив  работодателя Хотим  наказать  быстро  и   просто,  нужен  прецедент Хотим  сильно  наказать   (большой  ущерб), нужен   громкий  прецедент Основание ТК  РФ  ст.81 УК  РФ  ст.183,  185.5, ст.159,163 ст.272-­‐274 Возмещение  ущерба Обычно нет По  решению  суда,  но  надо   доказать  величину  ущерба Трудозатраты Низкие Средние Общая  длительность До  1  месяца Может  быть  несколько  лет Процедура Простая,  по  ТК  РФ Сложная,  по  УПК  РФ Взаимодействие  с   правоохранительными   органами Нет МВД  России /  ФСБ  России Сложность  сбора доказательной  базы Низкая,  решение  принимает   внутренняя  комиссия Высокая,  необходимо  соблюсти   все  формальные  процедуры
  22. 22. 2016-­‐04-­‐14 22 Увольнение   по  инициативе  работника Увольнение   по  соглашению сторон Увольнение   по  инициативе  работодателя Основание ТК  РФ  ст.80 ТК  РФ  ст.78 ТК  РФ  ст.81 За  разглашение  – ст.81  п.6  в) Мотив  компании Без  сложностей  расстаться  с   нелояльным  сотрудником Расстаться  с  работником,   минимизировать   возможные  риски Наказать,  создать  прецедент для   других  работников Ограничение  по   срокам Минимальное  (2  недели),  но   работник может  отозвать   заявление Нет Не  позднее  6  месяцев  со  дня   совершения проступка, Не  позднее  1  месяца  со  дня   обнаружения Обида  сотрудника Обычно  нет, если  увольнение   без  принуждения Обычно  нет, при  хороших   условиях соглашения Обычно  да Желание   оспорить  в  суде Возможно,  если  было принуждение  к  увольнению Обычно желания  нет.  Суд  на   стороне  работодателя Да,  особенно  если  есть сильные   аргументы  (ошибки  при   увольнении,  принуждение,  оговор) Что  другие работники   думают? «Компания  не  хочет  проблем» «За  сотрудником  сила,   компания  не  хочет   проблем» «За  компанией  сила,  могут наказать»
  23. 23. «Идеальная»  процедура  увольнения  по  ст.81  п.6  в) 2016-­‐04-­‐14 23 № Шаги Ключевое   подразделение Документы 1. Обнаружение  инцидента,  сбор   дополнительной  информации ИБ Краткий  отчет  об  инциденте, Служебная  записка 2. Обсуждение  возможных вариантов   реагирования Руководство  и  HR Приказ  о  проведении  служебного расследования  (о  создании  Комиссии) 3. Запрос  объяснительной записки  от   работника  (желательно  под  роспись) HR Объяснительная  записка  /  Акт  об  отказе 4. Заседание  Комиссии (хорошей  практикой  является  заседание   2х  комиссий:  по  расследованию  и  по   кадровым  вопросам) HR, ИБ Протокол(-­‐ы)  заседания  комиссии (краткое  описание инцидента,  оценка  тяжести   проступка,  обстоятельства  дела,  величина   ущерба,  решение) 5. Принятие  решения  об  увольнении,   издание  соответствующего  приказа HR,  руководство Приказ   о  применении   дисциплинарного   взыскания  /  Акт  об  отказе  ознакомления Шаблоны  документов  -­‐ http://www.infowatch.ru/iwc_files/12803  
  24. 24. Про  доказательства  для  Суда 2016-­‐04-­‐14 24 Важные: По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебная записка об инциденте и Протокол заседания комиссии, рассматривающей инцидент. В документах следует указать краткое описание инцидента, оценку тяжести и обстоятельства совершенного проступка. По  УПК:  Показания  потерпевшего,  свидетеля,  Заключение  и  показания  эксперта   и  Заключение  и  показания  специалиста,  Вещественные  доказательства. Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчету рекомендуется приложить краткое описание решения с указанием сертификатов (подойдет брошюра от производителя).
