SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
Журнал "Безопасность Деловой Информации" №1
1.
2. ÎÒ ÐÅÄÀÊÖÈÈ
ÊÎËÎÍÊÀ ÐÅÄÀÊÒÎÐÀ
Уважаемые читатели!
Перед вами первый выпуск нового журнала «!Безопасность деловой информации», идея
которого: интересно рассказать о самых последних трендах информационной безопасности.
Хочется верить, что наша задумка удалась, тем более что работа над этим номером шла парал-
лельно с подготовкой к конференции DLP-Russia. У нас была возможность изучить и проанали-
зировать самые актуальные темы ИБ, часть из которых мы попросили раскрыть наших
авторов в этом выпуске.
Первый номер получился с «банковским» уклоном: в эпоху, когда информация приобрела
вполне реальную ценность, вопрос о её защите в банках стоит наиболее остро.
ÍÀÒÀËÜß ÌÓÒÅËÜ
Защита от внешних атак, случаев мошенничества в системах дистанционного банковского обслу-
живания, утечек данных о пользователях – вот краткое содержание этого номера.
Главный редактор журнала
«!Безопасность деловой информации» Надеюсь, что ваше чтение будет интересным и полезным!
ÀÂÒÎÐÛ
ДЕНИС МИХАИЛ НАТАЛЬЯ АНДРАШ ДМИТРИЙ КОНСТАНТИН
ГУНДОРИН ЕМЕЛЬЯННИКОВ КАСПЕРСКАЯ ЧЕР КУЗНЕЦОВ МАЛЮШКИН
АЛЕКСЕЙ МИХАИЛ ИЛЬЯ ОЛЕГ АРТЕМ ЮРИЙ
ЛУКАЦКИЙ ПЛАХУТА САЧКОВ СМОЛИЙ СЫЧЕВ ЧЕРКАС
ÂÍÈÌÀÍÈÅ! ÏÐÈÃËÀØÀÅÌ ÀÂÒÎÐÎÂ Ê ÑÎÒÐÓÄÍÈ×ÅÑÒÂÓ
ÍÀ ÁÅÇÂÎÇÌÅÇÄÍÎÉ ÎÑÍÎÂÅ
По вопросам размещения статей и рекламных материалов просим обращаться
к главному редактору издания Наталье Мутель:
Тел.: 8 903 724 33 10
e-mail: pr@dlp-expert.ru
2 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
3. ÒÅÌÀ ÍÎÌÅÐÀ
ÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉ
î òîì, êàê ïîâëèÿëè èçìåíåíèÿ çàêîíîäàòåëüñòâà íà ÈÁ ÁÑ ___________ 9
…ËÅÃÊÎ Â ÁÎÞ
Case study
ÈÃÎÐÜ ÁÓÐÖÅÂ È ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ
î ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑ ________________ 15
ÈËÜß ÑÀ×ÊÎÂ
îá óòå÷êàõ èíôîðìàöèè ___________________________________________ 17
ÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂ
î ââåäåíèè ðåæèìà êîììåð÷åñêîé òàéíû __________________________ 21
ÂÇßÒÛÅ ÂÛÑÎÒÛ
Success stories
ÎËÅÃ ÑÌÎËÈÉ
îá îïàñíîñòè âíóòðåííèõ óãðîç äëÿ áàíêîâ _________________________ 24
ÀÊÀÄÅÌÈß ÃÅÍØÒÀÁÀ
Îáçîðû, àíàëèòèêà, òðåíäû
ÄÌÈÒÐÈÉ ÊÓÇÍÅÖÎÂ
î áåçîïàñíîñòè ïðè ðàáîòå ñ ÄÁÎ __________________________________ 28
ÄÅÍÈÑ ÃÓÍÄÎÐÈÍ È ÌÈÕÀÈË ÏËÀÕÓÒÀ
î çàùèòå BYOD â êðåäèòíûõ îðãàíèçàöèÿõ _________________________ 32
ÊÓÐÑ ÌÎËÎÄÎÃÎ ÁÎÉÖÀ
Îñíîâû ÈÁ
ÞÐÈÉ ×ÅÐÊÀÑ
îá èíôîðìàöèîííîé áåçîïàñíîñòè â ýïîõó compliance ______________ 35
4. ÑÂÎÄÊÈ íîâîñòè
DLP-RUSSIA´2012 –
ÍÎÂÛÉ ÂÇÃËßÄ ÍÀ DLP
Ценность информации в глазах ее владельцев все чаще обретает денежное выраже-
ние. Это касается и государственных организаций, и коммерческих компаний. Все
понимают, что потеря конфиденциальной информации грозит не только ущербом для
репутации (который непросто оценить), но и прямыми финансовыми потерями.
21 сентября 2012 года в центре Digital October под эгидой ассоциации безопасности поделился бизнес-консультант по безопасности Cisco Алексей
«DLP-Эксперт» прошло одно из самых значимых мероприятий по пробле- Лукацкий. С докладами выступили представители ЦБ РФ, Microsoft, Oracle,
мам защиты корпоративной информации – DLP-Russia’2012. В этом году Group-IB. Все выступления пленарной части можно увидеть на сайте
организаторы DLP-Russia расширили охват аудитории, адресовав мероприя- конференции.
тие не только специалистам по информационной безопасности, но и
владельцам бизнеса, высшему менеджменту компаний. Генеральным спонсором конференции стала компания InfoWatch, которая
Пленарная часть конференции была посвящена наиболее заметным тенден- уже несколько лет подряд поддерживает данное мероприятие и принимает
циям в сфере ИБ. С докладами выступили Наталья Касперская, руководитель самое активное участие в его организации. В качестве спонсоров конферен-
ГК InfoWatch, Андраш Чер, ведущий аналитик Forrester Research, Владимир ции выступили ведущие отечественные и международные компании-про-
Андриенков, исполнительный директор ООО «Трафика». изводители программного обеспечения и оборудования для защиты
Заседания секций прошли в три потока: «Бизнес, законодательство, практи- конфиденциальной информации: Symantec, Positive Technologies, «Инфоси-
ка», «Главные тренды ИБ» и «Безопасность информации в современном стемы Джет», «Лаборатория Касперского», «Информзащита».
