Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...Juscutum
Денис Овчаров поделился опытом относительно безопасности в ИТ компаниях и минимизации рисков при проведении проверки. Денис рассказал о правах и полномочиях правоохранительных органов, алгоритмах действий сотрудников при проведении проверки и о том, как минимизировать риски изъятия документов и неправомерных допросов.
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
Практика увольнения работника Компании по статье трудового кодекса за разглашение информации ограниченного доступа (не являющейся коммерческой тайной).
Безопасность бумажная и техническая: им не жить друг без другаPositive Hack Days
Ведущий: Михаил Емельянников
Очень часто техническую безопасность, то есть анализ защищенности, пентесты, внедрение средств защиты, называют «реальной безопасностью», противопоставляя ее безопасности «бумажной». Докладчик покажет, что в действительности эти две безопасности дополняют друг друга, а решить проблемы реальной защиты любых активов невозможно при помощи лишь одной из них. Даже при решении сугубо технических проблем защиты бизнеса говорить с владельцами и топ-менеджерами легче на языке «бумажной» безопасности. Выступление будет проиллюстрировано многочисленными примерами из практики.
Практика разрешения судебных споров, связанных с персональными даннымиNatasha Khramtsovsky
Выступление Натальи Храмцовской «Практика разрешения судебных споров, связанных с персональными данными» 24 сентября 2014 года на конференции Infosecurity Russia - 2014 в г. Москве.
В докладе дан краткий анализ судебных споров, рассматривающихся в гражданских и арбитражных судах России и связанных с применением законодательства о персональных данных. Дана оценка текущему состоянию практики правоприменения законодательства о персональных данных.
Dr Natasha Khramtsovsky's presentation “Personal data-related legal practice” was delivered at the conference “Infosecurity Russia – 2014” on September 24, 2014.
The presentation contains a brief summary of the analysis of the personal data-related Russian legal practice in civil and arbitration courts. The author identifies key issues and challenges associated with implementing current data protection legislation.
Деятельность адвоката в интересах клиента на досудебном следствии по экономич...Juscutum
Работа адвоката по фактовому уголовному производству
Поведение при допросе должностных лиц
Ответы на запросы следователя
Исполнение определения о временном доступе к вещам и документам
Участие адвоката в обыске компании
Возврат временно изъятого имущества
Деятельность адвоката при вручении клиенту уведомления о подозрении
Способы признания доказательств не надлежащими
Правовые риски при составлении соглашения о признании вины
Судебная практика о возврате обвинительного акта
Составы преступлений по статьям 205, 212, 191 УК Украины
NIST has updated the Cybersecurity Framework to version 2.0 (CSF 2.0). Key changes include a new "Govern" function, updated categories and subcategories, and expanded guidance on using profiles and implementation examples. CSF 2.0 also emphasizes supply chain risk management and alignment with other frameworks. The update aims to reflect the evolving cybersecurity landscape and help organizations better manage cybersecurity risks.
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
The document summarizes the results of the 2022 ISO Survey, which estimates the number of valid ISO management system certificates as of December 31, 2022. It finds that ISO 27001 certificates increased by 22% in 2022 to a total of 71,549 certificates covering 120,128 sites. The top countries for ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The largest sectors covered are information technology, transport/storage/communication, and other services.
The document provides an overview of 12 privacy frameworks that can be used to develop comprehensive privacy programs. It describes each framework, including its organization, cost, and key benefits. The top frameworks are ISO 29100, ISO 27701, the ICO Accountability Framework, and the TrustArc-Nymity Framework. They provide standards, guidelines and best practices for building privacy into products and governance. The document aims to help privacy professionals select the most appropriate framework for their needs without needing to reinvent existing approaches.
This document discusses cybersecurity frameworks and provides an overview of the most popular frameworks. It begins by defining frameworks, regulations, standards and guidelines. Some of the main benefits of frameworks mentioned are providing a comprehensive security baseline, enabling measurement and benchmarking, and demonstrating maturity. Twelve of the most popular frameworks are then listed and described briefly. The document outlines different types of frameworks and provides tips for choosing an appropriate framework based on mandatory requirements, country practices, industry usage, certification needs, organization size and maturity. It also discusses mappings between frameworks and attributes of information security controls.
