Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
ÎÒ ÐÅÄÀÊÖÈÈ                                     ÊÎËÎÍÊÀ ÐÅÄÀÊÒÎÐÀ                                     Уважаемые читатели! ...
ÒÅÌÀ ÍÎÌÅÐÀÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉî òîì, êàê ïîâëèÿëè èçìåíåíèÿ çàêîíîäàòåëüñòâà íà ÈÁ ÁÑ ___________ 9…ËÅÃÊÎ Â ÁÎÞCase studyÈÃÎÐ...
ÑÂÎÄÊÈ íîâîñòèDLP-RUSSIA´2012 –ÍÎÂÛÉ ÂÇÃËßÄ ÍÀ DLPЦенность информации в глазах ее владельцев все чаще обретает денежное вы...
ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþÏÎÄÂÎÄß ÈÒÎÃÈпрошедшей конференции DLP Russia, мы приводим выдержки из интервью с ключевымэкспертами р...
ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ           Сеть зрелости DLP                                  Обнаружение          Классификация Консо...
ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ                     3 ÂÎÏÐÎÑÀ ÍÀÒÀËÜÅ ÊÀÑÏÅÐÑÊÎÉ                     Ãåíåðàëüíûé äèðåêòîð êîìïàíèè In...
ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ                                        3 ÂÎÏÐÎÑÀ ÀÐÒÅÌÓ ÑÛ×ÅÂÓ                                       ...
ÒÅÌÀ ÍÎÌÅÐÀÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉî òîì, êàê ïîâëèÿëè èçìåíåíèÿçàêîíîäàòåëüñòâà íà ÈÁ ÁÑ
ÒÅÌÀ ÍÎÌÅÐÀ                                         ÁÀÍÊÈ ÁÎÃÀÒÛÅ –                                         ÏÓÑÒÜ ÏËÀÒßÒ! ...
ÒÅÌÀ ÍÎÌÅÐÀУказание 2831-У обязывает участников национальной платежной системы(НПС) регулярно информировать Банк России об...
ÒÅÌÀ ÍÎÌÅÐÀÒÐÅÁÎÂÀÍÈß ÎÏÅÐÀÒÎÐÎÂ ÏËÀÒÅÆÍÛÕ ÑÈÑÒÅÌВернемся к Положению 382-П. Давайте его откроем и посмотрим на пункты    ...
ÒÅÌÀ ÍÎÌÅÐÀÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÎ Î ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕВсе? Опять нет. Немалый объем переводов денежных средств связан с        ...
ÒÅÌÀ ÍÎÌÅÐÀ                                        Число нормативных актов по ИБ по отраслям (с 1 июня 2011 года)         ...
…ËÅÃÊÎ Â ÁÎÞCase studyÈÃÎÐÜ ÁÓÐÖÅ ÈÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍî ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑÈËÜß ÑÀ×ÊÎÂîá óòå÷...
...ËÅÃÊÎ Â ÁÎÞ case study                                        ÐÅÀËÈÇÀÖÈß ÒÐÅÁÎÂÀÍÈÉ                                    ...
...ËÅÃÊÎ Â ÁÎÞ case studyСейчас на рынке услуг по информационной безопасности существует много предложений по выполнению к...
...ËÅÃÊÎ Â ÁÎÞ case study                                         ÓÒÅ×ÊÈ ÊÎÍÔÈÄÅÍÖÈÀËÜÍÎÉ                                 ...
...ËÅÃÊÎ Â ÁÎÞ case studyПочему эти три актива представляют максимальный интерес для компью-        Последним активом, кот...
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Журнал "Безопасность Деловой Информации" №1
Upcoming SlideShare
Loading in …5
×

Журнал "Безопасность Деловой Информации" №1

2,713 views

Published on

Первый выпуск журнала ассоциации DLP-Эксперт об актуальных проблемах информационной безопасности.

Published in: Spiritual
  • Be the first to comment

  • Be the first to like this

Журнал "Безопасность Деловой Информации" №1

  1. 1. ÎÒ ÐÅÄÀÊÖÈÈ ÊÎËÎÍÊÀ ÐÅÄÀÊÒÎÐÀ Уважаемые читатели! Перед вами первый выпуск нового журнала «!Безопасность деловой информации», идея которого: интересно рассказать о самых последних трендах информационной безопасности. Хочется верить, что наша задумка удалась, тем более что работа над этим номером шла парал- лельно с подготовкой к конференции DLP-Russia. У нас была возможность изучить и проанали- зировать самые актуальные темы ИБ, часть из которых мы попросили раскрыть наших авторов в этом выпуске. Первый номер получился с «банковским» уклоном: в эпоху, когда информация приобрела вполне реальную ценность, вопрос о её защите в банках стоит наиболее остро.ÍÀÒÀËÜß ÌÓÒÅËÜ Защита от внешних атак, случаев мошенничества в системах дистанционного банковского обслу- живания, утечек данных о пользователях – вот краткое содержание этого номера.Главный редактор журнала«!Безопасность деловой информации» Надеюсь, что ваше чтение будет интересным и полезным! ÀÂÒÎÐÛ ДЕНИС МИХАИЛ НАТАЛЬЯ АНДРАШ ДМИТРИЙ КОНСТАНТИН ГУНДОРИН ЕМЕЛЬЯННИКОВ КАСПЕРСКАЯ ЧЕР КУЗНЕЦОВ МАЛЮШКИН АЛЕКСЕЙ МИХАИЛ ИЛЬЯ ОЛЕГ АРТЕМ ЮРИЙ ЛУКАЦКИЙ ПЛАХУТА САЧКОВ СМОЛИЙ СЫЧЕВ ЧЕРКАС ÂÍÈÌÀÍÈÅ! ÏÐÈÃËÀØÀÅÌ ÀÂÒÎÐÎÂ Ê ÑÎÒÐÓÄÍÈ×ÅÑÒÂÓ ÍÀ ÁÅÇÂÎÇÌÅÇÄÍÎÉ ÎÑÍÎÂÅ По вопросам размещения статей и рекламных материалов просим обращаться к главному редактору издания Наталье Мутель: Тел.: 8 903 724 33 10 e-mail: pr@dlp-expert.ru2 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
  2. 2. ÒÅÌÀ ÍÎÌÅÐÀÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉî òîì, êàê ïîâëèÿëè èçìåíåíèÿ çàêîíîäàòåëüñòâà íà ÈÁ ÁÑ ___________ 9…ËÅÃÊÎ Â ÁÎÞCase studyÈÃÎÐÜ ÁÓÐÖÅÂ È ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍî ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑ ________________ 15ÈËÜß ÑÀ×ÊÎÂîá óòå÷êàõ èíôîðìàöèè ___________________________________________ 17ÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂî ââåäåíèè ðåæèìà êîììåð÷åñêîé òàéíû __________________________ 21ÂÇßÒÛÅ ÂÛÑÎÒÛSuccess storiesÎËÅà ÑÌÎËÈÉîá îïàñíîñòè âíóòðåííèõ óãðîç äëÿ áàíêîâ _________________________ 24ÀÊÀÄÅÌÈß ÃÅÍØÒÀÁÀÎáçîðû, àíàëèòèêà, òðåíäûÄÌÈÒÐÈÉ ÊÓÇÍÅÖÎÂî áåçîïàñíîñòè ïðè ðàáîòå ñ ÄÁÎ __________________________________ 28ÄÅÍÈÑ ÃÓÍÄÎÐÈÍ È ÌÈÕÀÈË ÏËÀÕÓÒÀî çàùèòå BYOD â êðåäèòíûõ îðãàíèçàöèÿõ _________________________ 32ÊÓÐÑ ÌÎËÎÄÎÃÎ ÁÎÉÖÀÎñíîâû ÈÁÞÐÈÉ ×ÅÐÊÀÑîá èíôîðìàöèîííîé áåçîïàñíîñòè â ýïîõó compliance ______________ 35