мире». В ходе секций представители аналитических компаний, разработчи- О различных ИБ-решениях и практике их применения представители
ки систем защиты и практикующие эксперты рассказали о подходах к компаний рассказали в ходе продуктовых докладов. В демозоне была
обеспечению безопасности информации в эпоху стремительного роста организована выставка, где разработчики получили возможность «вживую»
объемов данных внутри компаний, тотальной «мобилизации» современно- представить собственные продукты потенциальным клиентам.
го бизнеса, «безграничности» информационного пространства.
Конференция прошла при поддержке Генерального медиапартнера –
Особого внимания заслуживает доклад М. Емельянникова, управляющего делового портала BFM.RU и Генерального ИТ-партнера – еженедельника PC
партнера консалтингового агентства «Емельянников, Попова и партнеры». WEEK. Золотыми информационными партнерами конференции стали
Михаил Юрьевич затронул тему защиты интересов технологичного бизнеса портал CNEWS, Национальный банковский журнал, журнал IT Manager,
в суде. Выступление было озаглавлено так: «История одного судебного журнал CIO.
процесса: а если бы была DLP-система?».
Информационные партнеры: портал anti-malware.ru, портал comnews.ru,
О том, как показать бизнесу преимущества систем DLP, рассказал Кирилл Computerworld, RISSPA, портал Security Lab, журналы BIS Journal, PC Magazine,
Викторов, начальник отдела Центра Информационной безопасности «Инфо- Аналитический банковский журнал, Банковское обозрение, ИКС, Директор
системы Джет». Своим видением новых тенденций в информационной информационной службы, Персональные данные, ПЛАС.
4 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
5. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ
ÏÎÄÂÎÄß ÈÒÎÃÈ
прошедшей конференции DLP Russia, мы приводим выдержки из интервью с ключевым
экспертами российского и мирового рынка ИБ, принявшими участие в прошедшем
мероприятии.
3 ÂÎÏÐÎÑÀ ÀÍÄÐÀØÓ ×ÅÐÓ
Âåäóùèé àíàëèòèê Forrester Research
Андраш, что сейчас происходит с общемировым рынком DLP?
Каковы последние тенденции? Куда эволюционирует рынок?
А. Чер: DLP движется от принудительного применения сетевых и end-point-решений к многоуровневому контро-
лю, от одного большого продукта к набору Endpoint, Email, Web, Network/NAV и Gateway решений и процессов
(обнаружение, категоризация, консолидация, создание политик, принудительное применение).
Среди других трендов следует упомянуть контекстно ориентированные DLP-решения, DLP, распознающие
подлинность документов, авторизация как часть расширенных политик, включающих DLP на разветвленных
предприятиях, а также использование DLP на мобильных устройствах.
Где сейчас на карте DLP располагается Россия? Сильно ли мы отличаемся
от остального мира или шагаем в ногу с другими странами?
ÀÍÄÐÀØ ×ÅÐ
А. Чер: В гиперподключенной плоской сети, которой мир по сути является сегодня, все страны и организации
Forrester Research нуждаются в продвинутых технологиях, таких как DLP. И не важно, где вы находитесь. А вот защита частной жизни
в каждой стране организована по-своему. В России требования к защите данных являются даже более строгими,
чем в других странах мира, видимо, по причине большого числа хакеров. Требуется локализация продуктов и
услуг.
Если бы у Вас была своя компания, как бы Вы организовали защиту
конфиденциальной информации от утечки?
А. Чер: Я бы использовал сеть зрелости DLP.
Сеть зрелости DLP смотрите на странице 6
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 5
6. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ
Сеть зрелости DLP
Обнаружение Классификация Консолидация Дизайн Усиление
Защита
конечных
точек
Защита
электронной
почты
Согласно сети зрелости, DLP состоит из 25
Защита web самостоятельных управляемых проектов.
Защита сети
Защита
шлюзов
Высокая степень зрелости Низкая степень зрелости
Характеристики уровней зрелости от Forrester Research
Уровни Характеристики
0 — Нулевой Процессы управления ИБ в организации отсутствуют, равно как и осознание существования проблем ИБ.
Факт осознания организацией существования проблем обеспечения ИБ организацией документально
1 — Начальный зафиксирован. Однако используемые процессы управления ИБ не стандартизованы, применяются
эпизодически и бессистемно. Общий подход к управлению ИБ не выработан.
Процессы управления ИБ осуществляются различными людьми, решающими одну и ту же задачу.
2 — Повторяемый Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам,
а ответственность возложена на исполнителя.
Процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако
3 — Установленный порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет
вероятность отклонений от стандартных процедур, которые могут быть не выявлены.
Обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. Процессы
4 — Управляемый управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей
практике. Средства автоматизации управления ИБ используются частично и в ограниченном объеме.
Процессы управления ИБ проработаны до уровня лучшей практики, основанной на результатах
непрерывного совершенствования и сравнения уровня зрелости относительно других организаций.
5 — Оптимизированный Организация использует комплексные меры защиты и способна к быстрой адаптации при изменениях
в окружении и бизнесе.
Основные принципы защиты: обнаружение, категоризирование, классифицирование, шифрование, соотнесение рисков с теми или иными
элементами данных, а также использование контекста (геолокация, приложение, определение подлинности) для уточнения атрибутов данных.
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 6
7. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ
3 ÂÎÏÐÎÑÀ ÍÀÒÀËÜÅ ÊÀÑÏÅÐÑÊÎÉ
Ãåíåðàëüíûé äèðåêòîð êîìïàíèè InfoWatch
(ãåíåðàëüíûé ñïîíñîð êîíôåðåíöèè DLP-Russia´2012)
В этом году DLP-Russia отпраздновала первый маленький юбилей –
конференции 5 лет. Можно подвести небольшой итог – насколько успешно
развивается это мероприятие? Чем можно похвастаться? Что еще предстоит
сделать?
