Embed Size (px)
Citation preview
DLP Hero:
Используем DLP «по закону»
Андрей Прозоров
Ведущий эксперт по
информационной безопасности
1. Что можно делать при выявлении утечки?
2. Немного про ТК РФ
3. Немного про КТ
4. Практика 1. Какую информацию Вы защищаете?
5. Практика 2. Какие требования к обработке и защите?
6. 4 «горячих» юридических вопроса про DLP
Темы вебинара
Темы, которых НЕ будет
1. Правила инвентаризации и классификации информации (+с использованием DLP)
2. Настройка политик DLP, стандарт по настройке DLP
3. Построение режима КТ
4. Выполнение требований по защите ПДн
5. Расследование инцидентов
6. Судебное преследование нарушителей
7. Комплексная защита информации от утечки
8. Реклама продуктов и решений InfoWatch
Концепция PRE-/POST-DLP
DLP
POST- DLP
PRE- DLP
Процесс реагирования
Выявленная утечка
Подозрение об утечке
Регулярный анализ
Внутреннее / внешнее
расследование (анализ
инцидента)
«Управленческое решение»
«Управленческое решение»
• «Понять и простить» • Изменение прав доступа (расширение или ограничение) • Пересмотр правил ИБ (орг. и тех.)
• Обучение и повышение осведомленности персонала • Мотивация персонала
(Что лучше развитие корп.культуры и/или «запугивание»?)
• Лишение благ и привилегий
• Кадровые перестановки • Решение об увольнении (по собственному желанию / по соглашению сторон)
• Дисциплинарные взыскания (втч увольнение) • Решение о преследовании в судебном порядке
• «Вывоз в лес»
Юр.вопросы DLP тут
DLP + «доп.меры» = снижение рисков утечки информации и сокращение
трудозатрат на расследование инцидентов
DLP + «юр.меры» = возможность уволить сотрудника «по закону» и снижение
«юридических рисков»
№ Наименование статьи (деяние) Ответственность № статьи 1. Разглашения сведений, составляющих охраняемую
законом тайну (государственную, служебную,
коммерческую или иную),
Расторжение трудового договора по инициативе
работодателя
+ материальная ответственность за причиненный
ущерб
ТК РФ ст.81,
243
2. Разглашение информации с ограниченным доступом Штраф от 500 до 1 000 рублей для граждан;
от 4 000 до 5 000 рублей для должностных лиц
КоАП ст.13.14
3. Незаконные получение и разглашение сведений,
составляющих коммерческую, налоговую или банковскую
тайну
Штраф до 200 000 рублей или
Лишение свободы на срок до 7 лет
УК РФ ст.183
4. Неправомерное использование инсайдерской
информации
Штраф до 1 000 000 рублей или
Лишение свободы до 6 лет со штрафом до 100 000
рублей
УК РФ ст.185.6
5. Неправомерный доступ к компьютерной информации Штраф до 500 000 рублей или
Лишение свободы на срок до 7 лет
УК РФ ст.272
6. Создание, использование и распространение
вредоносных компьютерных программ
Лишение свободы на срок до 7 лет УК РФ ст.273
7. Нарушение правил эксплуатации средств хранения,
обработки или передачи компьютерной информации и
информационно-телекоммуникационных сетей
Штраф до 500 000 рублей или
Лишение свободы на срок до 5 лет
УК РФ ст.274
8. Шпионаж Лишение свободы на срок дот 10 до 20 лет УК РФ ст.276
9. Разглашение государственной тайны Лишение свободы на срок до 7 лет УК РФ ст.283
10.
Незаконное получение сведений, составляющих
государственную тайну
Лишение свободы на срок до 8 лет УК РФ ст.283.1
Ответственность работника
Обычно это
Статья 192. Дисциплинарные взыскания За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: 1) замечание; 2) выговор; 3) увольнение по соответствующим основаниям. Статья 193. Порядок применения дисциплинарных взысканий Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Приказ (распоряжение) работодателя о применении дисциплинарного взыскания объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с указанным приказом (распоряжением) под роспись, то составляется соответствующий акт.
Дисциплинарные взыскания (ТК РФ)
Статья 78. Расторжение трудового договора по соглашению сторон Статья 80. Расторжение трудового договора по инициативе работника (по собственному желанию) Статья 81. Расторжение трудового договора по инициативе работодателя 3) несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации; 5) неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание; 6) однократного грубого нарушения работником трудовых обязанностей:
а) прогула, то есть отсутствия на рабочем месте без уважительных причин в течение всего рабочего дня (смены), независимо от его (ее) продолжительности, а также в случае отсутствия на рабочем месте без уважительных причин более четырех часов подряд в течение рабочего дня (смены); б) появления работника на работе (на своем рабочем месте либо на территории организации - работодателя или объекта, где по поручению работодателя работник должен выполнять трудовую функцию) в состоянии алкогольного, наркотического или иного токсического опьянения; в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; г) совершения по месту работы хищения (в том числе мелкого) чужого имущества, растраты, умышленного его уничтожения или повреждения, установленных вступившим в законную силу приговором суда или постановлением судьи, органа, должностного лица, уполномоченных рассматривать дела об административных правонарушениях; д) установленного комиссией по охране труда или уполномоченным по охране труда нарушения работником требований охраны труда, если это нарушение повлекло за собой тяжкие последствия (несчастный случай на производстве, авария, катастрофа) либо заведомо создавало реальную угрозу наступления таких последствий;
11) представления работником работодателю подложных документов при заключении трудового договора; Не допускается увольнение работника по инициативе работодателя (за исключением случая ликвидации организации либо прекращения деятельности индивидуальным предпринимателем) в период его временной нетрудоспособности и в период пребывания в отпуске.
