SlideShare a Scribd company logo

DLP Hero: Используем DLP «по закону»

InfoWatch
InfoWatch

Вебинар компании InfoWatch. Ведущий: Андрей Прозоров, эксперт по информационной безопасности

Presentations & Public Speaking
1 of 31
Download to read offline
DLP Hero: Используем DLP «по закону» Андрей Прозоров Ведущий эксперт по информационной безопасности
1. Что можно делать при выявлении утечки? 2. Немного про ТК РФ 3. Немного про КТ 4. Практика 1. Какую информацию Вы защищаете? 5. Практика 2. Какие требования к обработке и защите? 6. 4 «горячих» юридических вопроса про DLP Темы вебинара
Темы, которых НЕ будет 1. Правила инвентаризации и классификации информации (+с использованием DLP) 2. Настройка политик DLP, стандарт по настройке DLP 3. Построение режима КТ 4. Выполнение требований по защите ПДн 5. Расследование инцидентов 6. Судебное преследование нарушителей 7. Комплексная защита информации от утечки 8. Реклама продуктов и решений InfoWatch
Концепция PRE-/POST-DLP DLP POST- DLP PRE- DLP
Процесс реагирования Выявленная утечка Подозрение об утечке Регулярный анализ Внутреннее / внешнее расследование (анализ инцидента) «Управленческое решение»
«Управленческое решение» • «Понять и простить» • Изменение прав доступа (расширение или ограничение) • Пересмотр правил ИБ (орг. и тех.) • Обучение и повышение осведомленности персонала • Мотивация персонала (Что лучше развитие корп.культуры и/или «запугивание»?) • Лишение благ и привилегий • Кадровые перестановки • Решение об увольнении (по собственному желанию / по соглашению сторон) • Дисциплинарные взыскания (втч увольнение) • Решение о преследовании в судебном порядке • «Вывоз в лес» Юр.вопросы DLP тут
DLP + «доп.меры» = снижение рисков утечки информации и сокращение трудозатрат на расследование инцидентов DLP + «юр.меры» = возможность уволить сотрудника «по закону» и снижение «юридических рисков»
№ Наименование статьи (деяние) Ответственность № статьи 1. Разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), Расторжение трудового договора по инициативе работодателя + материальная ответственность за причиненный ущерб ТК РФ ст.81, 243 2. Разглашение информации с ограниченным доступом Штраф от 500 до 1 000 рублей для граждан; от 4 000 до 5 000 рублей для должностных лиц КоАП ст.13.14 3. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну Штраф до 200 000 рублей или Лишение свободы на срок до 7 лет УК РФ ст.183 4. Неправомерное использование инсайдерской информации Штраф до 1 000 000 рублей или Лишение свободы до 6 лет со штрафом до 100 000 рублей УК РФ ст.185.6 5. Неправомерный доступ к компьютерной информации Штраф до 500 000 рублей или Лишение свободы на срок до 7 лет УК РФ ст.272 6. Создание, использование и распространение вредоносных компьютерных программ Лишение свободы на срок до 7 лет УК РФ ст.273 7. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Штраф до 500 000 рублей или Лишение свободы на срок до 5 лет УК РФ ст.274 8. Шпионаж Лишение свободы на срок дот 10 до 20 лет УК РФ ст.276 9. Разглашение государственной тайны Лишение свободы на срок до 7 лет УК РФ ст.283 10. Незаконное получение сведений, составляющих государственную тайну Лишение свободы на срок до 8 лет УК РФ ст.283.1 Ответственность работника Обычно это
Статья 192. Дисциплинарные взыскания За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: 1) замечание; 2) выговор; 3) увольнение по соответствующим основаниям. Статья 193. Порядок применения дисциплинарных взысканий Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Приказ (распоряжение) работодателя о применении дисциплинарного взыскания объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с указанным приказом (распоряжением) под роспись, то составляется соответствующий акт. Дисциплинарные взыскания (ТК РФ)