Н. Касперская: Конференция DLP-Russia начиналась как первое и единственное мероприятие на российском
рынке, посвященное защите конфиденциальной информации от утечек. 5 лет назад DLP-рынок только зарождал-
ся, прошло всего 2 года с момента, когда IDC обозначил этот рынок термином DLP. Поэтому задачей данного
мероприятия была максимальная популяризация темы борьбы с утечками кофиденциальных данных. Сегодня
можно сказать, что конференция выполнила поставленную перед ней задачу на все 100%! Рынок DLP существен-
но вырос, но вместе с ним возросла и конкуренция. Многие российские компании обратились к разработке DLP-
ÍÀÒÀËÜß ÊÀÑÏÅÐÑÊÀß решений. Так хорошо мы популяризировали эту тему! Сегодня мы видим, что многие конкурирующие компании
InfoWatch
стали организовывать свои DLP-мероприятия, штамповать отчеты по типу «Глобального исследования утечек»,
выпускаемого компанией InfoWatch. На рынке появилось множество экспертов, реальных и мнимых.
За 5 лет у конференции DLP-Russia сформировались устойчивая аудитория и пул спикеров-экспертов,
мероприятие стало авторитетным брендом в ИБ-сообществе. Говоря о планах дальнейшего
развития DLP-Russia, я хочу отметить устойчивый тренд в сторону расширения тематики
мероприятия в смежных с DLP технологических направлениях, таких как защита информации в
конечных точках, антивирусная безопасность, анализ и управление репутацией компании,
контроль приложений и др.
Как за это время эволюционировала компания InfoWatch? В каком направлении
сейчас развиваются DLP-технологии компании?
Н. Касперская: В это время InfoWatch преимущественно занималась развитием своих DLP технологий. Однако,
согласно тенденции рынка в сторону объединения DLP со смежными технологиями, мы диверсифицировали свой
бизнес. В частности в 2010 году компания InfoWatch вместе с компанией «Ашманов и партнеры» создала дочернее
предприятие «Крибрум», разрабатывающее сервис для мониторинга и анализа репутации компаний, брендов,
персон в интернет-пространстве. В 2011-м с приобретением немецкой компании cynapspro GmbH (позднее
преобразована в EgoSecure), которая разрабатывает продукты в области Endpoint protection, InfoWatch преврати-
лась в холдинг. Кроме того, компания приобрела стартап по разработке программного обеспечения для контроля
приложений, а также развивает несколько новых проектов в области ИБ.
Что касается развития технологий, то в эти годы InfoWatch занималась модернизацией своего флагманского DLP-
продукта InfoWatch Traffic Monitor. Мы полностью поменяли платформу этого решения, упростили его интеграцию
с другими программными продуктами. Кардинальные изменения технологии заняли много времени, однако в
итоге InfoWatch Traffic Monitor стал более модульным и комплексным решением. Мы рассчитываем продемон-
стрировать заказчикам плоды нашего труда в начале 2013 года.
Может ли современное предприятие обойтись без DLP-систем? Что в таком случае
будет происходить с конфиденциальной информацией компании?
Н. Касперская: Современное предприятие, которое имеет какую-либо конфиденциальную информацию, без
системы ее защиты в настоящее время обойтись не может. Компания, не владеющая конфиденциальными
данными, может, но я сомневаюсь, что сегодня такие компании существуют! Современные DLP-системы не только
защищают конфиденциальную информацию компаний от утечек, но и позволяют навести порядок во всем
объеме информации, существующей в компании. Ведь это серьезная проблема: примерно раз в три года объем
неструктурированной информации в компаниях удваивается. DLP-система помогает наводить ясность в
огромном массиве корпоративных данных: что происходит с информацией в компании, какая информация
является конфиденциальной, как она хранится и используется. Это лучший способ навести информационный
порядок на предприятии.
7 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
8. ËÈ×ÍÎÅ ÄÅËÎ èíòåðâüþ
3 ÂÎÏÐÎÑÀ ÀÐÒÅÌÓ ÑÛ×ÅÂÓ
Çàìåñòèòåëü íà÷àëüíèêà Ãëàâíîãî óïðàâëåíèÿ
áåçîïàñíîñòè è çàùèòû èíôîðìàöèè
Öåíòðàëüíîãî áàíêà Ðîññèè
Каковы, на Ваш взгляд, основные угрозы безопасности информации в платежных
системах и уязвимости этих систем?
А. Сычев: Сейчас речь идет скорее не об угрозах платежным системам, а о том, что клиенты платежных систем не
понимают, что происходит с их платежами с точки зрения безопасности. Для данной области характерна трансгра-
ничность, а законодательство в области защиты платежных систем на сегодняшний день крайне несовершенно,
и это основная угроза! Никто никогда не задумывался о том, что хищения денежных средств могут переместиться
из реального мира в виртуальный, и здесь возникают совершенно другие методы ведения следствия, сбора
доказательной базы, представления материалов в суде.
ÀÐÒÅÌ ÑÛ×ÅÂ
Какие изменения в процессах и процедурах защиты информации произошли
Главное управление безопасности и
защиты информации Центрального
в Центральном банке в результате принятия летом текущего года Правительством
банка России РФ «Положения о защите информации в платежной системе»?
А. Сычев: Во-первых, согласно данному Положению у Центрального банка появились определенные права и
обязанности, и это привело к тому, что ЦБ пересмотрел свое видение вопросов регулирования платежных систем.
Этот вопрос вошел в зону ответственности соответствующего департамента нашего банка.
Какое место занимают DLP-решения в процедуре защиты информации
в платежных системах? Возможно ли их широкое применение в данной области?
А. Сычев: Платежные системы – это маленькая часть бизнес-процессов кредитных организаций и организаций,
которые занимаются обслуживанием платежных систем. Применение DLP-систем возможно в том числе и для
защиты информации в платежных системах. Однако задачи безопасности в банках ставятся значительно шире,
они связаны с экономическими интересами конкретной организации, и это далеко не только электронные
платежи. Поэтому наш банк, руководствуясь соответствующими стандартами, уделяет большое внимание приме-
нению данных средств информационной защиты для различных ИБ-целей.
Без DLP-систем формирование поля информационной безопасности современных финансово-кредит-
ных учреждений не представляется возможным!