«Полезные» основания для
увольнения работников (ТК РФ)
К заявлению работника о расторжении трудового договора предъявляются следующие требования: • добровольность • определенность • соблюдение установленной
формы
Предложение работнику написать заявление об увольнении по собственному желанию может быть признано принуждением к увольнению…
В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что:
1. сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника,
2. эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей
3. и он обязывался не разглашать такие сведения.
Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) "О применении судами Российской Федерации Трудового кодекса Российской Федерации"
Сейчас нет явных и конкретных требований и рекомендаций по использованию DLP. Перечень необходимых организационных мер и документов не определен в российском законодательстве и рекомендациях регулирующих органов.
Представленные наборы мер определены экспертами InfoWatch на основании анализа законодательства, правоприменительной практики и собственного опыта (по сути, это мнение).
Стоит учитывать, что в случае судебных споров, наличие избыточных (дополнительных) мер будет оказывать положительное влияние на итоговое решение.
Меры PRE-DLP
Наборы мер: • Рекомендуемый
(«минимально необходимый») • Максимальный • Режим КТ
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2011) "О коммерческой тайне" (вступает в силу с 1 октября 2014 года)
• Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
• Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
98-ФЗ: Термин КТ
Статья 10. Охрана конфиденциальности информации
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.
…
4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.
5. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
98-ФЗ: Меры по охране
Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений
1. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:
1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
98-ФЗ: Обязанности работодателя
3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;
3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;
4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну.
4. Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны.
5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.
6. Трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.
7. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.
8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей.
98-ФЗ: Возмещение убытков
А вы знаете, какую
информацию защищаете?
Категорирование информации в РФ
149-ФЗ: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)»
Список тайн:
• Лукацкий (65) – bit.ly/1mMSxAx
• Консультант+ (48) – bit.ly/1mMSmFy
• Прозоров (17) – bit.ly/TwftZ8
Типовые проблемы с перечнем информации ограниченного доступа:
1. «Забывание» или игнорирование некоторых видов тайн
2. Несколько разрозненных перечней, подготовленных разными людьми/отделами
3. Копи-паст из общедоступных шаблонов
4. Недостаточная детализация перечней (особенно ПДн)
5. Обучение и повышение осведомленности пользователей только в формате «прочитай документ и распишись»
6. Документ не связан с перечнем допущенных сотрудников (отсутствие ссылок)
Пример перечня
А какие требования вы
предъявляете к обработке
и защите информации?
Общие положения по защите информации
Положения по обработке информации ограниченного доступа
Положения по защите информации ограниченного доступа
Положения по допустимому использованию ресурсов
Какие положения бывают?
1. Наличие правил по работе с информацией ограниченного доступа. 2. Запрет передачи информации ограниченного доступа по
определенным каналам при определенных условиях
3. Запрет на хранение на корпоративных устройствах «личной информации»
4. Запрет передачи по корпоративным каналам «личной информации»
5. Уведомление об использовании средств мониторинга / наличии возможности мониторинга
6. Разграничение и контроль доступа 7. Запрет передачи своих паролей другим лицам 8. Запрет на предоставление своей учетной записи другим лицам 9. Политика «чистых столов и экранов»
Положения важные для DLP
Пропишите эти положения в своих документах!!!
1. «Политика в отношении обработки ПДн» 2. «Положение об обработке ПДн» 3. «Положение о защите ПДн»
4. «Положение о коммерческой тайне»
5. «Политика допустимого использования» («Положение об использовании информационных сервисов…»)
6. «Положение о парольной защите» 7. «Положение об антивирусной защите» 8. «Процедура управления доступом»
9. Должностные инструкции… 10.Соглашение с сотрудником / Трудовой
договор
Типовой набор документов (min)
Пример
Самое важное правило:
Сотрудники должны быть ознакомлены с требованиями под роспись
Еще рекомендации:
• Ориентируйтесь на целевую аудиторию при разработке документа (обычные пользователи или специалисты?)
• При необходимости делайте комплект документов: Положения -> Процедуры -> Инструкции -> Памятки
• Обучайте и повышайте осведомленность сотрудников (хотя бы инструктаж при приеме на работу). Используйте примеры
• Регулярно пересматривайте документы. Они должны быть «живыми», удобными и отражать реальную ситуацию
• Предложите возможность получить консультацию и/или задать вопрос
Требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации:
– корпоративная электронная почта
– сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту, соц.сети, блоги и пр.)
– внешние носители
– корпоративные рабочие станции
– корпоративные мобильные устройства
– персональные мобильные устройства
– сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи)
– удаленный доступ к корпоративной сети
– копировально-множительная техника
– файловые хранилища
Что писать в Политике
допустимого использования?
4 «горячих» юридических
вопроса про DLP
Юр.вопросы DLP
1. DLP vs личная и семейная тайны
2. DLP vs тайна связи
3. DLP vs спец.средства негласного съема информации
4. DLP vs ИСПДн
Подробнее об этом поговорим на следующем вебинаре…
Спасибо за внимание!
www.infowatch.ru
+7 495 22 900 22 Андрей Прозоров