  3. 3. ÑÂÎÄÊÈ íîâîñòèDLP-RUSSIA´2012 –ÍÎÂÛÉ ÂÇÃËßÄ ÍÀ DLPЦенность информации в глазах ее владельцев все чаще обретает денежное выраже-ние. Это касается и государственных организаций, и коммерческих компаний. Всепонимают, что потеря конфиденциальной информации грозит не только ущербом длярепутации (который непросто оценить), но и прямыми финансовыми потерями.21 сентября 2012 года в центре Digital October под эгидой ассоциации безопасности поделился бизнес-консультант по безопасности Cisco Алексей«DLP-Эксперт» прошло одно из самых значимых мероприятий по пробле- Лукацкий. С докладами выступили представители ЦБ РФ, Microsoft, Oracle,мам защиты корпоративной информации – DLP-Russia’2012. В этом году Group-IB. Все выступления пленарной части можно увидеть на сайтеорганизаторы DLP-Russia расширили охват аудитории, адресовав мероприя- конференции.тие не только специалистам по информационной безопасности, но ивладельцам бизнеса, высшему менеджменту компаний. Генеральным спонсором конференции стала компания InfoWatch, котораяПленарная часть конференции была посвящена наиболее заметным тенден- уже несколько лет подряд поддерживает данное мероприятие и принимаетциям в сфере ИБ. С докладами выступили Наталья Касперская, руководитель самое активное участие в его организации. В качестве спонсоров конферен-ГК InfoWatch, Андраш Чер, ведущий аналитик Forrester Research, Владимир ции выступили ведущие отечественные и международные компании-про-Андриенков, исполнительный директор ООО «Трафика». изводители программного обеспечения и оборудования для защитыЗаседания секций прошли в три потока: «Бизнес, законодательство, практи- конфиденциальной информации: Symantec, Positive Technologies, «Инфоси-ка», «Главные тренды ИБ» и «Безопасность информации в современном стемы Джет», «Лаборатория Касперского», «Информзащита».мире». В ходе секций представители аналитических компаний, разработчи- О различных ИБ-решениях и практике их применения представителики систем защиты и практикующие эксперты рассказали о подходах к компаний рассказали в ходе продуктовых докладов. В демозоне былаобеспечению безопасности информации в эпоху стремительного роста организована выставка, где разработчики получили возможность «вживую»объемов данных внутри компаний, тотальной «мобилизации» современно- представить собственные продукты потенциальным клиентам.го бизнеса, «безграничности» информационного пространства. Конференция прошла при поддержке Генерального медиапартнера –Особого внимания заслуживает доклад М. Емельянникова, управляющего делового портала BFM.RU и Генерального ИТ-партнера – еженедельника PCпартнера консалтингового агентства «Емельянников, Попова и партнеры». WEEK. Золотыми информационными партнерами конференции сталиМихаил Юрьевич затронул тему защиты интересов технологичного бизнеса портал CNEWS, Национальный банковский журнал, журнал IT Manager,в суде. Выступление было озаглавлено так: «История одного судебного журнал CIO.процесса: а если бы была DLP-система?». Информационные партнеры: портал anti-malware.ru, портал comnews.ru,О том, как показать бизнесу преимущества систем DLP, рассказал Кирилл Computerworld, RISSPA, портал Security Lab, журналы BIS Journal, PC Magazine,Викторов, начальник отдела Центра Информационной безопасности «Инфо- Аналитический банковский журнал, Банковское обозрение, ИКС, Директорсистемы Джет». Своим видением новых тенденций в информационной информационной службы, Персональные данные, ПЛАС.4 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
  4. 4. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþÏÎÄÂÎÄß ÈÒÎÃÈпрошедшей конференции DLP Russia, мы приводим выдержки из интервью с ключевымэкспертами российского и мирового рынка ИБ, принявшими участие в прошедшеммероприятии. 3 ÂÎÏÐÎÑÀ ÀÍÄÐÀØÓ ×ÅÐÓ Âåäóùèé àíàëèòèê Forrester Research Андраш, что сейчас происходит с общемировым рынком DLP? Каковы последние тенденции? Куда эволюционирует рынок? А. Чер: DLP движется от принудительного применения сетевых и end-point-решений к многоуровневому контро- лю, от одного большого продукта к набору Endpoint, Email, Web, Network/NAV и Gateway решений и процессов (обнаружение, категоризация, консолидация, создание политик, принудительное применение). Среди других трендов следует упомянуть контекстно ориентированные DLP-решения, DLP, распознающие подлинность документов, авторизация как часть расширенных политик, включающих DLP на разветвленных предприятиях, а также использование DLP на мобильных устройствах. Где сейчас на карте DLP располагается Россия? Сильно ли мы отличаемся от остального мира или шагаем в ногу с другими странами? ÀÍÄÐÀØ ×ÅÐ А. Чер: В гиперподключенной плоской сети, которой мир по сути является сегодня, все страны и организации Forrester Research нуждаются в продвинутых технологиях, таких как DLP. И не важно, где вы находитесь. А вот защита частной жизни в каждой стране организована по-своему. В России требования к защите данных являются даже более строгими, чем в других странах мира, видимо, по причине большого числа хакеров. Требуется локализация продуктов и услуг. Если бы у Вас была своя компания, как бы Вы организовали защиту конфиденциальной информации от утечки? А. Чер: Я бы использовал сеть зрелости DLP.Сеть зрелости DLP смотрите на странице 6!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 5
  5. 5. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ Сеть зрелости DLP Обнаружение Классификация Консолидация Дизайн Усиление Защита конечных точек Защита электронной почты Согласно сети зрелости, DLP состоит из 25 Защита web самостоятельных управляемых проектов. Защита сети Защита шлюзов Высокая степень зрелости Низкая степень зрелости Характеристики уровней зрелости от Forrester Research Уровни Характеристики 0 — Нулевой Процессы управления ИБ в организации отсутствуют, равно как и осознание существования проблем ИБ. Факт осознания организацией существования проблем обеспечения ИБ организацией документально 1 — Начальный зафиксирован. Однако используемые процессы управления ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к управлению ИБ не выработан. Процессы управления ИБ осуществляются различными людьми, решающими одну и ту же задачу. 2 — Повторяемый Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако 3 — Установленный порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. Процессы 4 — Управляемый управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации управления ИБ используются частично и в ограниченном объеме. Процессы управления ИБ проработаны до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. 5 — Оптимизированный Организация использует комплексные меры защиты и способна к быстрой адаптации при изменениях в окружении и бизнесе. Основные принципы защиты: обнаружение, категоризирование, классифицирование, шифрование, соотнесение рисков с теми или иными элементами данных, а также использование контекста (геолокация, приложение, определение подлинности) для уточнения атрибутов данных.!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 6