The document summarizes the journey of the NIST Cybersecurity Framework from version 1.1 to the upcoming version 2.0. It provides an overview of the key components of version 1.1 and the motivation for an update. Version 2.0 includes significant updates like a new "Govern" function, changes to categories and subcategories, more implementation guidance, and an emphasis on supply chain risk management. The draft of version 2.0 is available for public comment through November 2023, with the final version planned for early 2024.
This document provides an agenda and overview for implementing an Information Security Management System (ISMS) using an ISMS Implementation Toolkit. It discusses what an ISMS toolkit is and important considerations when using one. It then lists the top 5 ISMS toolkits and provides details on the author's own toolkit. Finally, it outlines a 20+1 step process for implementing an ISMS using the toolkit, with each step briefly described.
1. The document discusses how ChatGPT can be used to assist with implementing an Information Security Management System (ISMS) according to ISO 27001. It provides 8 ways ChatGPT may help including clarifying concepts, providing implementation guidance, assisting with policy development, and troubleshooting issues.
2. The document explains that while ChatGPT can offer assistance, it should not replace professional advice. Effective prompts are important to receive relevant responses, and all information from ChatGPT needs to be critically evaluated.
3. The document acknowledges some limitations of ChatGPT, like providing outdated references to the previous ISO 27001 version and failing to generate some example templates completely. Overall, ChatGPT is framed as
This document discusses key privacy principles for protecting personally identifiable information. It outlines seven main privacy principles from standards like the GDPR and ISO: 1) Lawfulness, fairness and transparency, 2) Purpose limitation, 3) Data minimization, 4) Accuracy, 5) Storage limitation, 6) Integrity and confidentiality (security), and 7) Accountability. It explains each principle in 1-2 sentences and provides examples of how organizations can implement the principles in their privacy practices and policies.
This document provides an overview and agenda for a presentation on ISO 27001 and information security management systems (ISMS). It introduces key terms like information security, the CIA triad of confidentiality, integrity and availability. It describes the components of an ISMS like policy, procedures, risk assessment and controls. It explains that ISO 27001 specifies requirements for establishing, implementing and maintaining an ISMS. The standard is popular because it can be used by all organizations to improve security, comply with regulations and build trust. Implementing an ISMS also increases awareness, reduces risks and justifies security spending.
This document provides an overview of changes between the 2018 and 2022 versions of ISO 27005, which provides guidance on managing information security risks. Some key changes include aligning terminology with ISO 31000:2018, adjusting the structure to match ISO 27001:2022, introducing risk scenario concepts, revising and restructuring annexes, and providing additional examples and models. The 2022 version contains 62 pages compared to 56 pages previously and has undergone terminology, process, and content updates to align with updated ISO standards and better support organizations in performing information security risk management.
The document summarizes the key changes between ISO 27001:2022 and the previous 2013 version. Some of the main changes include:
1. A new name that includes cybersecurity and privacy protection.
2. Shorter at 19 pages compared to 23.
3. New terminology and structure for some clauses around objectives, communication, monitoring and management review.
4. A new annex with 93 controls categorized by type and security properties, compared to the previous 114 controls.
5. Organizations will need to evaluate their existing ISMS and make updates to address the new requirements and structure of ISO 27001:2022.
The document summarizes the results of the 2021 ISO survey, reporting that as of December 31, 2021 there were 58,687 valid ISO 27001 information security certificates covering 99,755 sites globally. It provides breakdowns of the number of certificates and sites by country and sector. The countries with the most ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The sector with the most certificates is information technology.
This document provides information about Data Protection Impact Assessments (DPIAs). It begins with an introduction and agenda. It then covers the definition of a DPIA, why they are needed, when they are mandatory under GDPR, and what they should include. It discusses templates, methodologies, and examples of high risk factors that require a DPIA. It also provides the presenter's templates for a DPIA, including a lighter version, and discusses ways to improve the templates by making them more specific and complicated. The document is an overview of DPIAs aimed at helping organizations understand and comply with requirements.