  25. 25. Из-­‐за  этого  проигрывают  суды:  ошибки 1. Нарушение  процедуры  увольнения  (сроки  и  документы)   2. Отсутствие  факта  разглашения  (зависит  от  канала  утечки) 3. Отсутствие  режима  защиты  информации  (особенно  КТ): • Отсутствие  режима  КТ  (не  все  требования  выполнены) • Отсутствие  перечня  информации  ограниченного  доступа  или  он  не  полный   • Внесение  в  перечень  сведений,  которые  не  могут  составлять  КТ • Отсутствие  документированных  обязательств  о  неразглашении • Отсутствие  документированных  требований  по  обработке  и  защите  информации  ограниченного  доступа • Отсутствие  подтверждения  ознакомления  работников  с  требованиями • Отсутствие  разграничения  доступа  к  информации  (все  имеют  доступ  ко  всему) 4. «Детективные  игры»   (взлом  личной  эл.почты  и  аккаунтов  в  соц.сетях,  досмотр  личных  вещей,  скрытая  аудио/видео  съемка,   выбивание  признания,  принуждение  свидетелей  и  пр.) 5. Слабая  аргументация  для  Суда 2016-­‐04-­‐14 25
  26. 26. Принципы  легального  использования  DLP 1. Усиливаем  «бумажную  безопасность»   (документированные  правила) 2. Открыто  контролируем  лишь  корпоративные ресурсы  и  сервисы 3. Инциденты  необходимо  закрывать   (доводим  до  «управленческого  решения») 4. Понимаем  судебную  практику  (увольнение  за  разглашение),   знаем  «типовые  ошибки»  и  избегаем  их 5. Открыто  взаимодействуем  с  HR,  юристами  и   руководителями  ключевых  подразделений 2016-­‐04-­‐14 26 И  еще   раз…
  27. 27. И  еще  3  слайда  «DLP  для  профи» • Дилемма  DLP:  блокировать  или  нет? • Обучение  и  повышение  осведомленности • Метрики  и  KPI 2016-­‐04-­‐14 27
  28. 28. Дилемма  DLP:  блокировать  или  нет? 2016-­‐04-­‐14 28 Блокировать Только  мониторить • Возможность  защиты  действительно   важной  информации  от  случайной   утечки • Наличие  формальных  требований   (напр.PCI DSS) • «Контролируемая  утечка» • Наказание только  за  нарушение   правил  обработки  и  защиты   информации  (слабое) • Недовольство  пользователей • Меньше  рисков  нарушения работы   бизнес-­‐процессов • Возможность  наказания  за   разглашение  информации   ограниченного  доступа
  29. 29. Обучение  и  повышение  осведомленности 2016-­‐04-­‐14 29 Кто? Тематики   Рядовые  пользователи • Правила  работы  с  информацией и  средствами  обработки • Базовые  требования  по  защите  информации • Кейсы  (типовые  ошибки,  соц.инженерия) • Ответственность ИТ  и  ИБ-­‐специалисты • Процедуры  обнаружения и  реагирования  на  инциденты   • Расследование  инцидентов • Сбор  цифровых  доказательств • Работа  со  средствами  мониторинга  и  защиты  информации HR  и  юристы • Вопросы  подбора, развития,  обучения,  оценки,  аттестации,  мотивации,   взысканий,увольнения персонала • Судебная  практика • Развитие  корпоративной  культуры • Compliance (соблюдение  требований) Менеджмент • Кейсы  (инциденты и  ущерб) • Базовые  рекомендации  по  защите  информации
  30. 30. Метрики  и  KPI 1. Трудозатраты  при  работе  с  системой  DLP:   • Настройка  политик • Мониторинг  событий  и  расследование  инцидентов 2. Количество  выявленных  событий  /  инцидентов:  по  типу  инцидента,  по  критичности,  по  сработавшей   политике,  по  контролируемому  каналу,  по  персоне/группе и  пр. 3. %  ложных  срабатываний  (FP  и  FN) 4. Время,  затраченное  на  поиск,  агрегацию  и  анализ  информации  о  персоне/группе 5. Среднее  время  реагирования  на  инцидент  (анализ,  управленческое  решение,  закрытие) 6. Трудозатраты  при  реагировании  на  инциденты  (рабочая  группа) 7. Кол-­‐во  человек,  прошедших  внутреннее  обучение  по  вопросам  ИБ  (обработка  информации  и  защита) 8. Количество  дисциплинарных  взысканий   9. Величина  нанесенного  и/или  предотвращенного  ущерба 10. … 2016-­‐04-­‐14 30
  31. 31. Что  еще  посмотреть  по  теме? 2016-­‐04-­‐14 31http://80na20.blogspot.ru
  32. 32. Прозоров  Андрей,  CISM,  член  АРСИБ Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave 2016-­‐04-­‐14 32 Спасибо  за  внимание!

×