  6. 6. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ 3 ÂÎÏÐÎÑÀ ÍÀÒÀËÜÅ ÊÀÑÏÅÐÑÊÎÉ Ãåíåðàëüíûé äèðåêòîð êîìïàíèè InfoWatch (ãåíåðàëüíûé ñïîíñîð êîíôåðåíöèè DLP-Russia´2012) В этом году DLP-Russia отпраздновала первый маленький юбилей – конференции 5 лет. Можно подвести небольшой итог – насколько успешно развивается это мероприятие? Чем можно похвастаться? Что еще предстоит сделать? Н. Касперская: Конференция DLP-Russia начиналась как первое и единственное мероприятие на российском рынке, посвященное защите конфиденциальной информации от утечек. 5 лет назад DLP-рынок только зарождал- ся, прошло всего 2 года с момента, когда IDC обозначил этот рынок термином DLP. Поэтому задачей данного мероприятия была максимальная популяризация темы борьбы с утечками кофиденциальных данных. Сегодня можно сказать, что конференция выполнила поставленную перед ней задачу на все 100%! Рынок DLP существен- но вырос, но вместе с ним возросла и конкуренция. Многие российские компании обратились к разработке DLP-ÍÀÒÀËÜß ÊÀÑÏÅÐÑÊÀß решений. Так хорошо мы популяризировали эту тему! Сегодня мы видим, что многие конкурирующие компанииInfoWatch стали организовывать свои DLP-мероприятия, штамповать отчеты по типу «Глобального исследования утечек», выпускаемого компанией InfoWatch. На рынке появилось множество экспертов, реальных и мнимых. За 5 лет у конференции DLP-Russia сформировались устойчивая аудитория и пул спикеров-экспертов, мероприятие стало авторитетным брендом в ИБ-сообществе. Говоря о планах дальнейшего развития DLP-Russia, я хочу отметить устойчивый тренд в сторону расширения тематики мероприятия в смежных с DLP технологических направлениях, таких как защита информации в конечных точках, антивирусная безопасность, анализ и управление репутацией компании, контроль приложений и др. Как за это время эволюционировала компания InfoWatch? В каком направлении сейчас развиваются DLP-технологии компании? Н. Касперская: В это время InfoWatch преимущественно занималась развитием своих DLP технологий. Однако, согласно тенденции рынка в сторону объединения DLP со смежными технологиями, мы диверсифицировали свой бизнес. В частности в 2010 году компания InfoWatch вместе с компанией «Ашманов и партнеры» создала дочернее предприятие «Крибрум», разрабатывающее сервис для мониторинга и анализа репутации компаний, брендов, персон в интернет-пространстве. В 2011-м с приобретением немецкой компании cynapspro GmbH (позднее преобразована в EgoSecure), которая разрабатывает продукты в области Endpoint protection, InfoWatch преврати- лась в холдинг. Кроме того, компания приобрела стартап по разработке программного обеспечения для контроля приложений, а также развивает несколько новых проектов в области ИБ. Что касается развития технологий, то в эти годы InfoWatch занималась модернизацией своего флагманского DLP- продукта InfoWatch Traffic Monitor. Мы полностью поменяли платформу этого решения, упростили его интеграцию с другими программными продуктами. Кардинальные изменения технологии заняли много времени, однако в итоге InfoWatch Traffic Monitor стал более модульным и комплексным решением. Мы рассчитываем продемон- стрировать заказчикам плоды нашего труда в начале 2013 года. Может ли современное предприятие обойтись без DLP-систем? Что в таком случае будет происходить с конфиденциальной информацией компании? Н. Касперская: Современное предприятие, которое имеет какую-либо конфиденциальную информацию, без системы ее защиты в настоящее время обойтись не может. Компания, не владеющая конфиденциальными данными, может, но я сомневаюсь, что сегодня такие компании существуют! Современные DLP-системы не только защищают конфиденциальную информацию компаний от утечек, но и позволяют навести порядок во всем объеме информации, существующей в компании. Ведь это серьезная проблема: примерно раз в три года объем неструктурированной информации в компаниях удваивается. DLP-система помогает наводить ясность в огромном массиве корпоративных данных: что происходит с информацией в компании, какая информация является конфиденциальной, как она хранится и используется. Это лучший способ навести информационный порядок на предприятии.7 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
  7. 7. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ 3 ÂÎÏÐÎÑÀ ÀÐÒÅÌÓ ÑÛ×ÅÂÓ Çàìåñòèòåëü íà÷àëüíèêà Ãëàâíîãî óïðàâëåíèÿ áåçîïàñíîñòè è çàùèòû èíôîðìàöèè Öåíòðàëüíîãî áàíêà Ðîññèè Каковы, на Ваш взгляд, основные угрозы безопасности информации в платежных системах и уязвимости этих систем? А. Сычев: Сейчас речь идет скорее не об угрозах платежным системам, а о том, что клиенты платежных систем не понимают, что происходит с их платежами с точки зрения безопасности. Для данной области характерна трансгра- ничность, а законодательство в области защиты платежных систем на сегодняшний день крайне несовершенно, и это основная угроза! Никто никогда не задумывался о том, что хищения денежных средств могут переместиться из реального мира в виртуальный, и здесь возникают совершенно другие методы ведения следствия, сбора доказательной базы, представления материалов в суде. ÀÐÒÅÌ ÑÛ×Å Какие изменения в процессах и процедурах защиты информации произошли Главное управление безопасности и защиты информации Центрального в Центральном банке в результате принятия летом текущего года Правительством банка России РФ «Положения о защите информации в платежной системе»? А. Сычев: Во-первых, согласно данному Положению у Центрального банка появились определенные права и обязанности, и это привело к тому, что ЦБ пересмотрел свое видение вопросов регулирования платежных систем. Этот вопрос вошел в зону ответственности соответствующего департамента нашего банка. Какое место занимают