• В этом году конференцию DLP-Russia посетили
свыше 400 специалистов компаний России и СНГ
• ONLINE-трансляцию DLP-Russia просмотрели
более 300 человек
• Материалы конференции находятся на сайте
сообщества «DLP-Эксперт» по адресу:
http://dlp-expert.ru/dlp-russia/about/archives/materialy_2012
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 8
10. ÒÅÌÀ ÍÎÌÅÐÀ
ÁÀÍÊÈ ÁÎÃÀÒÛÅ –
ÏÓÑÒÜ ÏËÀÒßÒ!
ÇÀ ×ÒÎ ÄÎËÆÍÛ ÏËÀÒÈÒÜ
ÁÀÍÊÈ?!
Пару лет назад на одной банковской конференции в те еще
времена первый заместитель начальника 8-го Центра ФСБ
Александр Павлович Баранов заявил банкам, жалующимся на
обременения, связанные с требованиями по защите персональ-
ÀËÅÊÑÅÉ ËÓÊÀÖÊÈÉ ных данных: «Вы же богатые. Делитесь!» С тех пор ситуация
Cisco поменялась – число нормативных актов по вопросам информа-
ционной безопасности, которые распространяются на банки,
возросло. Возросли и затраты на приведение себя в соответ-
ствие… Но соответствие чему? Давайте посмотрим, какие
нормативные акты должен соблюдать среднестатистический
банк в области защиты информации.
ÍÀÖÈÎÍÀËÜÍÀß ÏËÀÒÅÆÍÀß ÑÈÑÒÅÌÀ
Начнем с конца, т.е. с последних нормативных актов, выпущенных Банком систем, операторов услуг платежной инфраструктуры, операторов по
России в июне этого года в контексте закона «О национальной платежной переводу денежных средств».
системе». Речь идет о Положении от 9 июня 2012 года №382-П «О требовани-
ях к обеспечению защиты информации при осуществлении переводов Первый документ, основанный на комплексе стандартов Банка России
денежных средств и о порядке осуществления Банком России контроля за (далее - СТО БР ИББС), включает в себя 129 требований по защите, разбитых
соблюдением требований к обеспечению защиты информации при осущест- на 15 блоков, касающихся как технических защитных мер (межсетевые
влении переводов денежных средств» и связанном с ним Указании от экраны, аутентификация, применение СКЗИ, разграничение доступа и т.д.),
9 июня 2012 г. N 2831У «Об отчетности по обеспечению защиты информации так и организационно-процессных (управление инцидентами, организация
при осуществлении переводов денежных средств операторов платежных службы ИБ, оценка выполнения требований и т.д.).
Назначение Этапы жизненного Доступ Защита от
и распределение цикла объектов к объектам несанкционированного
прав и обязанностей информационной инфраструктуры доступа
инфраструктуры
Контроль выполнения
Защита
Защита Применение технологии обработки
при использовании
от вредоносного кода СКЗИ защищаемой
Интернет
информации
Организация Повышение Выявление Реализация порядка
и функционирование осведомленности инцидентов и обеспечения защиты
подразделения ИБ сотрудников реагирование на них информации
Информирование
Оценка Совершенствование
оператора платежной
выполнения инфраструктуры
системы ее
требований защиты
участниками об ИЗО
129 требований по защите информации объединяются в 15 блоков
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 10
11. ÒÅÌÀ ÍÎÌÅÐÀ
Указание 2831-У обязывает участников национальной платежной системы
(НПС) регулярно информировать Банк России об уровне своего соответствия
требованиям 382-П (форма отчетности 0403202), а также о выявленных
инцидентах, связанных с нарушением требований по защите информации
при осуществлении денежных переводов (форма отчетности 0403203).
Появившись чуть больше 2-х месяцев назад, эти два документа заложили ФЗ-161
фундамент для будущего регулирования информационной безопасности от 27.06.2011
банковской среды (в первую очередь). В отличие от СТО БР ИББС, Положение
382-П носит обязательный характер и предусматривает не только регуляр-
ный надзор со стороны Банка России, но и наказание за невыполнение
указанных требований. Именно вокруг 382-П и 2831-У будет строить-
ся вся будущая нормативная база Банка России в области информа- ПП-584 Документы
ционной безопасности, учитывая, что сам Банк России к сфере от 13.06.2012 Банка России
своего регулирования в рамках НПС относит не только традицион-
ную деятельность банков на основе корреспондентских отноше-
ний, но и системы трансграничных переводов, использование
платежных карт, мобильные платежи и электронные деньги,
банкоматы и платежные терминалы. Для всех этих направлений 380-П 381-П 382-П 2831-У
пока отдельных требований по защите информации нет. Да и то, от 31.05.2012 от 09.06.2012 от 09.06.2012 от 09.06.2012
что есть, находится в начале своего развития.
Однако законодательство о НПС не ограничивается только документами
Банка России. Согласно 27-й статье закона «О национальной платежной Законодательство о защите информации
системе», требования к защите информации в НПС устанавливает, наряду с в национальной платежной системе
Банком России, Правительство России. И оно такие требования установило в
Постановлении Правительства от 3 июня 2012 года №584 «Об утверждении
положения о защите информации в платежной системе».
ÏÎÑÒÀÍÎÂËÅÍÈÅ ÏÐÀÂÈÒÅËÜÑÒÂÀ №584
Данное Постановление устанавливает требования к защите информации о которые будут проводить контроль соответствия. По ПП-584 это может быть
средствах и методах обеспечения информационной безопасности, только лицензиат ФСТЭК, а по 382-П – любая организация, в т.ч. и не облада-
персональных данных и иной информации, подлежащей обязательной ющая лицензиями на деятельность по технической защите конфиденциаль-
защите в соответствии с законодательством Российской Федерации, обраба- ной информации.
тываемой операторами по переводу денежных средств, банковскими
платежными агентами (субагентами), операторами платежных систем и На сегодняшний день ни ФСТЭК, ни ФСБ пока не планируют разрабатывать
операторами услуг платежной инфраструктуры в платежной системе. Оно документы во исполнение ПП-584. Поэтому интересно посмотреть, как
пусть и не такое детальное, но его требования немного отличаются от соотносятся требования данного Постановления Правительства с докумен-
требований 382-П. Например, в части наличия требования об анализе тами Банка России, который является основным регулятором по вопросам
рисков и моделировании угроз, а также в требованиях к организациям, защиты информации в НПС.
