пр Организационные и юридические аспекты...
-
Upload
andrey-prozorov-cism -
Category
Technology
-
view
4.109 -
download
8
Transcript of пр Организационные и юридические аспекты...
Организационные и юридические аспекты использования DLP-‐системПРОЗОРОВ АНДРЕЙ, CISM, ЧЛЕН АРСИБ
2016-‐04-‐14 1
Зачем это надо?
Это помогает снизить юр.риски:• Возможность использовать в Суде (ТК РФ, УК РФ) информацию, выявленную с использованием DLP.
• Существенно повысить вероятность победы в Суде (ТК РФ, УК РФ)
• Возможность понимать сильные и слабые стороны, конструктивно общаться с HR, Юристами и Руководством
• Возможность снизить трудозатраты (дисциплинарные взыскания и судебные издержки)
2016-‐04-‐14 2
А еще это помогает повысить общий уровень ИБ и эффективность работы DLP
О чем эта презентация?1. Принципы легального использования DLP
2. Регламентируем работу DLP (документированные положения)
3. Стратегия аргументации DLP (легализация)
4. Управление инцидентами • Общая процедура реагирования• Преследование нарушителей по ТК РФ и УК РФ• Увольнение за разглашение охраняемой законом тайны
5. DLP для профи: ◦ Дилемма DLP: блокировать или нет?◦ Обучение и повышение осведомленности◦ Метрики и KPI
6. Дополнительные материалы
2016-‐04-‐14 3
Принципы легального использования DLP
1. Усиливаем «бумажную безопасность» (документированные правила)
2. Открыто контролируем лишь корпоративныересурсы и сервисы
3. Инциденты необходимо закрывать (доводим до «управленческого решения»)
4. Понимаем судебную практику (увольнение за разглашение), знаем «типовые ошибки» и избегаем их
5. Открыто взаимодействуем с HR, юристами и руководителями ключевых подразделений
2016-‐04-‐14 4
Документированные положения:
1. Необходимы по закону (ТК РФ, 98-‐ФЗ, 152-‐ФЗ и пр.)2. Определяют желаемое поведение/состояние3. Дают возможность контроля их выполнения4. Показывают (Суду, регуляторам), что у вас все
хорошо с ИБ, и вы ей занимаетесь5. Показывают руководству вашу работу JJJ
2016-‐04-‐14 5
2016-‐04-‐14 6
Положения, необходимые для DLP1. Перечень информации ограниченного доступа
(ПДн, КТ, СТ, БТ, ВТ, и пр.)
2. Запрет разглашения информации ограниченного доступа
3. Положения об ответственности работников
4. Правила обработки и защиты информации
5. Запрет хранения личной информации на корп.устройствах
6. Правила обработки и защиты информации регулярно контролируются с использованием средств мониторинга
7. Сотрудники подразделения ИБ обеспечивают контроль выполнения правил и реагирование на инциденты ИБ
8. Система защиты информации соответствует актуальным угрозам, а также требованиям и рекомендация регулирующих органов
2016-‐04-‐14 7
Общий комплект документов (для Суда)
2016-‐04-‐14 8
Этим пугают… Бууу!!!
2016-‐04-‐14 9
Конституция РФ статья 23 1) Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.2) Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
УК РФ• Статья 137. Нарушение неприкосновенности частной жизни • Статья 138. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных или иных сообщений
Почему можно использовать DLP?1. По 149-‐ФЗ (ст.6) у обладателя информации (организация) есть права
разрешать и ограничивать доступ к информации, определять порядок и условия такого доступа, принимать меры по защите информации…
2. Работодатель не предполагает наличие личной информации на корпоративных устройствах (это в явном виде запрещено). Работники уведомлены, что используются средства мониторинга и контроля
3. DLP, как мера защиты, определена регулятором (Приказы ФСТЭК России №21/№17, мера ОЦЛ.5)
4. Изучите судебную практику! Уже есть дела, выигранные работодателем, контролирующим рабочую переписку и использующим DLP
5. Придерживайтесь стратегии аргументации при использовании DLP (см.далее)
2016-‐04-‐14 10
Стратегия аргументации (DLP)
2016-‐04-‐14 11
1. Работодатель, как обладатель (владелец) информации, информационных систем и сервисов, обладаетправом предъявлять требования по их использованию и контролировать их выполнение. В организацииопределен Перечень информации ограниченного доступа, Правила работы с информациейограниченного доступа, Политика допустимого использования (средств обработки и ИТ-‐сервисов). Вчастности, в явном виде запрещена передача информации ограниченного доступа с использованиемперсональных средств и систем (например, личной электронной почты или мессенджеров, неутвержденных в организации).