DLP-решения в процедуре защиты информации в платежных системах? Возможно ли их широкое применение в данной области? А. Сычев: Платежные системы – это маленькая часть бизнес-процессов кредитных организаций и организаций, которые занимаются обслуживанием платежных систем. Применение DLP-систем возможно в том числе и для защиты информации в платежных системах. Однако задачи безопасности в банках ставятся значительно шире, они связаны с экономическими интересами конкретной организации, и это далеко не только электронные платежи. Поэтому наш банк, руководствуясь соответствующими стандартами, уделяет большое внимание приме- нению данных средств информационной защиты для различных ИБ-целей. Без DLP-систем формирование поля информационной безопасности современных финансово-кредит- ных учреждений не представляется возможным! • В этом году конференцию DLP-Russia посетили свыше 400 специалистов компаний России и СНГ • ONLINE-трансляцию DLP-Russia просмотрели более 300 человек • Материалы конференции находятся на сайте сообщества «DLP-Эксперт» по адресу: http://dlp-expert.ru/dlp-russia/about/archives/materialy_2012!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 8
  8. 8. ÒÅÌÀ ÍÎÌÅÐÀÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉî òîì, êàê ïîâëèÿëè èçìåíåíèÿçàêîíîäàòåëüñòâà íà ÈÁ ÁÑ
  9. 9. ÒÅÌÀ ÍÎÌÅÐÀ ÁÀÍÊÈ ÁÎÃÀÒÛÅ – ÏÓÑÒÜ ÏËÀÒßÒ! ÇÀ ×ÒÎ ÄÎËÆÍÛ ÏËÀÒÈÒÜ ÁÀÍÊÈ?! Пару лет назад на одной банковской конференции в те еще времена первый заместитель начальника 8-го Центра ФСБ Александр Павлович Баранов заявил банкам, жалующимся на обременения, связанные с требованиями по защите персональ- ÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉ ных данных: «Вы же богатые. Делитесь!» С тех пор ситуация Cisco поменялась – число нормативных актов по вопросам информа- ционной безопасности, которые распространяются на банки, возросло. Возросли и затраты на приведение себя в соответ- ствие… Но соответствие чему? Давайте посмотрим, какие нормативные акты должен соблюдать среднестатистический банк в области защиты информации.ÍÀÖÈÎÍÀËÜÍÀß ÏËÀÒÅÆÍÀß ÑÈÑÒÅÌÀНачнем с конца, т.е. с последних нормативных актов, выпущенных Банком систем, операторов услуг платежной инфраструктуры, операторов поРоссии в июне этого года в контексте закона «О национальной платежной переводу денежных средств».системе». Речь идет о Положении от 9 июня 2012 года №382-П «О требовани-ях к обеспечению защиты информации при осуществлении переводов Первый документ, основанный на комплексе стандартов Банка Россииденежных средств и о порядке осуществления Банком России контроля за (далее - СТО БР ИББС), включает в себя 129 требований по защите, разбитыхсоблюдением требований к обеспечению защиты информации при осущест- на 15 блоков, касающихся как технических защитных мер (межсетевыевлении переводов денежных средств» и связанном с ним Указании от экраны, аутентификация, применение СКЗИ, разграничение доступа и т.д.),9 июня 2012 г. N 2831У «Об отчетности по обеспечению защиты информации так и организационно-процессных (управление инцидентами, организацияпри осуществлении переводов денежных средств операторов платежных службы ИБ, оценка выполнения требований и т.д.). Назначение Этапы жизненного Доступ Защита от и распределение цикла объектов к объектам несанкционированного прав и обязанностей информационной инфраструктуры доступа инфраструктуры Контроль выполнения Защита Защита Применение технологии обработки при использовании от вредоносного кода СКЗИ защищаемой Интернет информации Организация Повышение Выявление Реализация порядка и функционирование осведомленности инцидентов и обеспечения защиты подразделения ИБ сотрудников реагирование на них информации Информирование Оценка Совершенствование оператора платежной выполнения инфраструктуры системы ее требований защиты участниками об ИЗО 129 требований по защите информации объединяются в 15 блоков!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 10
  10. 10. ÒÅÌÀ ÍÎÌÅÐÀУказание 2831-У обязывает участников национальной платежной системы(НПС) регулярно информировать Банк России об уровне своего соответствиятребованиям 382-П (форма отчетности 0403202), а также о выявленныхинцидентах, связанных с нарушением требований по защите информациипри осуществлении денежных переводов (форма отчетности 0403203).Появившись чуть больше 2-х месяцев назад, эти два документа заложили ФЗ-161фундамент для будущего регулирования информационной безопасности от 27.06.2011банковской среды (в первую очередь). В отличие от СТО БР ИББС, Положение382-П носит обязательный характер и предусматривает не только регуляр-ный надзор со стороны Банка России, но и наказание за невыполнениеуказанных требований. Именно вокруг 382-П и 2831-У будет строить-ся вся будущая нормативная база Банка России в области информа- ПП-584 Документыционной безопасности, учитывая, что сам Банк России к сфере от 13.06.2012 Банка Россиисвоего регулирования в рамках НПС относит не только традицион-ную деятельность банков на основе корреспондентских отноше-ний, но и системы трансграничных переводов, использованиеплатежных карт, мобильные платежи и электронные деньги,банкоматы и платежные терминалы. Для всех этих направлений 380-П 381-П 382-П 2831-Упока отдельных требований по защите информации нет. Да и то, от 31.05.2012 от 09.06.2012 от 09.06.2012 от 09.06.2012что есть, находится в начале своего развития.Однако законодательство о НПС не ограничивается только документамиБанка России. Согласно 27-й статье закона «О национальной платежной Законодательство о защите информациисистеме», требования к защите информации в НПС устанавливает, наряду с в национальной платежной системеБанком России, Правительство России. И оно такие требования установило вПостановлении Правительства от 3 июня 2012 года №584 «Об утвержденииположения о защите информации в платежной системе».ÏÎÑÒÀÍÎÂËÅÍÈÅ ÏÐÀÂÈÒÅËÜÑÒÂÀ №584Данное Постановление устанавливает требования к защите информации о которые будут проводить контроль соответствия. По ПП-584 это может бытьсредствах и методах обеспечения информационной безопасности, только лицензиат ФСТЭК, а по 382-П – любая организация, в т.