Статья 78. Расторжение трудового договора по соглашению сторон Статья 80. Расторжение трудового договора по инициативе работника (по собственному желанию) Статья 81. Расторжение трудового договора по инициативе работодателя 3) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации; 5) неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание; 6) однократного грубого нарушения работником трудовых обязанностей: а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего рабочего дня (смены), независимо от его (ее) продолжительности, а также в случае отсутствия на рабочем месте без уважительных причин более четырех часов подряд в течение рабочего дня (смены); б) появления работника на работе (на своем рабочем месте либо на территории организации - работодателя или объекта, где по поручению работодателя работник должен выполнять трудовую функцию) в состоянии алкогольного, наркотического или иного токсического опьянения; в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; г) совершения по месту работы хищения (в том числе мелкого) чужого имущества, растраты, умышленного его уничтожения или повреждения, установленных вступившим в законную силу приговором суда или постановлением судьи, органа, должностного лица, уполномоченных рассматривать дела об административных правонарушениях; д) установленного комиссией по охране труда или уполномоченным по охране труда нарушения работником требований охраны труда, если это нарушение повлекло за собой тяжкие последствия (несчастный случай на производстве, авария, катастрофа) либо заведомо создавало реальную угрозу наступления таких последствий; 11) представления работником работодателю подложных документов при заключении трудового договора; Не допускается увольнение работника по инициативе работодателя (за исключением случая ликвидации организации либо прекращения деятельности индивидуальным предпринимателем) в период его временной нетрудоспособности и в период пребывания в отпуске. «Полезные» основания для увольнения работников (ТК РФ)
К заявлению работника о расторжении трудового договора предъявляются следующие требования: • добровольность • определенность • соблюдение установленной формы Предложение работнику написать заявление об увольнении по собственному желанию может быть признано принуждением к увольнению…
В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что: 1. сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, 2. эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей 3. и он обязывался не разглашать такие сведения. Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) "О применении судами Российской Федерации Трудового кодекса Российской Федерации"
Сейчас нет явных и конкретных требований и рекомендаций по использованию DLP. Перечень необходимых организационных мер и документов не определен в российском законодательстве и рекомендациях регулирующих органов. Представленные наборы мер определены экспертами InfoWatch на основании анализа законодательства, правоприменительной практики и собственного опыта (по сути, это мнение). Стоит учитывать, что в случае судебных споров, наличие избыточных (дополнительных) мер будет оказывать положительное влияние на итоговое решение.
Меры PRE-DLP Наборы мер: • Рекомендуемый («минимально необходимый») • Максимальный • Режим КТ
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2011) "О коммерческой тайне" (вступает в силу с 1 октября 2014 года) • Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; • Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. 98-ФЗ: Термин КТ
Статья 10. Охрана конфиденциальности информации 1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: 1) определение перечня информации, составляющей коммерческую тайну; 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). 2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи. … 4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры. 5. Меры по охране конфиденциальности информации признаются разумно достаточными, если: 1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; 2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. 98-ФЗ: Меры по охране
Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений 1. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан: 1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну; 2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение; 3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны. 2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями. 98-ФЗ: Обязанности работодателя