Соответствие требований ПП-584 и документов Банка России
11 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
12. ÒÅÌÀ ÍÎÌÅÐÀ
ÒÐÅÁÎÂÀÍÈß ÎÏÅÐÀÒÎÐÎÂ ÏËÀÒÅÆÍÛÕ ÑÈÑÒÅÌ
Вернемся к Положению 382-П. Давайте его откроем и посмотрим на пункты на момент написания статьи операторов платежных систем, АКБ «Русславбанк»
2.13, 2.14 и 2.16, которые говорят нам о том, что, помимо требований, как оператор платежной системы CONTACT, стал рассылать по своим участни-
установленных самим 382-П (читай Банком России), еще и оператор платеж- кам первые требования по защите. Вряд ли такие требования со стороны
ной системы может устанавливать свои требования – по управлению операторов платежных систем будут очень уж отличаться от того, что
инцидентами, по отчетности, по информированию, по порядку защиты и т.д. написано в 382-П, но все-таки это отдельный набор требований, которые
А к скольким платежным системам у нас подключается обычный банк? должен соблюдать банк-участник платежной системы. И чем в большем
К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим количестве систем он участвует, тем больше наборов таких требований
и т.д. И оператор каждой из них может установить свои требования (но у него будет.
только после регистрации в качестве оператора платежной системы в Банке Хороший пример таких требований – стандарт PCI DSS, разработанный
России). Более того, они уже начали это делать. Из трех зарегистрированных платежными системами Visa/MasterCard через PCI Council.
ÑÒÀÍÄÀÐÒ PCI DSS
Как и СТО БР ИББС, и Положение 382-П, стандарт PCI DSS делит свои 12 высокоуровневых и свыше 200 детальных требований на 2 блока – технические меры,
реализуемые через те или иные защитные технологии (межсетевые экраны, системы предотвращения вторжений, защита при беспроводном доступе или
использовании виртуализации), и организационно-процессные меры.
12 требований стандарта PCI DSS
Сейчас ведутся работы по очередному переводу стандарта PCI DSS (на этот раз с желанием придать этому переводу официальный статус). Также ведутся и
иные работы по признанию стандарта PCI DSS и результатов его аудита в России, но пока об этом говорить еще рано.
ÒÐÅÁÎÂÀÍÈß ÁÀÍÊÀ ÐÎÑÑÈÈ. ÅÙÅ ÎÄÍÈ?!
Но это не все. Какие требования устанавливает Банк России по безопасности защите информации, установленными договором об обмене электронными
тех, кто подключается к его платежной системе? 382-П, скажете вы и будете сообщениями, заключаемым между Банком России и клиентом Банка
не правы. Открываем Положение Банка России 384-П от 29.06.2012 «О России». Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне
платежной системе Банка России». Пункты 1.4 и 1.6 говорят, что «Банк России возможно, что требования по ИБ в нем базируются на СТО, но все-таки
определяет порядок обеспечения защиты информации в платежной системе отсылка идет на совершенно иной набор требований, который устанавливает
Банка России для клиентов Банка России в соответствии с требованиями к оператор платежной системы в лице Банка России.
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 12
13. ÒÅÌÀ ÍÎÌÅÐÀ
ÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÎ Î ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕ
Все? Опять нет. Немалый объем переводов денежных средств связан с именно оно «устанавливает требования к защите информации о средствах и
обработкой персональных данных плательщика или получателя. По каким методах обеспечения информационной безопасности, персональных
нормативам должны защищаться такие персональные данные? С одной данных и иной информации, подлежащей обязательной защите в соответ-
стороны, Положение 382-П явно говорит, что оно распространяется на ствии с законодательством Российской Федерации». А традиционные
«информацию ограниченного доступа, в том числе персональные данные и регуляторы по информационной безопасности ФСТЭК и ФСБ утверждают, что
иную информацию, подлежащие обязательной защите в соответствии с защита персональных данных должна осуществляться не по 382-П и не по
законодательством Российской Федерации, обрабатываемые при осущест- ПП-584, а по Федеральному закону «О персональных данных» и его
влении переводов денежных средств». С другой стороны, у нас есть подзаконным актам, которые сейчас находятся в очередной стадии
Постановление Правительства №584, в котором также говорится, что обновления.
По каким нормативным документам должны защищаться ПДн в рамках денежных переводов?
 ÇÀÊËÞ×ÅÍÈÅ
Ну, теперь-то все? Если не рассматривать особые требования по информационной безопасности, предъявляемые к некоторым банкам, отнесенным к
критически важным объектам, и требования необязательного международного стандарта ISO 27001 (а также готовящейся в специальной редакции ISO 27015
особо для финансовых учреждений), то – да. Подытожим. Положения 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования операторов платежных
систем. Немало.
Не случайно банки являются самыми зарегулированными организациями с точки зрения информационной безопасности. И ситуация вряд
ли будет смягчаться. Регуляторы вошли во вкус, и за последний год не проходило и недели, чтобы не было выпущено какого-нибудь норма-
тивного акта по информационной безопасности, большинство из которых касается именно кредитных организаций.
13 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
14. ÒÅÌÀ ÍÎÌÅÐÀ
Число нормативных актов по ИБ по отраслям (с 1 июня 2011 года)
Рост выпуска нормативных актов по ИБ
Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процен-
тов на 80-90, требования всех упомянутых нормативов совпадают. Может, пора опять принять «письмо шести», чтобы не обременять банки (да и других
участников НПС) дополнительными затратами, в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы
всем, особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки.