ч. и не облада-персональных данных и иной информации, подлежащей обязательной ющая лицензиями на деятельность по технической защите конфиденциаль-защите в соответствии с законодательством Российской Федерации, обраба- ной информации.тываемой операторами по переводу денежных средств, банковскимиплатежными агентами (субагентами), операторами платежных систем и На сегодняшний день ни ФСТЭК, ни ФСБ пока не планируют разрабатыватьоператорами услуг платежной инфраструктуры в платежной системе. Оно документы во исполнение ПП-584. Поэтому интересно посмотреть, какпусть и не такое детальное, но его требования немного отличаются от соотносятся требования данного Постановления Правительства с докумен-требований 382-П. Например, в части наличия требования об анализе тами Банка России, который является основным регулятором по вопросамрисков и моделировании угроз, а также в требованиях к организациям, защиты информации в НПС. Соответствие требований ПП-584 и документов Банка России11 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
  11. 11. ÒÅÌÀ ÍÎÌÅÐÀÒÐÅÁÎÂÀÍÈß ÎÏÅÐÀÒÎÐÎÂ ÏËÀÒÅÆÍÛÕ ÑÈÑÒÅÌВернемся к Положению 382-П. Давайте его откроем и посмотрим на пункты на момент написания статьи операторов платежных систем, АКБ «Русславбанк»2.13, 2.14 и 2.16, которые говорят нам о том, что, помимо требований, как оператор платежной системы CONTACT, стал рассылать по своим участни-установленных самим 382-П (читай Банком России), еще и оператор платеж- кам первые требования по защите. Вряд ли такие требования со стороныной системы может устанавливать свои требования – по управлению операторов платежных систем будут очень уж отличаться от того, чтоинцидентами, по отчетности, по информированию, по порядку защиты и т.д. написано в 382-П, но все-таки это отдельный набор требований, которыеА к скольким платежным системам у нас подключается обычный банк? должен соблюдать банк-участник платежной системы. И чем в большемК БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим количестве систем он участвует, тем больше наборов таких требованийи т.д. И оператор каждой из них может установить свои требования (но у него будет.только после регистрации в качестве оператора платежной системы в Банке Хороший пример таких требований – стандарт PCI DSS, разработанныйРоссии). Более того, они уже начали это делать. Из трех зарегистрированных платежными системами Visa/MasterCard через PCI Council.ÑÒÀÍÄÀÐÒ PCI DSSКак и СТО БР ИББС, и Положение 382-П, стандарт PCI DSS делит свои 12 высокоуровневых и свыше 200 детальных требований на 2 блока – технические меры,реализуемые через те или иные защитные технологии (межсетевые экраны, системы предотвращения вторжений, защита при беспроводном доступе илииспользовании виртуализации), и организационно-процессные меры. 12 требований стандарта PCI DSSСейчас ведутся работы по очередному переводу стандарта PCI DSS (на этот раз с желанием придать этому переводу официальный статус). Также ведутся ииные работы по признанию стандарта PCI DSS и результатов его аудита в России, но пока об этом говорить еще рано.ÒÐÅÁÎÂÀÍÈß ÁÀÍÊÀ ÐÎÑÑÈÈ. ÅÙÅ ÎÄÍÈ?!Но это не все. Какие требования устанавливает Банк России по безопасности защите информации, установленными договором об обмене электроннымитех, кто подключается к его платежной системе? 382-П, скажете вы и будете сообщениями, заключаемым между Банком России и клиентом Банкане правы. Открываем Положение Банка России 384-П от 29.06.2012 «О России». Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполнеплатежной системе Банка России». Пункты 1.4 и 1.6 говорят, что «Банк России возможно, что требования по ИБ в нем базируются на СТО, но все-такиопределяет порядок обеспечения защиты информации в платежной системе отсылка идет на совершенно иной набор требований, который устанавливаетБанка России для клиентов Банка России в соответствии с требованиями к оператор платежной системы в лице Банка России.!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 12
  12. 12. ÒÅÌÀ ÍÎÌÅÐÀÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÎ Î ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕВсе? Опять нет. Немалый объем переводов денежных средств связан с именно оно «устанавливает требования к защите информации о средствах иобработкой персональных данных плательщика или получателя. По каким методах обеспечения информационной безопасности, персональныхнормативам должны защищаться такие персональные данные? С одной данных и иной информации, подлежащей обязательной защите в соответ-стороны, Положение 382-П явно говорит, что оно распространяется на ствии с законодательством Российской Федерации». А традиционные«информацию ограниченного доступа, в том числе персональные данные и регуляторы по информационной безопасности ФСТЭК и ФСБ утверждают, чтоиную информацию, подлежащие обязательной защите в соответствии с защита персональных данных должна осуществляться не по 382-П и не позаконодательством Российской Федерации, обрабатываемые при осущест- ПП-584, а по Федеральному закону «О персональных данных» и еговлении переводов денежных средств». С другой стороны, у нас есть подзаконным актам, которые сейчас находятся в очередной стадииПостановление Правительства №584, в котором также говорится, что обновления. По каким нормативным документам должны защищаться ПДн в рамках денежных переводов? ÇÀÊËÞ×ÅÍÈÅНу, теперь-то все? Если не рассматривать особые требования по информационной безопасности, предъявляемые к некоторым банкам, отнесенным ккритически важным объектам, и требования необязательного международного стандарта ISO 27001 (а также готовящейся в специальной редакции ISO 27015особо для финансовых учреждений), то – да. Подытожим. Положения 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования операторов платежныхсистем. Немало.Не случайно банки являются самыми зарегулированными организациями с точки зрения информационной безопасности. И ситуация врядли будет смягчаться. Регуляторы вошли во вкус, и за последний год не проходило и недели, чтобы не было выпущено какого-нибудь норма-тивного акта по информационной безопасности, большинство из которых касается именно кредитных организаций.13 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