The document discusses standards and frameworks for managing information security risks in supplier relationships. It defines key terms related to acquirers, suppliers, and supply chains. It outlines controls from ISO 27001, NIST CSF, and NIST SP 800-53 related to supply chain risk management. These controls address supplier agreements, monitoring performance, and risk treatment. The document also discusses ISO 27036 which provides guidance for securing information in supplier relationships, and NIST SP 800-161 which provides practices for managing cybersecurity supply chain risks.
The document discusses employee monitoring and privacy. It covers surveillance methods used by organizations to monitor employees, including email, internet, software, video, and location monitoring. Specific considerations for remote work are outlined. Legal requirements for employee monitoring from the GDPR, local data protection and labor laws are examined. The document also discusses balancing security and privacy as seen from the perspectives of a CISO and DPO. Risks of inadequate monitoring and examples of GDPR fines for violations are provided. Principles for lawful employee monitoring and recommendations for internal policies are presented.
The document discusses using a RACI (Responsible, Accountable, Consulted, Informed) chart to assign roles and responsibilities for GDPR implementation. It provides an introduction to RACI charts, an example from the speaker's company that outlines its data protection framework, governance model and 21 GDPR activities, and the speaker's resulting RACI chart. The speaker advocates for RACI charts to provide a clear overview of participation in tasks and recommends periodic reviews to keep the chart updated.
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)
4. Что стоит за утечкой? Может…
• Производственная
необходимость
• Глупость и
невнимательность
• Корыстные интересы,
месть, обида,
желание сменить
работу
Реакция должна быть разной…
Но «когда нужно стрелять — стреляй, а не болтай»
5. Про Суд: Типовые сценарии
Обиженный и уволенный за разглашение информации работник
обращается в суд для восстановления на работе, отмены записи в
трудовой книжке, взыскания среднего заработка за время
вынужденного прогула и возмещения морального ущерба
Работодатель обращается в Суд и/или пишет заявление в МВД России
для возмещения ущерба, нанесенного работником (из-за кражи
информации и/или мошеннических действий)
Работодатель пишет заявление в МВД России о преступлении (кража
информации и/или мошеннические действия)
ТК РФ ст.81 п.6 в) – увольнение за разглашение
ТК РФ ст.192, 193 – про дисциплинарные взыскания
ТК РФ ст.232,233, 238-250 – про возмещение ущерба
ГК РФ ст.1472 – про секрет производства
98-ФЗ ст.11 п.3 3), 4, 5 – про возмещение убытков (КТ)
УК РФ ст.183 – незаконное получение и разглашение (КТ, НТ, БТ)
+ ст.272 - Неправомерный доступ к компьютерной информации
+ ст.273 - Создание, использование и распространение вредоносного ПО
+ ст.274 - Нарушение правил эксплуатации средств хранения, обработки или
передачи информации
Увольнение
Возмещение
ущерба
Уголовное
преследование
6. Управление "К" МВД России
https://mvd.ru/mvd/structure1/Upravlenija/Upravlenie
_K_MVD_Rossii
https://mvd.ru/request_main
ЦИБ ФСБ России
http://www.fsb.ru/fsb/webreception.htm
http://www.fsb.ru/fsb/supplement/contact.htm
Контакты
7. "Уголовно-процессуальный кодекс Российской Федерации" от 18.12.2001 N 174-ФЗ
Федеральный закон от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности"
МВД России
• Федеральный закон от 07.02.2011 N 3-ФЗ "О полиции"
• Указ Президента РФ от 01.03.2011 N 248 "Вопросы Министерства внутренних дел Российской Федерации" (вместе с
"Положением о Министерстве внутренних дел Российской Федерации")
• Приказ МВД России от 17.10.2013 N 850 "Об утверждении Регламента Министерства внутренних дел Российской
Федерации" (Зарегистрировано в Минюсте России 12.11.2013 N 30359)
• Приказ МВД России от 12.09.2013 N 707 "Об утверждении Инструкции об организации рассмотрения обращений
граждан в системе Министерства внутренних дел Российской Федерации" (Зарегистрировано в Минюсте России