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 14
15. …ËÅÃÊÎ Â ÁÎÞ
Case study
ÈÃÎÐÜ ÁÓÐÖÅÂ È
ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ
î ðåàëèçàöèè òðåáîâàíèé çàêîíîäàòåëüñòâà ïî ÈÁ ÁÑ
ÈËÜß ÑÀ×ÊÎÂ
îá óòå÷êàõ èíôîðìàöèè
ÌÈÕÀÈË ÅÌÅËÜßÍÍÈÊÎÂ
î ââåäåíèè ðåæèìà êîììåð÷åñêîé òàéíû
16. ...ËÅÃÊÎ Â ÁÎÞ case study
ÐÅÀËÈÇÀÖÈß ÒÐÅÁÎÂÀÍÈÉ
ÇÀÊÎÍÎÄÀÒÅËÜÑÒÂÀ
 ÎÐÃÀÍÈÇÀÖÈßÕ
ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÔ:
ÎÑÍÎÂÍÛÅ ÏÐÎÁËÅÌÛ
È ÐÅØÅÍÈß
По статистике Банка России, только за 2011 год объем мошенни-
ÈÃÎÐÜ ÁÓÐÖÅÂ ческих действий, совершаемых с помощью терминалов, банко-
матов и других средств дистанционного банковского обслужи-
вания, вырос на 40% по сравнению с аналогичным показателем
за 2010 год. По данным МВД, ущерб от нелегальных операций
с картами в прошлом году вырос на 36% и составил 1,6 млрд руб.
Подобная статистика не осталась незамеченной со стороны регуляторов. В результате только за последние годы
был принят целый пакет нормативных документов, содержащих большое количество требований, к организаци-
ям банковской системы Российской Федерации (организации БС РФ).
Как показывает наш опыт проведения работ по построению систем обеспечения информационной безопасности
в таких организациях, при реализации многочисленных требований законодательства подразделения, отвечаю-
щие за обеспечение информационной безопасности (ИБ), сталкиваются с рядом проблем, которые мы и хотели бы
рассмотреть рамках этой статьи.
ÏÐÎÁËÅÌÀ 1: ÎÁÈËÈÅ ÏÅÐÅÑÅÊÀÞÙÈÕÑß ÌÅÆÄÓ ÑÎÁÎÉ ÒÐÅÁÎÂÀÍÈÉ
ÊÎÍÑÒÀÍÒÈÍ ÌÀËÞØÊÈÍ
В настоящее время к банкам предъявляется достаточно большое количество разнообразных требований по
LETA
обеспечению информационной безопасности, число которых с каждым годом только увеличивается.
ÎÑÍÎÂÍÛÅ ÒÐÅÁÎÂÀÍÈß ÏÎ ÈÁ ÁÑ:
• банковская тайна – ФЗ от 02.12.1990 № 395-1 «О банках и банковской деятельности»;
• коммерческая тайна – ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
• персональные данные – ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»;
• защита информации при переводах денежных средств – ФЗ от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»;
• защита данных держателей пластиковых карт – PCI DSS;
• защита систем дистанционного банковского обслуживания – документы Банка России.
До недавнего времени в вопросах обеспечения информационной безопасности организации БС РФ в основном ориентировались на положения комплекса
документов Банка России в области стандартизации информационной безопасности (Комплекс БР ИББС), предлагающих единый подход к обеспечению
безопасности различных категорий информации (банковской тайны, персональных данных, коммерческой тайны и др.). Требования и рекомендации
Комплекса БР ИББС многие участники банковской системы РФ уже реализовали в своих организациях.
В настоящее же время ситуация в этом направлении несколько изменилась. В 2011 году была принята новая версия ФЗ «О персональных данных», вносящая
ряд изменений в регулирование защиты персональных данных, а также принят ФЗ «О национальной платежной системе», который в совокупности с
Постановлением Правительства РФ от 13.06.2012 № 584 «О защите информации в платежной системе» и документами Банка России устанавливает дополни-
тельные требования в части обеспечения защиты информации при осуществлении переводов денежных средств. Как следствие – возвращение к множеству
разрозненных требований различных регуляторов, не объединенных единым подходом, реализация которых требует соответствующего комплекса органи-
зационных и технических мероприятий. При этом по опыту можно сказать, что порядка 70-80% всех требований по различным тематикам значительно
пересекаются между собой, и лишь в 20% требований привносится что-то индивидуальное.
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 16
17. ...ËÅÃÊÎ Â ÁÎÞ case study
Сейчас на рынке услуг по информационной безопасности существует много предложений по выполнению комплексных проектов по реализации всех необхо-
димых требований, когда результаты проекта (процессы ИБ, организационно-распорядительная документация, технические средства защиты) направлены
на реализацию всех требований регуляторов.
В рамках подобных проектов оценивается применимость тех или иных требований к конкретной организации и выделяются общие, с точки зрения регулиру-
ющих документов, направления ИБ (антивирусная защита, управление инцидентами ИБ, управление доступом, деятельность службы ИБ и т.д.). Последова-
тельность реализации направлений ИБ определяется исходя из принципов приоритизированного подхода, основываясь на критичности внедряемых процес-
сов ИБ для бизнеса.
ÏÐÎÁËÅÌÀ 2: ÍÅÄÎÑÒÀÒÎÊ ÐÅÑÓÐÑÎÂ Â ÁÀÍÊÅ
Второй проблемой, с которой сталкиваются организации БС РФ при реализации законодательных требований в области ИБ, является острая нехватка ресурсов
организации для их реализации. Эту проблему можно разбить на две во многом независимые составляющие:
Недостаток или отсутствие финансов на реализацию мероприятий по ИБ Нехватка людских ресурсов для решения поставленных перед
Наиболее остро недостаток финансирования ИБ проявляется в средних и службой ИБ задач
малых банках, в которых вопросам ИБ не уделяется должного внимания, а Решение проблемы дефицита кадров решается по-разному:
выделяемых средств не хватает на реализацию необходимых мероприятий.