  13. 13. ÒÅÌÀ ÍÎÌÅÐÀ Число нормативных актов по ИБ по отраслям (с 1 июня 2011 года) Рост выпуска нормативных актов по ИБМне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процен-тов на 80-90, требования всех упомянутых нормативов совпадают. Может, пора опять принять «письмо шести», чтобы не обременять банки (да и другихучастников НПС) дополнительными затратами, в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бывсем, особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки.!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 14
  14. 14. …ËÅÃÊÎ Â ÁÎÞCase studyÈÃÎÐÜ ÁÓÐÖÅ ÈÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍî ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑÈËÜß ÑÀ×ÊÎÂîá óòå÷êàõ èíôîðìàöèèÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂî ââåäåíèè ðåæèìà êîììåð÷åñêîé òàéíû
  15. 15. ...ËÅÃÊÎ Â ÁÎÞ case study ÐÅÀËÈÇÀÖÈß ÒÐÅÁÎÂÀÍÈÉ ÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÀ Â ÎÐÃÀÍÈÇÀÖÈßÕ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÔ: ÎÑÍÎÂÍÛÅ ÏÐÎÁËÅÌÛ È ÐÅØÅÍÈß По статистике Банка России, только за 2011 год объем мошенни- ÈÃÎÐÜ ÁÓÐÖÅÂ ческих действий, совершаемых с помощью терминалов, банко- матов и других средств дистанционного банковского обслужи- вания, вырос на 40% по сравнению с аналогичным показателем за 2010 год. По данным МВД, ущерб от нелегальных операций с картами в прошлом году вырос на 36% и составил 1,6 млрд руб. Подобная статистика не осталась незамеченной со стороны регуляторов. В результате только за последние годы был принят целый пакет нормативных документов, содержащих большое количество требований, к организаци- ям банковской системы Российской Федерации (организации БС РФ). Как показывает наш опыт проведения работ по построению систем обеспечения информационной безопасности в таких организациях, при реализации многочисленных требований законодательства подразделения, отвечаю- щие за обеспечение информационной безопасности (ИБ), сталкиваются с рядом проблем, которые мы и хотели бы рассмотреть рамках этой статьи. ÏÐÎÁËÅÌÀ 1: ÎÁÈËÈÅ ÏÅÐÅÑÅÊÀÞÙÈÕÑß ÌÅÆÄÓ ÑÎÁÎÉ ÒÐÅÁÎÂÀÍÈÉ ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ В настоящее время к банкам предъявляется достаточно большое количество разнообразных требований по LETA обеспечению информационной безопасности, число которых с каждым годом только увеличивается. ÎÑÍÎÂÍÛÅ ÒÐÅÁÎÂÀÍÈß ÏÎ ÈÁ ÁÑ: • банковская тайна – ФЗ от 02.12.1990 № 395-1 «О банках и банковской деятельности»; • коммерческая тайна – ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне»; • персональные данные – ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»; • защита информации при переводах денежных средств – ФЗ от 27.06.2011 № 161-ФЗ «О национальной платежной системе»; • защита данных держателей пластиковых карт – PCI DSS; • защита систем дистанционного банковского обслуживания – документы Банка России.До недавнего времени в вопросах обеспечения информационной безопасности организации БС РФ в основном ориентировались на положения комплексадокументов Банка России в области стандартизации информационной безопасности (Комплекс БР ИББС), предлагающих единый подход к обеспечениюбезопасности различных категорий информации (банковской тайны, персональных данных, коммерческой тайны и др.). Требования и рекомендацииКомплекса БР ИББС многие участники банковской системы РФ уже реализовали в своих организациях.В настоящее же время ситуация в этом направлении несколько изменилась. В 2011 году была принята новая версия ФЗ «О персональных данных», вносящаяряд изменений в регулирование защиты персональных данных, а также принят ФЗ «О национальной платежной системе», который в совокупности сПостановлением Правительства РФ от 13.06.2012 № 584 «О защите информации в платежной системе» и документами Банка России устанавливает дополни-тельные требования в части обеспечения защиты информации при осуществлении переводов денежных средств. Как следствие – возвращение к множествуразрозненных требований различных регуляторов, не объединенных единым подходом, реализация которых требует соответствующего комплекса органи-зационных и технических мероприятий. При этом по опыту можно сказать, что порядка 70-80% всех требований по различным тематикам значительнопересекаются между собой, и лишь в 20% требований привносится что-то индивидуальное.!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 16
  16. 16. ...ËÅÃÊÎ Â ÁÎÞ case studyСейчас на рынке услуг по информационной безопасности существует много предложений по выполнению комплексных проектов по реализации всех необхо-димых требований, когда результаты проекта (процессы ИБ, организационно-распорядительная документация, технические средства защиты) направленына реализацию всех требований регуляторов.В рамках подобных проектов оценивается применимость тех или иных требований к конкретной организации и выделяются общие, с точки зрения регулиру-ющих документов, направления ИБ (антивирусная защита, управление инцидентами ИБ, управление доступом, деятельность службы ИБ и т.д.). Последова-тельность реализации направлений ИБ определяется исходя из принципов приоритизированного подхода, основываясь на критичности внедряемых процес-сов ИБ для бизнеса.ÏÐÎÁËÅÌÀ 2: ÍÅÄÎÑÒÀÒÎÊ ÐÅÑÓÐÑÎÂ Â ÁÀÍÊÅВторой проблемой, с которой сталкиваются организации БС РФ при реализации законодательных требований в области ИБ, является острая нехватка ресурсоворганизации для их реализации. Эту проблему можно разбить на две во многом независимые составляющие:Недостаток или отсутствие финансов на реализацию мероприятий по ИБ Нехватка людских ресурсов для решения поставленных передНаиболее остро недостаток финансирования ИБ проявляется в средних и службой ИБ задачмалых банках, в которых вопросам ИБ не уделяется должного внимания, а Решение проблемы дефицита кадров решается по-разному:выделяемых средств не хватает на реализацию необходимых мероприятий.