31.12.2013 N 30957)
• Приказ МВД России от 29.08.2014 N 736 "Об утверждении Инструкции о порядке приема, регистрации и разрешения в
территориальных органах Министерства внутренних дел Российской Федерации заявлений и сообщений о
преступлениях, об административных правонарушениях, о происшествиях" (Зарегистрировано в Минюсте России
06.11.2014 N 34570)
• …
ФСБ России
• Федеральный закон от 03.04.1995 N 40-ФЗ "О Федеральной службе безопасности"
• Указ Президента РФ от 11.08.2003 N 960 "Вопросы Федеральной службы безопасности Российской Федерации"
• Приказ ФСБ России от 18.09.2008 N 464 "Об утверждении Регламента Федеральной службы безопасности Российской
Федерации" (Зарегистрировано в Минюсте России 03.10.2008 N 12394)
• Приказ ФСБ России от 30.08.2013 N 463 "Об утверждении Инструкции об организации рассмотрения обращений
граждан Российской Федерации в органах федеральной службы безопасности" (Зарегистрировано в Минюсте России
20.11.2013 N 30420)
• …
Приказ МВД России N 776, Минобороны России N 703, ФСБ России N 509, ФСО России N 507, ФТС России
N 1820, СВР России N 42, ФСИН России N 535, ФСКН России N 398, СК России N 68 от 27.09.2013 "Об
утверждении Инструкции о порядке представления результатов оперативно-розыскной деятельности
органу дознания, следователю или в суд" (Зарегистрировано в Минюсте России 05.12.2013 N 30544)
Про расследования
8. • Слабое понимание особенностей режима для
различных видов тайн (ПДн, КТ, ВТ, СТ, БТ и
пр.). Отсутствие перечня информации
ограниченного доступа. Отсутствие
ограничения доступа к информации и других
необходимых мер защиты
• «Простые» нарушения при сборе
доказательной базы:
– Взлом личной электронной почты,
аккаунтов в соц.сетях и др.*
– Скрытая аудио и видео съемка*
– Неправомерное изъятие личных средств
обработки и хранения информации*
– «Выбивание» признания
– Принуждение свидетелей
Типовые ошибки (общие)
см.далее
* - если не ОРМ
9. УК РФ:
• Ст. 137. Нарушение неприкосновенности частной жизни
• Ст.138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных
сообщений
• Ст. 272. Неправомерный доступ к компьютерной информации
• Ст. 273. Создание, использование и распространение вредоносных компьютерных программ
• Ст. 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной
информации и информационно-телекоммуникационных сетей
• Ст. 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного
получения информации
• Ст. 139. Нарушение неприкосновенности жилища
• Ст. 303. Фальсификация доказательств и результатов оперативно-разыскной деятельности
• Ст. 309. Подкуп или принуждение к даче показаний или уклонению от дачи показаний либо к
неправильному переводу
• Ст. 119. Угроза убийством или причинением тяжкого вреда здоровью
• Ст. 302. Принуждение к даче показаний
КоАП:
• Ст. 20.16. Незаконная частная детективная или охранная деятельность
• Ст. 20.23. Нарушение правил производства, хранения, продажи и приобретения специальных
технических средств, предназначенных для негласного получения информации
• Ст. 20.24. Незаконное использование специальных технических средств, предназначенных для
негласного получения информации, в частной детективной или охранной деятельности
Наказание Работодателя за
«простые» нарушения
10. 14. Поскольку ограничение права гражданина на тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений допускается только на основании судебного решения (ч. 2
ст. 23 Конституции Российской Федерации), судам надлежит иметь в виду, что в соответствии с
Федеральным законом Российской Федерации "Об оперативно-розыскной деятельности" проведение
оперативно-розыскных мероприятий, ограничивающих указанные конституционные права граждан,
может иметь место лишь при наличии у органов, осуществляющих оперативно-розыскную деятельность,
информации о признаках подготавливаемого, совершаемого или совершенного противоправного
деяния, по которому производство предварительного следствия обязательно; о лицах,
подготавливающих, совершающих или совершивших противоправное деяние, по которому производство
предварительного следствия обязательно; о событиях или действиях, создающих угрозу
государственной, военной, экономической или экологической безопасности Российской Федерации.