В таких условиях службе ИБ приходится рассчитывать в большей степени на • одним удается убедить руководство в необходимости расширения службы ИБ
свои силы при реализации требований регуляторов. Однако и с этим • другие идут по пути привлечения внешних консультантов
возникают проблемы, так как низкие заработные платы в таких банках (как • третьи оптимизируют деятельность за счет внедрения дополнительных
следствие недостатка финансирования) не позволяют привлечь на работу средств автоматизации
квалифицированных специалистов, способных самостоятельно реализовы-
вать поставленные перед ними задачи. Но особенно печально дела обстоят, когда две составляющие этой проблемы
Кроме того, на текущий момент в малых и средних банках зачастую пересекаются в рамках одного банка, т.е. когда нет ни денег, ни людей. В
вопросами ИБ занимается один человек – собственно сам руководитель таком случае обеспечение ИБ в основном заключается в латании текущих
службы ИБ. В таких условиях говорить о полноценной реализации всех дыр и устранении инцидентов ИБ, а также в притянутом соответствии
требований не приходится. Не лучше обстоят дела и в крупных банках, требованиям регуляторов, когда требования если и выполняются, то в
имеющих разветвленную филиальную сеть. При этом только единицы из большей степени на бумаге. В таких случаях решение найти практически
них имеют региональные подразделения ИБ, поэтому службе ИБ головного невозможно, так как одна проблема замыкается на другой, и, не разрубив
офиса приходится постоянно отвлекаться на проблемы безопасности в этот узел, достичь поставленных задач не получится.
регионах.
ÏÐÎÁËÅÌÀ 3: ÎÑÎÇÍÀÍÈÅ ÏÐÎÁËÅÌ ÈÁ ÐÓÊÎÂÎÄÑÒÂÎÌ ÎÐÃÀÍÈÇÀÖÈÉ
К сожалению, большинство руководителей организаций до сих пор слабо осознают свою персональную ответственность за безопасность
активов. Более того, по их мнению, информационная безопасность необходима только для выполнения требований регуляторов и не
может приносить доход организации.
Для решения проблемы руководитель службы ИБ должен освоить язык бизнеса и на нем попробовать обосновать перед руководством необходимость
потратить деньги на информационную безопасность.
На практике подготовка экономического обоснования стоимости системы ИБ – это процесс, основанный на оценке метрик информационной безопасности,
который требует значительных затрат с точки зрения как людских, так и кадровых ресурсов. Для этого руководитель службы ИБ должен:
• определить ценность активов организации для бизнеса,
• выявить и провести анализ угроз нарушения свойств ИБ активов,
• оценить возможный ущерб от реализации выявленных угроз,
• оценить вероятность возникновения ситуаций, когда ущерб неминуем.
Кроме того, на протяжении всего процесса руководитель службы ИБ должен привлекать высшее руководство для анализа результатов проведенных работ.
При этом результаты должны быть экономически направленными и содержать финансовые показатели ценности, ущерба и т.д. Только так руководитель ИБ
сможет добиться понимания и осознания со стороны руководства тех задач, которые стоят перед бизнесом в части обеспечения информационной безопасности.
Конечно, рассмотренный в рамках данной статьи перечень проблем реализации законодательных требований по обеспечению ИБ не является полным и
зависит от специфики организации. Единого решения для всех в принципе не существует. Однако выявление и анализ существующих проблем, присутствую-
щих в рамках конкретной организации, может стать первым шагом на пути к их решению.
17 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012
18. ...ËÅÃÊÎ Â ÁÎÞ case study
ÓÒÅ×ÊÈ ÊÎÍÔÈÄÅÍÖÈÀËÜÍÎÉ
ÈÍÔÎÐÌÀÖÈÈ. ÍÅÑÊÎËÜÊÎ
ÑËÎÂ Î ÐÀÑÑËÅÄÎÂÀÍÈÈ
ÒÀÊÈÕ ÈÍÖÈÄÅÍÒÎÂ
ÈÍÖÈÄÅÍÒÛ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ: ×ÅÃÎ ÑÒÎÈÒ ÎÏÀÑÀÒÜÑß ÊÎÌÏÀ-
ÍÈßÌ
Об инцидентах, связанных с информационной безопасностью, и
методах борьбы с ними сказано немало. Возникает резонный
ÈËÜß ÑÀ×ÊΠвопрос: «А стоит ли еще раз обсуждать эту тему?» К сожалению,
Group-IB мне, как и многим моим коллегам по цеху, приходится дать
положительный ответ. Большинство руководителей компаний
продолжают отказываться воспринимать информационные
ресурсы в качестве ключевых активов. Однако уже сегодня
понятно, что один компьютерный инцидент может поставить
даже крупную корпорацию на порог катастрофы.
ÈÍÔÎÐÌÀÖÈß ÏÎ ÓÒÅ×ÊÀÌ Â ÌÈÐÅ 1-2 Q 2012 Ã. (ÏÎ ÄÀÍÍÛÌ ÀÍÀÒÈÒÈ×ÅÑÊÎÃÎ ÖÅÍÒÐÀ ÊÎÌÏÀÍÈÈ INFOWATCH)
Прямые убытки кредитно-финансовых организаций от утечек в первом
полугодии 2012 года составили чуть более 2 млрд долл.
Скомпрометировано более 2 млн записей, в том числе финансовые и
персональные данные
Лидирующий тип утечек – финансовая информация – до 60%
Несмотря на ежегодное снижение доли утечек в коммерческих компаниях по
отношению к общему числу утечек, доля «банковских» утечек остается
неизменной – 5-7%
В банковском сегменте доля случайных утечек значительно ниже, чем в
целом по всем индустриям (20% и 37% соответственно)
Также интересно, что в банках информация практически «не течет»
через электронную почту, веб и съемные носители. Зато здесь
значительно выше доля утечек через носители резервных копий – 41,7%
24,7% случаев от всех утечек пришлись на российские банки. При этом
доля российских утечек в общей картине остается незначительной
(см. «Глобальное исследование утечек за 2011 год»)
С точки зрения специалиста по расследованию компьютерных преступлений,
можно выделить три основных цели, которые наиболее подвержены атакам
со стороны компьютерных злоумышленников. Во-первых, деньги;
во-вторых, информация; и, в-третьих, репутация. Думаю, не стоит лишний
раз говорить о том, что все упомянутые активы так или иначе между собой
тесно взаимосвязаны. Поэтому киберудар по одному из них может привести Распределение утечек по организациям. Доля банков, 1-2 кв. 2012г.
к возникновению ущерба в смежной области. (по данным Аналитического центра компании InfoWatch)
!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012 18
19. ...ËÅÃÊÎ Â ÁÎÞ case study
Почему эти три актива представляют максимальный интерес для компью- Последним активом, который стоит выделить особо, когда речь заходит о
терных злоумышленников? Потому что во всех этих случаях речь идет о кибератаках на корпоративную инфраструктуру, является информация.