3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан: 1) выполнять установленный работодателем режим коммерческой тайны; 2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора; 3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей; 4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну. 4. Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны. 5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы. 6. Трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации. 7. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством. 8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей. 98-ФЗ: Возмещение убытков
А вы знаете, какую информацию защищаете?
Категорирование информации в РФ 149-ФЗ: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)» Список тайн: • Лукацкий (65) – bit.ly/1mMSxAx • Консультант+ (48) – bit.ly/1mMSmFy • Прозоров (17) – bit.ly/TwftZ8
Типовые проблемы с перечнем информации ограниченного доступа: 1. «Забывание» или игнорирование некоторых видов тайн 2. Несколько разрозненных перечней, подготовленных разными людьми/отделами 3. Копи-паст из общедоступных шаблонов 4. Недостаточная детализация перечней (особенно ПДн) 5. Обучение и повышение осведомленности пользователей только в формате «прочитай документ и распишись» 6. Документ не связан с перечнем допущенных сотрудников (отсутствие ссылок)
Пример перечня
А какие требования вы предъявляете к обработке и защите информации?
 Общие положения по защите информации  Положения по обработке информации ограниченного доступа  Положения по защите информации ограниченного доступа  Положения по допустимому использованию ресурсов Какие положения бывают?
1. Наличие правил по работе с информацией ограниченного доступа. 2. Запрет передачи информации ограниченного доступа по определенным каналам при определенных условиях 3. Запрет на хранение на корпоративных устройствах «личной информации» 4. Запрет передачи по корпоративным каналам «личной информации» 5. Уведомление об использовании средств мониторинга / наличии возможности мониторинга 6. Разграничение и контроль доступа 7. Запрет передачи своих паролей другим лицам 8. Запрет на предоставление своей учетной записи другим лицам 9. Политика «чистых столов и экранов» Положения важные для DLP Пропишите эти положения в своих документах!!!
1. «Политика в отношении обработки ПДн» 2. «Положение об обработке ПДн» 3. «Положение о защите ПДн» 4. «Положение о коммерческой тайне» 5. «Политика допустимого использования» («Положение об использовании информационных сервисов…») 6. «Положение о парольной защите» 7. «Положение об антивирусной защите» 8. «Процедура управления доступом» 9. Должностные инструкции… 10.Соглашение с сотрудником / Трудовой договор Типовой набор документов (min) Пример
Самое важное правило: Сотрудники должны быть ознакомлены с требованиями под роспись Еще рекомендации: • Ориентируйтесь на целевую аудиторию при разработке документа (обычные пользователи или специалисты?) • При необходимости делайте комплект документов: Положения -> Процедуры -> Инструкции -> Памятки • Обучайте и повышайте осведомленность сотрудников (хотя бы инструктаж при приеме на работу). Используйте примеры • Регулярно пересматривайте документы. Они должны быть «живыми», удобными и отражать реальную ситуацию • Предложите возможность получить консультацию и/или задать вопрос
Требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации: – корпоративная электронная почта – сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту, соц.сети, блоги и пр.) – внешние носители – корпоративные рабочие станции – корпоративные мобильные устройства – персональные мобильные устройства – сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи) – удаленный доступ к корпоративной сети – копировально-множительная техника – файловые хранилища Что писать в Политике допустимого использования?
4 «горячих» юридических вопроса про DLP
Юр.вопросы DLP 1. DLP vs личная и семейная тайны 2. DLP vs тайна связи 3. DLP vs спец.средства негласного съема информации 4. DLP vs ИСПДн Подробнее об этом поговорим на следующем вебинаре…
Спасибо за внимание! www.infowatch.ru +7 495 22 900 22 Андрей Прозоров