В таких условиях службе ИБ приходится рассчитывать в большей степени на • одним удается убедить руководство в необходимости расширения службы ИБсвои силы при реализации требований регуляторов. Однако и с этим • другие идут по пути привлечения внешних консультантоввозникают проблемы, так как низкие заработные платы в таких банках (как • третьи оптимизируют деятельность за счет внедрения дополнительныхследствие недостатка финансирования) не позволяют привлечь на работу средств автоматизацииквалифицированных специалистов, способных самостоятельно реализовы-вать поставленные перед ними задачи. Но особенно печально дела обстоят, когда две составляющие этой проблемыКроме того, на текущий момент в малых и средних банках зачастую пересекаются в рамках одного банка, т.е. когда нет ни денег, ни людей. Ввопросами ИБ занимается один человек – собственно сам руководитель таком случае обеспечение ИБ в основном заключается в латании текущихслужбы ИБ. В таких условиях говорить о полноценной реализации всех дыр и устранении инцидентов ИБ, а также в притянутом соответствиитребований не приходится. Не лучше обстоят дела и в крупных банках, требованиям регуляторов, когда требования если и выполняются, то вимеющих разветвленную филиальную сеть. При этом только единицы из большей степени на бумаге. В таких случаях решение найти практическиних имеют региональные подразделения ИБ, поэтому службе ИБ головного невозможно, так как одна проблема замыкается на другой, и, не разрубивофиса приходится постоянно отвлекаться на проблемы безопасности в этот узел, достичь поставленных задач не получится.регионах.ÏÐÎÁËÅÌÀ 3: ÎÑÎÇÍÀÍÈÅ ÏÐÎÁËÅÌ ÈÁ ÐÓÊÎÂÎÄÑÒÂÎÌ ÎÐÃÀÍÈÇÀÖÈÉК сожалению, большинство руководителей организаций до сих пор слабо осознают свою персональную ответственность за безопасностьактивов. Более того, по их мнению, информационная безопасность необходима только для выполнения требований регуляторов и неможет приносить доход организации.Для решения проблемы руководитель службы ИБ должен освоить язык бизнеса и на нем попробовать обосновать перед руководством необходимостьпотратить деньги на информационную безопасность.На практике подготовка экономического обоснования стоимости системы ИБ – это процесс, основанный на оценке метрик информационной безопасности,который требует значительных затрат с точки зрения как людских, так и кадровых ресурсов. Для этого руководитель службы ИБ должен: • определить ценность активов организации для бизнеса, • выявить и провести анализ угроз нарушения свойств ИБ активов, • оценить возможный ущерб от реализации выявленных угроз, • оценить вероятность возникновения ситуаций, когда ущерб неминуем.Кроме того, на протяжении всего процесса руководитель службы ИБ должен привлекать высшее руководство для анализа результатов проведенных работ.При этом результаты должны быть экономически направленными и содержать финансовые показатели ценности, ущерба и т.д. Только так руководитель ИБсможет добиться понимания и осознания со стороны руководства тех задач, которые стоят перед бизнесом в части обеспечения информационной безопасности.Конечно, рассмотренный в рамках данной статьи перечень проблем реализации законодательных требований по обеспечению ИБ не является полным изависит от специфики организации. Единого решения для всех в принципе не существует. Однако выявление и анализ существующих проблем, присутствую-щих в рамках конкретной организации, может стать первым шагом на пути к их решению.17 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
  17. 17. ...ËÅÃÊÎ Â ÁÎÞ case study ÓÒÅ×ÊÈ ÊÎÍÔÈÄÅÍÖÈÀËÜÍÎÉ ÈÍÔÎÐÌÀÖÈÈ. ÍÅÑÊÎËÜÊÎ ÑËΠΠÐÀÑÑËÅÄÎÂÀÍÈÈ ÒÀÊÈÕ ÈÍÖÈÄÅÍÒΠÈÍÖÈÄÅÍÒÛ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ: ×ÅÃÎ ÑÒÎÈÒ ÎÏÀÑÀÒÜÑß ÊÎÌÏÀ- ÍÈßÌ Об инцидентах, связанных с информационной безопасностью, и методах борьбы с ними сказано немало. Возникает резонный ÈËÜß ÑÀ×ÊΠвопрос: «А стоит ли еще раз обсуждать эту тему?» К сожалению, Group-IB мне, как и многим моим коллегам по цеху, приходится дать положительный ответ. Большинство руководителей компаний продолжают отказываться воспринимать информационные ресурсы в качестве ключевых активов. Однако уже сегодня понятно, что один компьютерный инцидент может поставить даже крупную корпорацию на порог катастрофы.ÈÍÔÎÐÌÀÖÈß ÏÎ ÓÒÅ×ÊÀÌ Â ÌÈÐÅ 1-2 Q 2012 Ã. (ÏÎ ÄÀÍÍÛÌ ÀÍÀÒÈÒÈ×ÅÑÊÎÃÎ ÖÅÍÒÐÀ ÊÎÌÏÀÍÈÈ INFOWATCH) Прямые убытки кредитно-финансовых организаций от утечек в первом полугодии 2012 года составили чуть более 2 млрд долл. Скомпрометировано более 2 млн записей, в том числе финансовые и персональные данные Лидирующий тип утечек – финансовая информация – до 60% Несмотря на ежегодное снижение доли утечек в коммерческих компаниях по отношению к общему числу утечек, доля «банковских» утечек остается неизменной – 5-7% В банковском сегменте доля случайных утечек значительно ниже, чем в целом по всем индустриям (20% и 37% соответственно) Также интересно, что в банках информация практически «не течет» через электронную почту, веб и съемные носители. Зато здесь значительно выше доля утечек через носители резервных копий – 41,7% 24,7% случаев от всех утечек пришлись на российские банки. При этом доля российских утечек в общей картине остается незначительной (см. «Глобальное исследование утечек за 2011 год»)С точки зрения специалиста по расследованию компьютерных преступлений,можно выделить три основных цели, которые наиболее подвержены атакамсо стороны компьютерных злоумышленников. Во-первых, деньги;во-вторых, информация; и, в-третьих, репутация. Думаю, не стоит лишнийраз говорить о том, что все упомянутые активы так или иначе между собойтесно взаимосвязаны. Поэтому киберудар по одному из них может привести Распределение утечек по организациям. Доля банков, 1-2 кв. 2012г.к возникновению ущерба в смежной области. (по данным Аналитического центра компании InfoWatch)!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 18