Перечень органов, которым предоставлено право осуществлять оперативно-розыскную деятельность,
содержится в названном Законе.
Эти же обстоятельства суды должны иметь в виду при рассмотрении материалов, подтверждающих
необходимость проникновения в жилище против воли проживающих в нем лиц (ст. 25 Конституции
Российской Федерации), если такие материалы представляются в суд органами, осуществляющими
оперативно-розыскную деятельность.
Обратить внимание судов на то, что результаты оперативно-розыскных мероприятий, связанных с
ограничением конституционного права граждан на тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений, а также с проникновением в жилище против воли
проживающих в нем лиц (кроме случаев, установленных федеральным законом), могут быть
использованы в качестве доказательств по делам, лишь когда они получены по разрешению суда на
проведение таких мероприятий и проверены следственными органами в соответствии с уголовно-
процессуальным законодательством.
Постановление Пленума Верховного Суда РФ от 31.10.1995 N 8
11. • Нарушение процедуры увольнения (сроки и документы)
• Отсутствие подтверждения факта разглашения информации
(канал утечки)
• Сложность с расчетом ущерба; отсутствие прямого
действительного ущерба. ТК РФ ст.238: «Неполученные доходы
(упущенная выгода) взысканию с работника не подлежат»
• Нарушение процедуры сбора доказательной базы; отсутствие
гарантий неизменности цифровых доказательств
• Доказательство вины, достаточность доказательств
Типовые ошибки (частные)
12. Статья 141. Заявление о преступлении
1. Заявление о преступлении может быть сделано в устном или письменном виде.
2. Письменное заявление о преступлении должно быть подписано заявителем.
3. Устное заявление о преступлении заносится в протокол, который подписывается заявителем и лицом,
принявшим данное заявление. Протокол должен содержать данные о заявителе, а также о документах,
удостоверяющих личность заявителя.
4. Если устное сообщение о преступлении сделано при производстве следственного действия или в ходе
судебного разбирательства, то оно заносится соответственно в протокол следственного действия или протокол
судебного заседания.
5. В случае, когда заявитель не может лично присутствовать при составлении протокола, его заявление
оформляется в порядке, установленном статьей 143 настоящего Кодекса.
6. Заявитель предупреждается об уголовной ответственности за заведомо ложный донос в соответствии со
статьей 306 Уголовного кодекса Российской Федерации, о чем в протоколе делается отметка, которая
удостоверяется подписью заявителя.
7. Анонимное заявление о преступлении не может служить поводом для возбуждения уголовного дела.
Статья 23. Привлечение к уголовному преследованию по заявлению коммерческой или иной организации
Если деяние, предусмотренное главой 23 Уголовного кодекса Российской Федерации, причинило вред
интересам исключительно коммерческой или иной организации, не являющейся государственным или
муниципальным предприятием либо организацией с участием в уставном (складочном) капитале (паевом
фонде) государства или муниципального образования, и не причинило вреда интересам других организаций, а
также интересам граждан, общества или государства, то уголовное дело возбуждается по заявлению
руководителя данной организации или с его согласия. Причинение вреда интересам организации с участием в
уставном (складочном) капитале (паевом фонде) государства или муниципального образования одновременно
влечет за собой причинение вреда интересам государства или муниципального образования.
Заявление о преступлении
13. Статья 24. Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
1. Уголовное дело не может быть возбуждено, а возбужденное уголовное дело подлежит
прекращению по следующим основаниям:
1) отсутствие события преступления;
2) отсутствие в деянии состава преступления;
3) истечение сроков давности уголовного преследования;
4) смерть подозреваемого или обвиняемого, за исключением случаев, когда производство по
уголовному делу необходимо для реабилитации умершего;
5) отсутствие заявления потерпевшего, если уголовное дело может быть возбуждено не иначе как
по его заявлению, за исключением случаев, предусмотренных частью четвертой статьи 20
настоящего Кодекса;
6) отсутствие заключения суда о наличии признаков преступления в действиях одного из лиц,
указанных в пунктах 2 и 2.1 части первой статьи 448 настоящего Кодекса, либо отсутствие согласия
соответственно Совета Федерации, Государственной Думы, Конституционного Суда Российской
Федерации, квалификационной коллегии судей на возбуждение уголовного дела или
привлечение в качестве обвиняемого одного из лиц, указанных в пунктах 1 и 3 - 5 части первой
статьи 448 настоящего Кодекса.