возможности получения сверхдоходов. Секреты производства, научные разработки, отчетность, финансовая
документация, бизнес-планы, договоры, цены, персональные данные
Например, деньги. Тут и так все понятно. Идейных борцов за денежные сотрудников — все это и многое другое представляет значительный интерес
знаки немало в виртуальном мире, и атаки на системы интернет-банкинга для компьютерных злоумышленников. Что-то можно продать недобросо-
сегодня самый распространенный тренд на российском рынке киберпре- вестным конкурентам на черном рынке, что-то можно использовать для
ступности. В итоге только за прошлый год российским компьютерным шантажа руководства пострадавшей компании, а что-то пригодится для
мошенниками удалось похитить со счетов юридических лиц 758,5 млн осуществления мошеннических операций. При этом похищенные деньги
долларов. можно вернуть, честное имя — восстановить, а вот, например, утеря
А вот сетевые атаки на бренд и иные репутационные активы пока не имеют «ноу-хау» действительно может привести к утрате конкурентных преиму-
такого распространения, но все чаще встречаются при разборе инцидентов. ществ и даже исчезновению бизнеса.
Если компании принадлежит популярный бренд, которому массово доверя- Стоит отметить, что, в отличие от первых двух случаев, расследование
ют потребители, мошенники обязательно постараются воспользоваться инцидентов, связанных с утечками информации, имеет иную специфику.
этим, чтобы под его прикрытием выманить у пользователей деньги. Дело здесь заключается в том, что хищения денежных средств и сетевые
Фальшивый сайт, на главной странице которого расположен логотип той или атаки на бренды по сути своей являются мошенничествами. То есть присут-
иной организации, воспринимается большинством пользователей в ствуют соответствующие квалифицирующие признаки, нанесен определен-
качестве легального, принадлежащего этой организации, и потому ный ущерб и т.д., а значит, при наличии соответствующих доказательств
доверенного. Таким образом, все претензии в случае мошеннических злоумышленников можно привлечь к уголовной ответственности и потребо-
действий будут направляться в адрес компании, чей бренд был атакован. И вать возмещения причиненного ущерба. Информация защищается законом
хотя она абсолютно не причастна к нарушениям закона, это не будет особым несколько в ином порядке, и не всегда можно однозначно сказать, является
оправданием в глазах интернет-сообщества, которое живо реагирует на ли она конфиденциальной и несёт ли её утечка какой-либо ущерб для
любые подобные инциденты. «Ложечка», конечно, потом найдется, но компании. Поэтому в этой статье мне бы хотелось уделить внимание некото-
вернуть прежний уровень доверия будет уже не так просто. рым особенностям, связанным с расследованиями утечек.
ÐÅÆÈÌ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛ ÊÀÊ ÏÐÎÔÈËÀÊÒÈ×ÅÑÊÀß ÌÅÐÀ
Прежде чем обратиться непосредственно к вопросам расследования ливают режим коммерческой тайны.
подобного рода инцидентов, необходимо остановиться на режиме коммер-
ческой тайны, без внедрения которого защитить корпоративную конфиден- «Коммерческая тайна» – режим конфиденциальности информации,
циальную информацию в рамках правового поля представляется затрудни- позволяющий ее обладателю при существующих или возможных обстоя-
тельным. тельствах увеличить доходы, избежать неоправданных расходов, сохранить
положение на рынке товаров, работ, услуг или получить иную коммерче-
У каждой компании, независимо от времени пребывания на рынке, есть скую выгоду. Под информацией, составляющей коммерческую тайну в
свои секреты ведения бизнеса и достижения успеха. В одном случае это соответствии с N 98-ФЗ «О коммерческой тайне», понимается любая инфор-
оригинальные разработки по организации структуры деятельности; в мация, содержащая научно-технические, технологические, производствен-
другом – эксклюзивные методики производства продукции или оказания ные, финансово-экономические сведения, в том числе составляющие
услуг; в третьем – маркетинговые мероприятия, направленные на продви- секреты производства («ноу-хау»), которые имеют действительную или
жение продуктов и услуг компании. Все вышеуказанное в той или иной потенциальную коммерческую ценность в силу неизвестности ее третьим
степени имеет место как на российском, так и на мировом рынке. лицам, к которым нет свободного доступа на законном основании и в
отношении которых обладателем такой информации введен режим
Не стоит забывать и об опыте в сфере ведения бизнеса и уникальном наборе
коммерческой тайны.
собственных разработок и инструментов, которыми обладает каждая
компания. Информация о таких инструментах по естественным причинам Таким образом, при осуществлении защиты информации, составляющей
является объектом пристального внимания конкурентов, желающих коммерческую тайну, организации имеют возможность обезопасить себя от
получить сведения о разработках компании для применения в своих интере- существенных рисков, например, финансового ущерба, защитить свою
сах. Конечно, компания-правообладатель строго следит за тем, чтобы репутацию и повысить конкурентоспособность. Если в организации
сведения не были раскрыты и не был причинен соответствующий ущерб. Для отсутствует введенный режим коммерческой тайны или он введен с
достижений указанных целей и защиты своих интересов компании устанав- нарушением законодательства, то отсутствует и сама коммерческая тайна.
ÏÅÐÅ×ÅÍÜ ÍÅÎÁÕÎÄÈÌÛÕ ÄÅÉÑÒÂÈÉ ÄËß ÂÂÅÄÅÍÈß ÐÅÆÈÌÀ ÊÎÌÌÅÐ×ÅÑÊÎÉ ÒÀÉÍÛ
 ÎÐÃÀÍÈÇÀÖÈÈ:
1. Определить перечень информации, составляющей коммерческую тайну;
2. Ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой
информацией и контроля за соблюдением такого порядка;
3. Провести учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая
информация была предоставлена или передана;
4. Отрегулировать отношения по использованию информации, составляющей коммерческую тайну, с работниками на
основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5. Нанести на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, гриф
«Коммерческая тайна» с указанием обладателя этой информации.
19 !БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ №01, 3 квартал 2012