Recommended

пр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpпр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Памятка для предпринимателей как вести себя при проведении обыска
Памятка для предпринимателей как вести себя при проведении обыскаПамятка для предпринимателей как вести себя при проведении обыска
Памятка для предпринимателей как вести себя при проведении обыскаВалерий Васюнин
 
Особенности проведения досудебного расследования киберпреступлений
Особенности проведения досудебного расследования киберпреступленийОсобенности проведения досудебного расследования киберпреступлений
Особенности проведения досудебного расследования киберпреступленийAndrew Gumenniy
 

Recommended

пр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpпр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Памятка для предпринимателей как вести себя при проведении обыска
Памятка для предпринимателей как вести себя при проведении обыскаПамятка для предпринимателей как вести себя при проведении обыска
Памятка для предпринимателей как вести себя при проведении обыскаВалерий Васюнин
 
Особенности проведения досудебного расследования киберпреступлений
Особенности проведения досудебного расследования киберпреступленийОсобенности проведения досудебного расследования киберпреступлений
Особенности проведения досудебного расследования киберпреступленийAndrew Gumenniy
 
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...Juscutum
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ФЗ-152 в вопросах и ответах
ФЗ-152 в вопросах и ответахФЗ-152 в вопросах и ответах
ФЗ-152 в вопросах и ответахДаниил Силантьев
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
294 фз
294 фз294 фз
294 фзСветлана Лоскутова
 
емельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеемельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеPositive Hack Days
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Практика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииПрактика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
Коммерческая тайна
Коммерческая тайнаКоммерческая тайна
Коммерческая тайнаАлексей Кураленко
 
152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практикиLETA IT-company
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...DataArt
 

More Related Content

What's hot

Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...Juscutum
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
емельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеемельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеPositive Hack Days
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Практика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииПрактика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практикиLETA IT-company
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 

What's hot (16)

Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
Безопасность в ИТ компаниях. Минимизация рисков при проведении проверки. Дени...
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
ФЗ-152 в вопросах и ответах
ФЗ-152 в вопросах и ответахФЗ-152 в вопросах и ответах
ФЗ-152 в вопросах и ответах
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данных
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
294 фз
294 фз294 фз
294 фз
 
емельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в судеемельянников можно ли защитить кт в суде
емельянников можно ли защитить кт в суде
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
Практика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информацииПрактика увольнения сотрудников за разглашение конфиденциальной информации
Практика увольнения сотрудников за разглашение конфиденциальной информации
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152
 
Коммерческая тайна
Коммерческая тайнаКоммерческая тайна
Коммерческая тайна
 
152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 

Similar to DLP Hero: Используем DLP «по закону»

Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...DataArt
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системExpolink
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системExpolink
 
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...Основные недостатки, допускаемые заявителями при лицензировании деятельности ...
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...journalrubezh
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Legaltax
 
Тема 8: Как избежать проблем с Росфинмониторингом?
Тема 8: Как избежать проблем с Росфинмониторингом? Тема 8: Как избежать проблем с Росфинмониторингом?
Тема 8: Как избежать проблем с Росфинмониторингом? Marina Khazheeva
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компанииМарина Уменко
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 

Similar to DLP Hero: Используем DLP «по закону» (20)

пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLP
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
«Актуальные проблемы управления и защиты интеллектуальных прав в сфере IT» Иг...
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
 
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...Основные недостатки, допускаемые заявителями при лицензировании деятельности ...
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EU
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
Тема 8: Как избежать проблем с Росфинмониторингом?
Тема 8: Как избежать проблем с Росфинмониторингом? Тема 8: Как избежать проблем с Росфинмониторингом?
Тема 8: Как избежать проблем с Росфинмониторингом?
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компании
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 

More from InfoWatch

DLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиDLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиInfoWatch
 
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхПротиводействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхInfoWatch
 
Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...InfoWatch
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Как защитить Windows 10 от хакерских атак
Как защитить Windows 10 от хакерских атакКак защитить Windows 10 от хакерских атак
Как защитить Windows 10 от хакерских атакInfoWatch
 
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыInfoWatch
 
Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?InfoWatch
 
Эволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризисЭволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризисInfoWatch
 
Как защитить веб-сайт от хакеров и внешних атак
Как защитить веб-сайт от хакеров и внешних атакКак защитить веб-сайт от хакеров и внешних атак
Как защитить веб-сайт от хакеров и внешних атакInfoWatch
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
InfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атакиInfoWatch
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасностьInfoWatch
 
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...InfoWatch
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
 
Мифы и реальность DLP
Мифы и реальность DLPМифы и реальность DLP
Мифы и реальность DLPInfoWatch
 

More from InfoWatch (16)

DLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиDLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасности
 
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхПротиводействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
 
Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Как защитить Windows 10 от хакерских атак
Как защитить Windows 10 от хакерских атакКак защитить Windows 10 от хакерских атак
Как защитить Windows 10 от хакерских атак
 
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктуры
 
Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?Как безделье сотрудников влияет на эффективность бизнеса?
Как безделье сотрудников влияет на эффективность бизнеса?
 
Эволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризисЭволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризис
 
Как защитить веб-сайт от хакеров и внешних атак
Как защитить веб-сайт от хакеров и внешних атакКак защитить веб-сайт от хакеров и внешних атак
Как защитить веб-сайт от хакеров и внешних атак
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
InfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атакInfoWatch Attack Killer решение проблемы всех направленных атак
InfoWatch Attack Killer решение проблемы всех направленных атак
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
 
Мифы и реальность DLP
Мифы и реальность DLPМифы и реальность DLP
Мифы и реальность DLP
 

DLP Hero: Используем DLP «по закону»

  • 1. DLP Hero: Используем DLP «по закону» Андрей Прозоров Ведущий эксперт по информационной безопасности
  • 2. 1. Что можно делать при выявлении утечки? 2. Немного про ТК РФ 3. Немного про КТ 4. Практика 1. Какую информацию Вы защищаете? 5. Практика 2. Какие требования к обработке и защите? 6. 4 «горячих» юридических вопроса про DLP Темы вебинара
  • 3. Темы, которых НЕ будет 1. Правила инвентаризации и классификации информации (+с использованием DLP) 2. Настройка политик DLP, стандарт по настройке DLP 3. Построение режима КТ 4. Выполнение требований по защите ПДн 5. Расследование инцидентов 6. Судебное преследование нарушителей 7. Комплексная защита информации от утечки 8. Реклама продуктов и решений InfoWatch
  • 5. Процесс реагирования Выявленная утечка Подозрение об утечке Регулярный анализ Внутреннее / внешнее расследование (анализ инцидента) «Управленческое решение»
  • 6. «Управленческое решение» • «Понять и простить» • Изменение прав доступа (расширение или ограничение) • Пересмотр правил ИБ (орг. и тех.) • Обучение и повышение осведомленности персонала • Мотивация персонала (Что лучше развитие корп.культуры и/или «запугивание»?) • Лишение благ и привилегий • Кадровые перестановки • Решение об увольнении (по собственному желанию / по соглашению сторон) • Дисциплинарные взыскания (втч увольнение) • Решение о преследовании в судебном порядке • «Вывоз в лес» Юр.вопросы DLP тут
  • 7. DLP + «доп.меры» = снижение рисков утечки информации и сокращение трудозатрат на расследование инцидентов DLP + «юр.меры» = возможность уволить сотрудника «по закону» и снижение «юридических рисков»
  • 8. № Наименование статьи (деяние) Ответственность № статьи 1. Разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), Расторжение трудового договора по инициативе работодателя + материальная ответственность за причиненный ущерб ТК РФ ст.81, 243 2. Разглашение информации с ограниченным доступом Штраф от 500 до 1 000 рублей для граждан; от 4 000 до 5 000 рублей для должностных лиц КоАП ст.13.14 3. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну Штраф до 200 000 рублей или Лишение свободы на срок до 7 лет УК РФ ст.183 4. Неправомерное использование инсайдерской информации Штраф до 1 000 000 рублей или Лишение свободы до 6 лет со штрафом до 100 000 рублей УК РФ ст.185.6 5. Неправомерный доступ к компьютерной информации Штраф до 500 000 рублей или Лишение свободы на срок до 7 лет УК РФ ст.272 6. Создание, использование и распространение вредоносных компьютерных программ Лишение свободы на срок до 7 лет УК РФ ст.273 7. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Штраф до 500 000 рублей или Лишение свободы на срок до 5 лет УК РФ ст.274 8. Шпионаж Лишение свободы на срок дот 10 до 20 лет УК РФ ст.276 9. Разглашение государственной тайны Лишение свободы на срок до 7 лет УК РФ ст.283 10. Незаконное получение сведений, составляющих государственную тайну Лишение свободы на срок до 8 лет УК РФ ст.283.1 Ответственность работника Обычно это
  • 9. Статья 192. Дисциплинарные взыскания За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: 1) замечание; 2) выговор; 3) увольнение по соответствующим основаниям. Статья 193. Порядок применения дисциплинарных взысканий Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Приказ (распоряжение) работодателя о применении дисциплинарного взыскания объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с указанным приказом (распоряжением) под роспись, то составляется соответствующий акт. Дисциплинарные взыскания (ТК РФ)