Основание отказа
14. Статья 73. Обстоятельства, подлежащие доказыванию
1. При производстве по уголовному делу подлежат доказыванию:
1) событие преступления (время, место, способ и другие обстоятельства совершения
преступления);
2) виновность лица в совершении преступления, форма его вины и мотивы;
3) обстоятельства, характеризующие личность обвиняемого;
4) характер и размер вреда, причиненного преступлением;
5) обстоятельства, исключающие преступность и наказуемость деяния;
6) обстоятельства, смягчающие и отягчающие наказание;
7) обстоятельства, которые могут повлечь за собой освобождение от уголовной ответственности и
наказания;
8) обстоятельства, подтверждающие, что имущество, подлежащее конфискации в соответствии со
статьей 104.1 Уголовного кодекса Российской Федерации, получено в результате совершения
преступления или является доходами от этого имущества либо использовалось или
предназначалось для использования в качестве орудия, оборудования или иного средства
совершения преступления либо для финансирования терроризма, экстремистской деятельности
(экстремизма), организованной группы, незаконного вооруженного формирования, преступного
сообщества (преступной организации).
2. Подлежат выявлению также обстоятельства, способствовавшие совершению преступления.
Про доказывание
15. Статья 74. Доказательства
1. Доказательствами по уголовному делу являются любые сведения, на основе которых суд,
прокурор, следователь, дознаватель в порядке, определенном настоящим Кодексом,
устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при
производстве по уголовному делу, а также иных обстоятельств, имеющих значение для
уголовного дела.
2. В качестве доказательств допускаются:
1) показания подозреваемого, обвиняемого;
2) показания потерпевшего, свидетеля;
3) заключение и показания эксперта;
3.1) заключение и показания специалиста;
4) вещественные доказательства;
5) протоколы следственных и судебных действий;
6) иные документы.
Статья 17. Свобода оценки доказательств
1. Судья, присяжные заседатели, а также прокурор, следователь, дознаватель оценивают
доказательства по своему внутреннему убеждению, основанному на совокупности имеющихся в
уголовном деле доказательств, руководствуясь при этом законом и совестью.
2. Никакие доказательства не имеют заранее установленной силы.
Про доказательства
17. Компания: Крупная государственная организация
Вид тайны: Служебная тайна
Инцидент: Работник получил несанкционированный доступа к документам
(были административные права доступа к ИС «Делопроизводство») и передал
на внешнюю электронную почту конфиденциальную информацию (в
частности, стенограммы оперативного совещания руководства)
заинтересованным третьим лицам (своему бывшему руководителю, а сейчас
ген.директору ИТ компании, которая была подрядчиком, но сейчас с ней уже 3
года ведется судебная тяжба).
Компания: Крупная коммерческая организация (коллектор)
Вид тайны: Коммерческая тайна, ПДн сотрудников и клиентов
Инцидент: Работник, не получив ожидаемого повышения зарплаты, обиделся
и скопировал себе на флешку все документы, к которым смог получить доступ
(KPI сотрудников, планы и стратегия, БД клиентов и пр.). В дальнейшем
попытался шантажировать руководство, предлагая эту флешку выкупить.