2. Работникам в явном виде запрещено хранить личную информацию на корпоративных ресурсах (рабочиестанции и файловые хранилища) и передавать ее по корпоративным каналам связи (эл.почта и сетьИнтернет).
3. Работники уведомлены, что правила использования корпоративной информации и информационныхресурсов регулярно контролируются с использованием средств мониторинга.
4. Работодатель не является оператором связи, не предоставляет такого рода услуги и не обеспечиваеттайну связи для передачи информации по своим корпоративным каналам. О возможности мониторингаи контроля корпоративной переписки известно работникам (см.п 3).
…продолжение
2016-‐04-‐14 12
5. У работодателя отсутствует умысел нарушения тайны частной жизни работников. Предполагается, что наконтролируемыхресурсах таких данных нет.
6. Если личная информация будет обнаружена на корпоративных ресурсах, то она будет удалена, а кработнику могут применяться дисциплинарные взыскания за нарушение правил внутреннего трудовогораспорядка.
7. Обнаруженная личная информация не будет использована (по крайней мере официально) припринятии решений.
8. У работодателя отсутствует умысел нарушения тайн переписки сотрудников. Содержание информации,хранимой в личных сервисах передачи данных (например, внешняя эл.почта) не проверяется даже приполучении такой возможности (по крайней мере официально).
9. У работодателя отсутствует умысел нарушения тайны переписки при контроле входящей почты.Работники уведомлены, что они обязаны уведомить тех, с кем общаются, о недопустимостииспользовании корпоративных сервисов для осуществления любых видов коммуникаций, не связанныхсо служебной деятельностью.
10. Информация, обнаруженная во входящих сообщениях, не будет использована (по крайней мереофициально) при принятии решений.
Поговорим про управление инцидентами
По ГОСТ 27000-‐2012
• Событие ИБ – выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики обеспечения ИБ, нарушение или отказ мер и средств контроля и управления или прежде неизвестная ситуации, которая может иметь значение для безопасности.
• Инцидент ИБ – одно или несколько нежелательных или неожиданных событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнеса и создают угрозы для ИБ.
2016-‐04-‐14 13
Процедура упр.инцидентами + ТК РФ
2016-‐04-‐14 14
1.Обнаружение и регистрация событий системой DLP
2.Выявление инцидентов
4.Расследование инцидента
5.Реагирование на инцидент
6.Анализ причин инцидента и «полученных уроков»
3.Оперативное реагирование на инцидент
6 мес.1 мес.
Спец.инструменты расследования
2016-‐04-‐14 15
Важнейшими элементами DLP становятся Архив всех сообщений и
Инструменты работы с ним
2016-‐04-‐14 16
Инциденты необходимо закрывать (доводим до «управленческого решения»)
Модель принятия решения по инцидентам
2016-‐04-‐14 17
1. Какова величина ущерба?Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1
2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0
3. Какой уровень доверия к сотруднику?Низкий – 3; Обычный – 1; Высокий – 0
4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0
5. Какова вероятность, что инцидент повториться у этого сотрудника?Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0
Если сумма баллов до 6 – вариант А; 6-‐12 – вариант Б; 13 и больше – вариант В
Решение по инцидентам утечки
2016-‐04-‐14 18
1. Перевод в группу «Особый контроль»
2. Получение объяснительной
3. Профилактическая беседа
4. Лишение благ и привилегий (втч и лишение прав доступа)
5. Дисциплинарные взыскания:◦ замечание◦ выговор
◦ увольнение по соответствующим основаниям
6. Увольнение по инициативе работника / по соглашению сторон
7. Возмещение ущерба
8. Уголовное преследование
9. Прочее
Б) По решению руководства и HR
В) По решению руководства,HR, юристов и ИБ.
Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности»
А) По решению ИБ
Реагирование на инциденты
2016-‐04-‐14 19
HR июристы
ИБ / СБ / ЭБ
Руководство
Не слишком надейтесь на других!
Обычно подразделения живут в духе «Претензий к пуговицам есть?»…
2016-‐04-‐14 20
— Где вы видите себя через 5 лет?
— Ну у вас и шутки, товарищ следователь
2016-‐04-‐14 21
Наказание по ТК РФ Наказание по УК РФМотив работодателя Хотим наказать быстро и
просто, нужен прецедентХотим сильно наказать (большой ущерб), нужен
громкий прецедентОснование ТК РФ ст.81 УК РФ ст.183, 185.5, ст.159, 163
ст.272-‐274Возмещение ущерба Обычно нет По решению суда, но надо
доказать величину ущербаТрудозатраты Низкие Средние
Общая длительность До 1 месяца Может быть несколько лет
Процедура Простая, по ТК РФ Сложная, по УПК РФ
Взаимодействие с правоохранительными органами
Нет МВД России / ФСБ России
Сложность сборадоказательной базы
Низкая, решение принимает внутренняя комиссия
Высокая, необходимо соблюсти все формальные процедуры
2016-‐04-‐14 22
Увольнение по инициативе работника
Увольнение по соглашению сторон
Увольнение по инициативе работодателя
Основание ТК РФ ст.80 ТК РФ ст.78 ТК РФ ст.81За разглашение – ст.81 п.6 в)
Мотив компании Без сложностей расстаться с нелояльным сотрудником
Расстаться с работником, минимизировать возможные риски
Наказать, создать прецедент для других работников
Ограничение по срокам
Минимальное (2 недели), но работник может отозвать
заявление
Нет Не позднее 6 месяцев со дня совершения проступка,
Не позднее 1 месяца со дня обнаружения
Обида сотрудника Обычно нет, если увольнение без принуждения
Обычно нет, при хороших условиях соглашения
Обычно да
Желание оспорить в суде
Возможно, если былопринуждение к увольнению
Обычно желания нет. Суд на стороне работодателя
Да, особенно если есть сильные аргументы (ошибки при
увольнении, принуждение, оговор)
Что другиеработники думают?
«Компания не хочет проблем» «За сотрудником сила, компания не хочет
проблем»
«За компанией сила, могутнаказать»
«Идеальная» процедура увольнения по ст.81 п.6 в)
2016-‐04-‐14 23
№ Шаги Ключевое подразделение
Документы
1. Обнаружение инцидента, сбор дополнительной информации
ИБ Краткий отчет об инциденте, Служебная записка
2. Обсуждение возможных вариантов реагирования
Руководство и HR Приказ о проведении служебногорасследования (о создании Комиссии)
3. Запрос объяснительной записки от работника (желательно под роспись)
HR Объяснительная записка / Акт об отказе
4. Заседание Комиссии(хорошей практикой является заседание 2х комиссий: по расследованию и по кадровым вопросам)
HR, ИБ Протокол(-‐ы) заседания комиссии(краткое описание инцидента, оценка тяжести проступка, обстоятельства дела, величина ущерба, решение)
5. Принятие решения об увольнении, издание соответствующего приказа
HR, руководство Приказ о применении дисциплинарного взыскания / Акт об отказе ознакомления
Шаблоны документов -‐ http://www.infowatch.ru/iwc_files/12803
Про доказательства для Суда
2016-‐04-‐14 24
Важные:
По ТК РФ: Объяснительная от работника (либо Акт об отказе), Служебнаязаписка об инциденте и Протокол заседания комиссии, рассматривающейинцидент. В документах следует указать краткое описание инцидента, оценкутяжести и обстоятельства совершенного проступка.
По УПК: Показания потерпевшего, свидетеля, Заключение и показания эксперта и Заключение и показания специалиста, Вещественные доказательства.