  • 10. Статья 78. Расторжение трудового договора по соглашению сторон Статья 80. Расторжение трудового договора по инициативе работника (по собственному желанию) Статья 81. Расторжение трудового договора по инициативе работодателя 3) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации; 5) неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание; 6) однократного грубого нарушения работником трудовых обязанностей: а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего рабочего дня (смены), независимо от его (ее) продолжительности, а также в случае отсутствия на рабочем месте без уважительных причин более четырех часов подряд в течение рабочего дня (смены); б) появления работника на работе (на своем рабочем месте либо на территории организации - работодателя или объекта, где по поручению работодателя работник должен выполнять трудовую функцию) в состоянии алкогольного, наркотического или иного токсического опьянения; в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; г) совершения по месту работы хищения (в том числе мелкого) чужого имущества, растраты, умышленного его уничтожения или повреждения, установленных вступившим в законную силу приговором суда или постановлением судьи, органа, должностного лица, уполномоченных рассматривать дела об административных правонарушениях; д) установленного комиссией по охране труда или уполномоченным по охране труда нарушения работником требований охраны труда, если это нарушение повлекло за собой тяжкие последствия (несчастный случай на производстве, авария, катастрофа) либо заведомо создавало реальную угрозу наступления таких последствий; 11) представления работником работодателю подложных документов при заключении трудового договора; Не допускается увольнение работника по инициативе работодателя (за исключением случая ликвидации организации либо прекращения деятельности индивидуальным предпринимателем) в период его временной нетрудоспособности и в период пребывания в отпуске. «Полезные» основания для увольнения работников (ТК РФ)
  • 11. К заявлению работника о расторжении трудового договора предъявляются следующие требования: • добровольность • определенность • соблюдение установленной формы Предложение работнику написать заявление об увольнении по собственному желанию может быть признано принуждением к увольнению…
  • 12. В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что: 1. сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, 2. эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей 3. и он обязывался не разглашать такие сведения. Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) "О применении судами Российской Федерации Трудового кодекса Российской Федерации"
  • 13. Сейчас нет явных и конкретных требований и рекомендаций по использованию DLP. Перечень необходимых организационных мер и документов не определен в российском законодательстве и рекомендациях регулирующих органов. Представленные наборы мер определены экспертами InfoWatch на основании анализа законодательства, правоприменительной практики и собственного опыта (по сути, это мнение). Стоит учитывать, что в случае судебных споров, наличие избыточных (дополнительных) мер будет оказывать положительное влияние на итоговое решение.
  • 14. Меры PRE-DLP Наборы мер: • Рекомендуемый («минимально необходимый») • Максимальный • Режим КТ
  • 15. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2011) "О коммерческой тайне" (вступает в силу с 1 октября 2014 года) • Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; • Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. 98-ФЗ: Термин КТ
  • 16. Статья 10. Охрана конфиденциальности информации 1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: 1) определение перечня информации, составляющей коммерческую тайну; 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). 2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи. … 4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры. 5. Меры по охране конфиденциальности информации признаются разумно достаточными, если: 1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; 2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. 98-ФЗ: Меры по охране
  • 17. Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений 1. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан: 1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну; 2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение; 3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны. 2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями. 98-ФЗ: Обязанности работодателя