  18. 18. ...ËÅÃÊÎ Â ÁÎÞ case studyПочему эти три актива представляют максимальный интерес для компью- Последним активом, который стоит выделить особо, когда речь заходит отерных злоумышленников? Потому что во всех этих случаях речь идет о кибератаках на корпоративную инфраструктуру, является информация.возможности получения сверхдоходов. Секреты производства, научные разработки, отчетность, финансовая документация, бизнес-планы, договоры, цены, персональные данныеНапример, деньги. Тут и так все понятно. Идейных борцов за денежные сотрудников — все это и многое другое представляет значительный интересзнаки немало в виртуальном мире, и атаки на системы интернет-банкинга для компьютерных злоумышленников. Что-то можно продать недобросо-сегодня самый распространенный тренд на российском рынке киберпре- вестным конкурентам на черном рынке, что-то можно использовать дляступности. В итоге только за прошлый год российским компьютерным шантажа руководства пострадавшей компании, а что-то пригодится длямошенниками удалось похитить со счетов юридических лиц 758,5 млн осуществления мошеннических операций. При этом похищенные деньгидолларов. можно вернуть, честное имя — восстановить, а вот, например, утеряА вот сетевые атаки на бренд и иные репутационные активы пока не имеют «ноу-хау» действительно может привести к утрате конкурентных преиму-такого распространения, но все чаще встречаются при разборе инцидентов. ществ и даже исчезновению бизнеса.Если компании принадлежит популярный бренд, которому массово доверя- Стоит отметить, что, в отличие от первых двух случаев, расследованиеют потребители, мошенники обязательно постараются воспользоваться инцидентов, связанных с утечками информации, имеет иную специфику.этим, чтобы под его прикрытием выманить у пользователей деньги. Дело здесь заключается в том, что хищения денежных средств и сетевыеФальшивый сайт, на главной странице которого расположен логотип той или атаки на бренды по сути своей являются мошенничествами. То есть присут-иной организации, воспринимается большинством пользователей в ствуют соответствующие квалифицирующие признаки, нанесен определен-качестве легального, принадлежащего этой организации, и потому ный ущерб и т.д., а значит, при наличии соответствующих доказательствдоверенного. Таким образом, все претензии в случае мошеннических злоумышленников можно привлечь к уголовной ответственности и потребо-действий будут направляться в адрес компании, чей бренд был атакован. И вать возмещения причиненного ущерба. Информация защищается закономхотя она абсолютно не причастна к нарушениям закона, это не будет особым несколько в ином порядке, и не всегда можно однозначно сказать, являетсяоправданием в глазах интернет-сообщества, которое живо реагирует на ли она конфиденциальной и несёт ли её утечка какой-либо ущерб длялюбые подобные инциденты. «Ложечка», конечно, потом найдется, но компании. Поэтому в этой статье мне бы хотелось уделить внимание некото-вернуть прежний уровень доверия будет уже не так просто. рым особенностям, связанным с расследованиями утечек.ÐÅÆÈÌ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛ ÊÀÊ ÏÐÎÔÈËÀÊÒÈ×ÅÑÊÀß ÌÅÐÀПрежде чем обратиться непосредственно к вопросам расследования ливают режим коммерческой тайны.подобного рода инцидентов, необходимо остановиться на режиме коммер-ческой тайны, без внедрения которого защитить корпоративную конфиден- «Коммерческая тайна» – режим конфиденциальности информации,циальную информацию в рамках правового поля представляется затрудни- позволяющий ее обладателю при существующих или возможных обстоя-тельным. тельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерче-У каждой компании, независимо от времени пребывания на рынке, есть скую выгоду. Под информацией, составляющей коммерческую тайну всвои секреты ведения бизнеса и достижения успеха. В одном случае это соответствии с N 98-ФЗ «О коммерческой тайне», понимается любая инфор-оригинальные разработки по организации структуры деятельности; в мация, содержащая научно-технические, технологические, производствен-другом – эксклюзивные методики производства продукции или оказания ные, финансово-экономические сведения, в том числе составляющиеуслуг; в третьем – маркетинговые мероприятия, направленные на продви- секреты производства («ноу-хау»), которые имеют действительную илижение продуктов и услуг компании. Все вышеуказанное в той или иной потенциальную коммерческую ценность в силу неизвестности ее третьимстепени имеет место как на российском, так и на мировом рынке. лицам, к которым нет свободного доступа на законном основании и в отношении которых обладателем такой информации введен режимНе стоит забывать и об опыте в сфере ведения бизнеса и уникальном наборе коммерческой тайны.собственных разработок и инструментов, которыми обладает каждаякомпания. Информация о таких инструментах по естественным причинам Таким образом, при осуществлении защиты информации, составляющейявляется объектом пристального внимания конкурентов, желающих коммерческую тайну, организации имеют возможность обезопасить себя отполучить сведения о разработках компании для применения в своих интере- существенных рисков, например, финансового ущерба, защитить своюсах. Конечно, компания-правообладатель строго следит за тем, чтобы репутацию и повысить конкурентоспособность. Если в организациисведения не были раскрыты и не был причинен соответствующий ущерб. Для отсутствует введенный режим коммерческой тайны или он введен сдостижений указанных целей и защиты своих интересов компании устанав- нарушением законодательства, то отсутствует и сама коммерческая тайна. ÏÅÐÅ×ÅÍÜ ÍÅÎÁÕÎÄÈÌÛÕ ÄÅÉÑÒÂÈÉ ÄËß ÂÂÅÄÅÍÈß ÐÅÆÈÌÀ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛ Â ÎÐÃÀÍÈÇÀÖÈÈ: 1. Определить перечень информации, составляющей коммерческую тайну; 2. Ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3. Провести учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4. Отрегулировать отношения по использованию информации, составляющей коммерческую тайну, с работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5. Нанести на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» с указанием обладателя этой информации.19 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012

×