Отчеты DLP вторичны, но тоже принимаются Судом. Дополнительно к отчетурекомендуется приложить краткое описание решения с указанием сертификатов(подойдет брошюра от производителя).
Из-‐за этого проигрывают суды: ошибки1. Нарушение процедуры увольнения (сроки и документы) 2. Отсутствие факта разглашения (зависит от канала утечки)3. Отсутствие режима защиты информации (особенно КТ):
• Отсутствие режима КТ (не все требования выполнены)• Отсутствие перечня информации ограниченного доступа или он не полный • Внесение в перечень сведений, которые не могут составлять КТ• Отсутствие документированных обязательств о неразглашении• Отсутствие документированных требований по обработке и защите информации ограниченного доступа• Отсутствие подтверждения ознакомления работников с требованиями• Отсутствие разграничения доступа к информации (все имеют доступ ко всему)
4. «Детективные игры» (взлом личной эл.почты и аккаунтов в соц.сетях, досмотр личных вещей, скрытая аудио/видео съемка, выбивание признания, принуждение свидетелей и пр.)
5. Слабая аргументация для Суда
2016-‐04-‐14 25
Принципы легального использования DLP
1. Усиливаем «бумажную безопасность» (документированные правила)
2. Открыто контролируем лишь корпоративныересурсы и сервисы
3. Инциденты необходимо закрывать (доводим до «управленческого решения»)
4. Понимаем судебную практику (увольнение за разглашение), знаем «типовые ошибки» и избегаем их
5. Открыто взаимодействуем с HR, юристами и руководителями ключевых подразделений
2016-‐04-‐14 26
И еще раз…
И еще 3 слайда «DLP для профи»
• Дилемма DLP: блокировать или нет?• Обучение и повышение осведомленности• Метрики и KPI
2016-‐04-‐14 27
Дилемма DLP: блокировать или нет?
2016-‐04-‐14 28
Блокировать Только мониторить• Возможность защиты действительно важной информации от случайной утечки
• Наличие формальных требований (напр.PCI DSS)
• «Контролируемая утечка»
• Наказание только за нарушение правил обработки и защиты информации (слабое)
• Недовольство пользователей
• Меньше рисков нарушения работы бизнес-‐процессов
• Возможность наказания за разглашение информации ограниченного доступа
Обучение и повышение осведомленности
2016-‐04-‐14 29
Кто? Тематики
Рядовые пользователи • Правила работы с информацией и средствами обработки• Базовые требования по защите информации• Кейсы (типовые ошибки, соц.инженерия)• Ответственность
ИТ и ИБ-‐специалисты • Процедуры обнаружения и реагирования на инциденты • Расследование инцидентов• Сбор цифровых доказательств• Работа со средствами мониторинга и защиты информации
HR и юристы • Вопросы подбора, развития, обучения, оценки, аттестации, мотивации, взысканий, увольнения персонала
• Судебная практика• Развитие корпоративной культуры• Compliance (соблюдение требований)
Менеджмент • Кейсы (инциденты и ущерб)• Базовые рекомендации по защите информации
Метрики и KPI1. Трудозатраты при работе с системой DLP:
• Настройка политик• Мониторинг событий и расследование инцидентов
2. Количество выявленных событий / инцидентов: по типу инцидента, по критичности, по сработавшей политике, по контролируемому каналу, по персоне/группе и пр.
3. % ложных срабатываний (FP и FN)4. Время, затраченное на поиск, агрегацию и анализ информации о персоне/группе5. Среднее время реагирования на инцидент (анализ, управленческое решение, закрытие)6. Трудозатраты при реагировании на инциденты (рабочая группа)7. Кол-‐во человек, прошедших внутреннее обучение по вопросам ИБ (обработка информации и защита)8. Количество дисциплинарных взысканий 9. Величина нанесенного и/или предотвращенного ущерба10. …
2016-‐04-‐14 30
Что еще посмотреть по теме?
2016-‐04-‐14 31http://80na20.blogspot.ru
Прозоров Андрей, CISM, член АРСИБМой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave
2016-‐04-‐14 32
Спасибо за внимание!