Кейсы про судебную практику (ТК)
18. Правильное увольнение за
разглашение
№ Этап Документ
1. Обнаружение инцидента, сбор
дополнительной информации
Краткий отчет об инциденте,
Служебная записка
2. Обсуждение возможных вариантов
реагирования с HR, юристами и
руководством
Приказ о проведении служебного
расследования (+ создание Комиссии)
3. Запрос объяснительной записки от
работника (желательно под роспись)
Объяснительная записка / Акт об
отказе
4. Заседание Комиссии
(хорошей практикой является заседание 2х
комиссий: по расследованию и по кадровым
вопросам)
Протокол(-ы) заседания комиссии
(краткое описание инцидента, оценка
тяжести проступка, обстоятельства дела,
величина ущерба, решение)
5. Принятие решения об увольнении,
издание соответствующего приказа
Приказ о применении
дисциплинарного взыскания / Акт об
отказе ознакомления
19. Документы для подготовки к Суду
(полезный перечень)
Общее
• Трудовой договор
• Правила внутреннего трудового распорядка
• Должностная инструкция работника
• Положение о подразделении работника
• Доп.соглашения с работником (ПДн, КТ и пр.)
• Характеристика на работника (при наличии
"полезных" фактов в биографии)
Об инциденте
• Отчет об инциденте и/или Служебная записка об
инциденте. Желательно вести хронологию
инцидента
• Выгрузка отчета из DLP
• Справка о DLP системе (функционал и сертификаты)
Комплект документов по увольнению
• Приказ о назначении комиссии по расследованию
инцидента
• Объяснительная работника
• Протоколы заседаний комиссии
• Приказ об увольнении
Судебные документы
• Исковое заявления
• Возражения ответчика
• Перечень документов для Суда
Про ИБ
• Перечень информации ограниченного доступа
• Положения об обработке информации
ограниченного доступа (ПДн, КТ и пр.)
• Перечень лиц, допущенных к обработке
• Модель угроз и Модель нарушителя
• Техническое задание на систему защиты (особенно
если прописан функционал DLP)
• Положение о подразделении ИБ
• Должностные инструкции сотрудников ИБ
• Прочие документы, регламентирующие ИБ в
компании
• про работу с эл.почтой и сетью Интернет
• про использование съемных носителей
• про парольную защиту
• про контроль доступа
• про реагирование на инциденты
• ...
• Документы, регламентирующие использование DLP
(при наличии)
Прочее
• Аттестаты соответствия ИС
• Отчеты об аудитах/проверках ИБ
• Отчеты об обучении/инструктаже сотрудников
20. 1. Наличие перечня информации ограниченного доступа и правил по
работе с такой информацией
2. Запрет передачи информации ограниченного доступа по
определенным каналам при определенных условиях
3. Запрет на хранение на корпоративных устройствах «личной
информации»
4. Запрет передачи по корпоративным каналам «личной информации»
5. Уведомление об использовании средств мониторинга / наличии
возможности мониторинга / использование автоматизированного
контроля выполнения требований
6. Разграничение и контроль доступа
7. Запрет передачи своих паролей другим лицам
8. Запрет на предоставление своей учетной записи другим лицам
9. Политика «чистых столов и экранов»
Положения важные для DLP
Пропишите эти положения в своих документах!!!
21. 1. Перечень информации ограниченного доступа
2. Политика в отношении обработки ПДн
3. Положение об обработке ПДн
4. Положение о защите ПДн
5. Положение о коммерческой тайне
6. Политика допустимого использования (или
аналоги)
7. Положение о парольной защите
8. Положение об антивирусной защите
9. Процедура управления доступом
10.Должностные инструкции…
11.Соглашение с сотрудником / Трудовой договор
12.Правила внутреннего трудового распорядка
Типовой набор документов (min)
Ознакомьте
работников с
документами
под роспись +
расшифровка
подписи!!!
22. Требования по работе со следующими информационными системами,
сервисами и средствами обработки и хранения информации:
– корпоративная электронная почта
– сеть интернет (включая облачные хранилища, торрент-трекеры,
персональную электронную почту, соц.сети, блоги и пр.)
– внешние носители
– корпоративные рабочие станции
– корпоративные мобильные устройства
– персональные мобильные устройства
– сервисы мгновенных сообщений и аналоги
(в том числе системы аудио и видео связи)
– удаленный доступ к корпоративной сети
– копировально-множительная техника
– файловые хранилища
Что писать в Политике
допустимого использования?