  • 18. 3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан: 1) выполнять установленный работодателем режим коммерческой тайны; 2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора; 3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей; 4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну. 4. Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны. 5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы. 6. Трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации. 7. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством. 8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей. 98-ФЗ: Возмещение убытков
  • 19. А вы знаете, какую информацию защищаете?
  • 20. Категорирование информации в РФ 149-ФЗ: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)» Список тайн: • Лукацкий (65) – bit.ly/1mMSxAx • Консультант+ (48) – bit.ly/1mMSmFy • Прозоров (17) – bit.ly/TwftZ8
  • 21. Типовые проблемы с перечнем информации ограниченного доступа: 1. «Забывание» или игнорирование некоторых видов тайн 2. Несколько разрозненных перечней, подготовленных разными людьми/отделами 3. Копи-паст из общедоступных шаблонов 4. Недостаточная детализация перечней (особенно ПДн) 5. Обучение и повышение осведомленности пользователей только в формате «прочитай документ и распишись» 6. Документ не связан с перечнем допущенных сотрудников (отсутствие ссылок)
  • 23. А какие требования вы предъявляете к обработке и защите информации?
  • 24.  Общие положения по защите информации  Положения по обработке информации ограниченного доступа  Положения по защите информации ограниченного доступа  Положения по допустимому использованию ресурсов Какие положения бывают?
  • 25. 1. Наличие правил по работе с информацией ограниченного доступа. 2. Запрет передачи информации ограниченного доступа по определенным каналам при определенных условиях 3. Запрет на хранение на корпоративных устройствах «личной информации» 4. Запрет передачи по корпоративным каналам «личной информации» 5. Уведомление об использовании средств мониторинга / наличии возможности мониторинга 6. Разграничение и контроль доступа 7. Запрет передачи своих паролей другим лицам 8. Запрет на предоставление своей учетной записи другим лицам 9. Политика «чистых столов и экранов» Положения важные для DLP Пропишите эти положения в своих документах!!!
  • 26. 1. «Политика в отношении обработки ПДн» 2. «Положение об обработке ПДн» 3. «Положение о защите ПДн» 4. «Положение о коммерческой тайне» 5. «Политика допустимого использования» («Положение об использовании информационных сервисов…») 6. «Положение о парольной защите» 7. «Положение об антивирусной защите» 8. «Процедура управления доступом» 9. Должностные инструкции… 10.Соглашение с сотрудником / Трудовой договор Типовой набор документов (min) Пример
  • 27. Самое важное правило: Сотрудники должны быть ознакомлены с требованиями под роспись Еще рекомендации: • Ориентируйтесь на целевую аудиторию при разработке документа (обычные пользователи или специалисты?) • При необходимости делайте комплект документов: Положения -> Процедуры -> Инструкции -> Памятки • Обучайте и повышайте осведомленность сотрудников (хотя бы инструктаж при приеме на работу). Используйте примеры • Регулярно пересматривайте документы. Они должны быть «живыми», удобными и отражать реальную ситуацию • Предложите возможность получить консультацию и/или задать вопрос
  • 28. Требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации: – корпоративная электронная почта – сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту, соц.сети, блоги и пр.) – внешние носители – корпоративные рабочие станции – корпоративные мобильные устройства – персональные мобильные устройства – сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи) – удаленный доступ к корпоративной сети – копировально-множительная техника – файловые хранилища Что писать в Политике допустимого использования?
  • 30. Юр.вопросы DLP 1. DLP vs личная и семейная тайны 2. DLP vs тайна связи 3. DLP vs спец.средства негласного съема информации 4. DLP vs ИСПДн Подробнее об этом поговорим на следующем вебинаре…
  • 31. Спасибо за внимание! www.infowatch.ru +7 495 22 900 22 Андрей Прозоров